[МУЗЫКА] Рассмотрим назначение и содержание политики безопасности организации. Как правило, политика безопасности разрабатывается с целью обеспечения управления и поддержки высшим руководством информационной безопасности в соответствии с требованиями бизнеса и соответствующими законами и нормами. Далее по ходу сегодняшней лекции будет неоднократно встречаться упоминание слова бизнес, это термин, используемый в государственном стандарте. Там в большинстве формулировок используется это понятие. Под ним можно подразумевать для расширения применимости данных понятий сферу деятельности организации. Если речь идёт, например, о государственном органе, о какой-то государственной организации, работающей, например, с персональными данным, об органе власти, то, разумеется, там речь идёт не о бизнесе в узком понимании, а о некой сфере деятельности организации. Для создания эффективной политики безопасности можно дать следующие рекомендации. Высшее руководство должно установить чёткое направление политики, соответствующее целям бизнеса, демонстрировать её соблюдение и поддержу. Это означает, что должна быть не только на словах, но и на деле поддержка со стороны руководства всех принятых им же решений. Не должно быть такой ситуации, когда согласно какому-то регламенту нечто запрещено, но на деле это практикуется и никоим образом не осуждается. В организации должно быть назначено лицо, ответственное за информационную безопасность, консультирующее сотрудников по связанным с ней вопросам. Иными словами, не очень понятные или неоднозначные моменты политики безопасности и вообще информационной безопасности не должны оставаться на понимание конечные сотрудников, конечных исполнителей. Должен быть некий человек, специально назначенный специалист в области информационной безопасности или причастный к разработке политики безопасности, способный дать квалифицированную консультацию по всем вопросам, с ней связанным. Для того чтобы политика безопасности действительно было эффективной и достигала поставленных перед ней целей, весьма эффективно и весьма желательно налаживать контакты с внешними специалистами по безопасности, отдельными экспертами, разработчиками различных средств для защиты информации, например, антивирусных средств, например, систем по обнаружению атак и подобных средств защиты информации, криптографических средств, представителями уполномоченных органов, для того чтобы быть в курсе отраслевых тенденций, то есть появления новых стандартов или разработки новых стандартов, появления новых угроз, новых методик работы нарушителей и подобных новостей, сообщений, подобной информации, которая позволит организации и её службе безопасности быть всегда на адекватном уровне готовности по отношению к актуальным угрозам. И, наконец, следует поддерживать многопрофильный подход к обеспечению информационной безопасности. Такая рекомендация означает, что информационная безопасность должна обеспечиваться разными мерами и на нескольких уровнях, то есть представлять как бы несколько эшелонов защиты информации. Как правило, политика безопасности рассматривается на трёх уровнях детализации, как мы и говорили в одной из предыдущих лекций, рассматривая политику безопасности как одну из организационных мер защиты информации, точнее, как одну из административных мер. На верхнем уровне, как правило, принимаются решения, касающиеся организации в целом, в терминах целостности, доступности и конфиденциальности информации. На среднем уровне принимаются решения, касающиеся ответственности за соблюдение политики безопасности, обучения персонала, назначения ответственных лиц, и подобные вопросы. Ну и, наконец, на нижнем уровне принимаются решения по конкретным системам и сервисам. Политика безопасности может быть как самостоятельным документом либо составлять часть документа по общей политике. При этом политика безопасности в актуальной, доступной и понятной форме должна быть доведена до сведения всех пользователей информационной системы. Это требование довольно очевидно и логично, поскольку политика безопасности, будучи некой совокупностью представлений, регламентов, касающихся обеспечения информационной безопасности, не будет работать, если будет просто опубликована, подписана и дальше, допустим, заперта в сейф вместе с пакетом уставных документов. Она должна жить вполне своей особенной жизнью, то есть она должна быть известна всем сотрудникам, они должны понимать, зачем она нужна, почему её требования именно таковы, а не какие-то другие, чем грозит её нарушение не только лично им в плане дисциплинарной ответственности, а всей организации с точки зрения потери каких-то активов, с точки зрения финансовых потерь и ущерба, и таким образом у самих пользователей должна быть мотивация следовать политике безопасности. Как правило, в документ, содержащий политику безопасности, включают следующие разделы: определение информационной безопасности, её цели и сферы действия, цели и принципы информационной безопасности в соответствии с целями функционирования организации, описание подхода к установлению мер обеспечения информационной безопасности, включая описание оценки и управления рисками, краткое разъяснение наиболее существенных для организации принципов, например, принципов соблюдения каких-то законов, каких-то договорных обязательств перед другими организациями, по какой причине доступ к информации определяется и устанавливается таким образом, а не иным, по какой причине, например, вводится биометрическая аутентификация пользователей, по какой причине следует соблюдать те или иные правила использования средств вычислительной техники и подобные принципы. Они желательны к объяснению в политике безопасности. Далее определение обязанностей сотрудника в области информационной безопасности включается в политику безопасности и ссылки на дополняющие документы, более детальные политики, например, касающиеся конкретных средств защиты информации, правила использования автоматизированной системы, и так далее, подобные документы. [МУЗЫКА] [МУЗЫКА] [МУЗЫКА]
