Разработка политики информационной безопасности

Система информационной безопасности представляет из себя совокупность корпоративных правил и норм работы, процедур обеспечения ИБ, формируемую на основе аудита состояния информационной системы компании, анализа действующих рисков безопасности в соответствии с требованиями нормативно-руководящих документов РФ и положениями стандартов в области защиты информации ( ISO/IEC 27001-2005, ISO/IEC 17799-2005, ISO/IEC TR 13335, ГОСТ Р ИСО/МЭК 15408 и т.п.), что особенно важно для организаций и компаний активно взаимодействующих с отечественными и иностранными партнерами.

Достаточная надёжность системы информационной безопасности предприятия может быть реализована только в случае наличия на предприятии политики информационной безопасности. В противном случае разрозненные попытки различных служб по противодействию современным угрозам только создают иллюзию безопасности.

Современная система информационной безопасности представляет из себя синтез организационных и программно-технических мер, реализованных на основе единого подхода. При этом организационные меры не менее важны, чем технические – без внедрения безопасных приемов работы и осознания необходимости принимаемых мер, немыслимо создать действительно защищенную инфраструктуру безопасности.

Разработка системы информационной безопасности, как правило, состоит из следующих этапов:

  • проведение аудита информационной безопасности предприятия;
  • анализ возможных рисков безопасности предприятия и сценариев защиты;
  • выработка вариантов требований к системе информационной безопасности;
  • выбор основных решений по обеспечению режима информационной безопасности;
  • разработка нормативных документов, включая политику информационной безопасности предприятия;
  • разработка нормативных документов по обеспечению бесперебойной работы компании;
  • разработка нормативной документации по системе управления информационной безопасностью;
  • принятие выработанных нормативных документов
  • создание системы информационной безопасности и системы обеспечения бесперебойной работы компании;
  • сопровождение созданных систем, включая доработку принятых нормативных документов.

Выработанная политика информационной безопасности состоит из организационно-распорядительных и нормативно-методических руководящих документов и включает:

  • общую характеристику объектов защиты и описание функций и принятых технологий обработки данных;
  • описание целей создания системы защиты и путей достижения принятых целей;
  • перечень действующих угроз информационной безопасности, оценку риска их реализации, модель вероятных нарушителей;
  • описание принятых принципов и подходов к построению системы обеспечения информационной безопасности. Принятые меры обеспечения информационной безопасности разбиваются на два уровня:

    • административно-организационные меры – действия сотрудников организации по обеспечению норм безопасности;
    • программно-технические меры. 
  • описание системы управления доступом к информационным ресурсам компании, включая доступ к данным, программам и аппаратным средствам;
  • описание политики антивирусной защиты;
  • описание системы резервного копирования;
  • описание порядка проведения восстановительных и регламентных работ;
  • описание системы расследования инцидентов;
  • порядок тестирования, приемки, аттестации и сертификации созданной системы на соответствие действующим стандартам. Данный этап создания системы необходим, так как аттестация созданных систем информационной безопасности по требованиям защищенности информации в соответствии с Российским законодательством является обязательным условием, позволяющим обрабатывать информацию ограниченного доступа. Сертификация же по действующим стандартам позволяет не только убедиться в качестве созданной системы, но и наладить полноценное взаимодействие с различными компаниями, что автоматически делает ее более привлекательной для зарубежных компаний при выборе деловых партнеров в России;
  • план мероприятий по обеспечению безопасности, включая план развития системы информационной безопасности.

При формировании политики безопасности необходимо максимально учесть принятые нормы работы предприятия, с тем, чтобы выработанная политика, обеспечивая высокий уровень безопасности, оказывала минимальное влияние на производительность труда сотрудников и не требовала высоких затрат на свое создание.

Получить консультацию