[МУЗЫКА] Рассмотрим
назначение и содержание политики безопасности организации.
Как правило, политика безопасности разрабатывается с целью обеспечения
управления и поддержки высшим руководством информационной безопасности в соответствии
с требованиями бизнеса и соответствующими законами и нормами.
Далее по ходу сегодняшней лекции будет неоднократно встречаться упоминание слова
бизнес, это термин, используемый в государственном стандарте.
Там в большинстве формулировок используется это понятие.
Под ним можно подразумевать для расширения применимости данных понятий
сферу деятельности организации.
Если речь идёт, например, о государственном органе,
о какой-то государственной организации, работающей, например,
с персональными данным, об органе власти, то, разумеется, там речь идёт не о
бизнесе в узком понимании, а о некой сфере деятельности организации.
Для создания эффективной политики безопасности можно дать следующие
рекомендации.
Высшее руководство должно установить чёткое направление политики,
соответствующее целям бизнеса, демонстрировать её соблюдение и поддержу.
Это означает, что должна быть не только на словах,
но и на деле поддержка со стороны руководства всех принятых им же решений.
Не должно быть такой ситуации, когда согласно какому-то регламенту нечто
запрещено, но на деле это практикуется и никоим образом не осуждается.
В организации должно быть назначено лицо, ответственное за информационную
безопасность, консультирующее сотрудников по связанным с ней вопросам.
Иными словами, не очень понятные или неоднозначные моменты политики
безопасности и вообще информационной безопасности не должны оставаться на
понимание конечные сотрудников, конечных исполнителей.
Должен быть некий человек, специально назначенный специалист в области
информационной безопасности или причастный к разработке политики безопасности,
способный дать квалифицированную консультацию по всем вопросам,
с ней связанным.
Для того чтобы политика безопасности действительно было эффективной и достигала
поставленных перед ней целей, весьма эффективно и весьма желательно налаживать
контакты с внешними специалистами по безопасности, отдельными экспертами,
разработчиками различных средств для защиты информации,
например, антивирусных средств, например,
систем по обнаружению атак и подобных средств защиты информации,
криптографических средств, представителями уполномоченных органов,
для того чтобы быть в курсе отраслевых тенденций, то есть появления новых
стандартов или разработки новых стандартов, появления новых угроз,
новых методик работы нарушителей и подобных новостей, сообщений,
подобной информации, которая позволит организации и её службе безопасности быть
всегда на адекватном уровне готовности по отношению к актуальным угрозам.
И, наконец, следует поддерживать многопрофильный подход к обеспечению
информационной безопасности.
Такая рекомендация означает, что информационная безопасность должна
обеспечиваться разными мерами и на нескольких уровнях,
то есть представлять как бы несколько эшелонов защиты информации.
Как правило, политика безопасности рассматривается на трёх уровнях
детализации, как мы и говорили в одной из предыдущих лекций, рассматривая политику
безопасности как одну из организационных мер защиты информации, точнее,
как одну из административных мер.
На верхнем уровне, как правило, принимаются решения,
касающиеся организации в целом, в терминах целостности,
доступности и конфиденциальности информации.
На среднем уровне принимаются решения,
касающиеся ответственности за соблюдение политики безопасности,
обучения персонала, назначения ответственных лиц, и подобные вопросы.
Ну и, наконец,
на нижнем уровне принимаются решения по конкретным системам и сервисам.
Политика безопасности может быть как самостоятельным документом либо составлять
часть документа по общей политике.
При этом политика безопасности в актуальной, доступной и понятной форме
должна быть доведена до сведения всех пользователей информационной системы.
Это требование довольно очевидно и логично, поскольку политика безопасности,
будучи некой совокупностью представлений, регламентов, касающихся обеспечения
информационной безопасности, не будет работать, если будет просто опубликована,
подписана и дальше, допустим, заперта в сейф вместе с пакетом уставных документов.
Она должна жить вполне своей особенной жизнью,
то есть она должна быть известна всем сотрудникам, они должны понимать,
зачем она нужна, почему её требования именно таковы, а не какие-то другие,
чем грозит её нарушение не только лично им в плане дисциплинарной ответственности,
а всей организации с точки зрения потери каких-то активов,
с точки зрения финансовых потерь и ущерба, и таким образом
у самих пользователей должна быть мотивация следовать политике безопасности.
Как правило, в документ, содержащий политику безопасности, включают следующие
разделы: определение информационной безопасности, её цели и сферы действия,
цели и принципы информационной безопасности в соответствии с целями
функционирования организации, описание подхода к установлению мер обеспечения
информационной безопасности, включая описание оценки и управления рисками,
краткое разъяснение наиболее существенных для организации принципов, например,
принципов соблюдения каких-то законов, каких-то договорных обязательств
перед другими организациями, по какой причине доступ к информации
определяется и устанавливается таким образом, а не иным, по какой причине,
например, вводится биометрическая аутентификация пользователей,
по какой причине следует соблюдать те или иные правила использования средств
вычислительной техники и подобные принципы.
Они желательны к объяснению в политике безопасности.
Далее определение обязанностей сотрудника в области информационной безопасности
включается в политику безопасности и ссылки на дополняющие документы, более
детальные политики, например, касающиеся конкретных средств защиты информации,
правила использования автоматизированной системы, и так далее, подобные документы.
[МУЗЫКА] [МУЗЫКА]
[МУЗЫКА]
