Разработка политики информационной безопасности

Система информационной безопасности представляет из себя совокупность корпоративных правил и норм работы, процедур обеспечения ИБ, формируемую на основе аудита состояния информационной системы компании, анализа действующих рисков безопасности в соответствии с требованиями нормативно-руководящих документов РФ и положениями стандартов в области защиты информации ( ISO/IEC 27001-2005, ISO/IEC 17799-2005, ISO/IEC TR 13335, ГОСТ Р ИСО/МЭК 15408 и т.п.), что особенно важно для организаций и компаний активно взаимодействующих с отечественными и иностранными партнерами.

Достаточная надёжность системы информационной безопасности предприятия может быть реализована только в случае наличия на предприятии политики информационной безопасности. В противном случае разрозненные попытки различных служб по противодействию современным угрозам только создают иллюзию безопасности.

Современная система информационной безопасности представляет из себя синтез организационных и программно-технических мер, реализованных на основе единого подхода. При этом организационные меры не менее важны, чем технические – без внедрения безопасных приемов работы и осознания необходимости принимаемых мер, немыслимо создать действительно защищенную инфраструктуру безопасности.

Этапы разработки системы информационной безопасности

• проведение аудита информационной безопасности предприятия;
• анализ возможных рисков безопасности предприятия и сценариев защиты;
• выработка вариантов требований к системе информационной безопасности;
• выбор основных решений по обеспечению режима информационной безопасности;
• разработка нормативных документов, включая политику информационной безопасности предприятия;
• разработка нормативных документов по обеспечению бесперебойной работы компании;
• разработка нормативной документации по системе управления информационной безопасностью;
• принятие выработанных нормативных документов
• создание системы информационной безопасности и системы обеспечения бесперебойной работы компании;
• сопровождение созданных систем, включая доработку принятых нормативных документов.

Разработанная политика информационной безопасности состоит из организационно-распорядительных и нормативно-методических руководящих документов и включает:

• общую характеристику объектов защиты и описание функций и принятых технологий обработки данных;
• описание целей создания системы защиты и путей достижения принятых целей;
• перечень действующих угроз информационной безопасности, оценку риска их реализации, модель вероятных нарушителей;
• описание принятых принципов и подходов к построению системы обеспечения информационной безопасности. Принятые меры обеспечения информационной безопасности разбиваются на два уровня:
  
  
  • административно-организационные меры – действия сотрудников организации по обеспечению норм безопасности;
  • программно-технические меры.
• описание системы управления доступом к информационным ресурсам компании, включая доступ к данным, программам и аппаратным средствам;
• описание политики антивирусной защиты;
• описание системы резервного копирования;
• описание порядка проведения восстановительных и регламентных работ;
• описание системы расследования инцидентов;
• порядок тестирования, приемки, аттестации и сертификации созданной системы на соответствие действующим стандартам. Данный этап создания системы необходим, так как аттестация созданных систем информационной безопасности по требованиям защищенности информации в соответствии с Российским законодательством является обязательным условием, позволяющим обрабатывать информацию ограниченного доступа. Сертификация же по действующим стандартам позволяет не только убедиться в качестве созданной системы, но и наладить полноценное взаимодействие с различными компаниями, что автоматически делает ее более привлекательной для зарубежных компаний при выборе деловых партнеров в России;
• план мероприятий по обеспечению безопасности, включая план развития системы информационной безопасности.

При формировании политики безопасности необходимо максимально учесть принятые нормы работы предприятия, с тем, чтобы выработанная политика, обеспечивая высокий уровень безопасности, оказывала минимальное влияние на производительность труда сотрудников и не требовала высоких затрат на свое создание.