Политика информационной безопасности

Политика информационной безопасности - это документ (или набор документов), содержащий правила, определяющие порядок взаимодействия (а также ограничивающие степень свободы) участников информационного обмена - пользователей системы, информационных объектов, средств обработки данных.

В широком смысле политика безопасности определяется как система документированных управленческих решений по обеспечению информационной безопасности организации. В узком — как локальный нормативный документ, определяющий требования безопасности, систему мер либо порядок действий, а также ответственность сотрудников и механизмы контроля для определенной области обеспечения информационной безопасности. Примерами таких документов могут служить «Политика управления паролями», «Политика управления доступом к ресурсам корпоративной сети», «Политика обеспечения информационной безопасности при взаимодействии с интернет» и т. п. Использование нескольких специализированных нормативных документов обычно предпочтительнее создания «Общего руководства по обеспечению информационной безопасности организации».

Оценка рисков

Так как  построение системы инвормационной безопасности требует определенных ресурсов (финансовых, административных, организационных), то важно оспоставить стоимость внедрения системы ИБ и потенциальных рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации. Потому важно обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения.

Необходимо разъяснение политики пользователями

Процедура обеспечения информационной безопасности требует обучения и периодического поддержания. Здесь нельзя полагаться на интуицию, необходимо осознавать ценность информационных ресурсов, риски и размеры возможного ущерба. Пользователь, не имеющий представления о критичности информационных ресурсов или о причинах, по которым их следует защищать, скорее всего, будет считать соответствующую политику неразумной.

Руководство организации также следует просвещать по вопросам, касающимся ценности информационных ресурсов, ассоциированных с ними рисков и соответствующих политик безопасности. Если руководство не знакомо с политикой безопасности или с ее обоснованием, не приходится рассчитывать на его поддержку. Конечно, руководству не обязательно знать технические детали обеспечения информационной безопасности и конкретные правила, предписываемые политиками. Достаточно сфокусировать его внимание на возможных последствиях нарушений безопасности и связанных с ними потерях для организации.

Политику безопасности нужно постоянно совершенствовать

Даже если вам удалось разработать и внедрить эффективную политику безопасности, работа на этом не заканчивается. Обеспечение информационной безопасности — непрерывный процесс. Технологии стремительно изменяются, системы устаревают, а многие процедуры теряют эффективность. Политики безопасности должны непрерывно совершенствоваться, чтобы оставаться эффективными.