Важные публикации
Как контролировать своих сотрудников? 15 апреля 2021
Уточним, что подход создания нескольких отдельных документов с практической точки зрения не будет удобен, например, для МСП. Однако в крупных и особо крупных организациях или холдингах, где процессы, области или направления обеспечения ИБ детально регламентированы и включают большое количество лиц, отвечающих за реализацию мер обеспечения информационной безопасности и сотрудников, решающих соответствующие задачи, существование нескольких отдельных политик информационной безопасности – распространённая практика.
Рассмотрим двухуровневый подход к созданию политик информационной безопасности.
В политике ИБ высокого уровня должен быть изложен подход к формированию и достижению целей информационной безопасности. Утверждать такой документ должно непосредственно руководство компании. Требования, содержащиеся политике ИБ высокого уровня, должны учитывать:
Обязательные положения, которые должны содержаться в политике ИБ высокого уровня, должны включать:
Назначение политик ИБ низкого уровня – поддержка политики ИБ высокого уровня. Они могут относиться к определённым областям или направлениям в обеспечении информационной безопасности (Схема 2), которые требуют внедрения мер обеспечения информационной безопасности.
Схема 2
Области, которые регулируются политиками информационной безопасности
Эффективная политика ИБ, которая будет работать как одна из мер обеспечения информационной безопасности, основывается на следующих сведениях:
Алгоритм создания политики информационной безопасности состоит из трёх этапов:
Этап 1. Составить текст проекта политики ИБ. К этой работе следует привлечь ответственных лиц, в некоторых случаях для такой работы утверждают специальную комиссию. Точное поручение с конкретной задачей (например, с областью, которая должна регулироваться политикой ИБ) часто излагается в распорядительных документах (приказах, распоряжениях). Текст проекта политики информационной безопасности должен быть изложен в актуальной, доступной и понятной для предполагаемого читателя форме.
Этап 2. Согласовать финальный вариант политики ИБ с руководителями, утвердить его у высшего руководства организации. Опубликовать итоговый файл в виде документа, который должен быть доступен работникам организации и всем заинтересованным сторонам (если они есть).
Этап 3. Довести до сведения всех работников организации и соответствующих внешних сторон утверждённый документ «Политика информационной безопасности» (для этого следует инициировать процедуру ознакомления) и ввести его в действие.
В компании должна существовать практика актуализации политики информационной безопасности. Причины этого действия могут быть:
Алгоритм пересмотра и актуализации политики информационной безопасности состоит из трёх этапов:
Этап 1. Пересмотреть текст действующей политики ИБ в установленный срок (для запуска процесса рекомендуется издать распорядительный документ). Делать это должен либо прежний разработчик политики ИБ, либо другое лицо, назначенное ответственным за её актуализацию. Работа, проведённая на этом этапе, может быть включена в документ, который имеет вид отчёта или заключения. В него следует включить конкретные предложения всех необходимых изменений.
Этап 2. Систематизировать и приоритизировать все предложенные изменения. Заниматься этим может как сотрудник, упомянутый в Этапе 1, так и специалисты, ответственные за процессы или области, к которым относятся изменения.
Этап 3. Согласовать все необходимые правки, внести изменения в уже существующий документ, а затем утвердить новую политику информационной безопасности, отменив действие прежнего документа.
При создании политики информационной безопасности следует учитывать пять главных принципов, соблюдение которых позволит сформировать документ, который будет выполнять функцию реальной и работающей меры обеспечения информационной безопасности. Перечислим их.
Принцип 1. Исключение неоднозначности установленных правил, норм, положений. Разработчики не всегда компетентны сразу во всех областях политики информационной безопасности. Поэтому важно не нарушать этапы создания документа: например, не сокращать время, необходимое для согласования разделов, не исключать из этого процесса лиц, ответственных за процессы в какой-либо области, которая регулируется политикой ИБ.
Принцип 2. Осведомлённость о самых слабых местах в системе защиты информации. По опыту, в большинстве случаев проблемы с обеспечением информационной безопасности связаны с тем, как сотрудники компании взаимодействуют с информационными активами. По этой причине важно уделять достаточное внимание регламентации таких действий и порядку их контроля.
Принцип 3. Исключение небезопасного состояния. Не имеет значения, сколько требований, программных средств защиты и мер обеспечения информационной безопасности внедрено в систему информационной безопасности компании. Главное, чтобы усилия и средства (человеческие, финансовые), которые затрачиваются на обеспечение информационной безопасности, были достаточными. В таком случае они будут способны защитить организацию от установленных рисков в любых, даже нештатных ситуациях. Например, если деятельность организации связана с персональными данными и главной угрозой её информационной безопасности является утечка данных, в первую очередь следует обратить внимание на такой класс программных продуктов, как DLP-системы. Изучить функционал DLP-системы Falcongaze SecureTower можно бесплатно, а после 30 дней тестового использования информация, собранная за это время, поможет сформировать точное представление о слабых местах в системе, регламентировать действия, связанные с ними, в политике информационной безопасности, и устранить самые приоритетные угрозы.
Принцип 4. Минимизация привилегий. В политике информационной безопасности для каждой роли сотрудника должен быть установлен определённый уровень доступа к тем объектам информации, с которыми ему требуется взаимодействовать в рамках своих должностных обязанностей. Управление такими параметрами должно быть строго регламентировано, также обязательно проводить периодический контроль их соблюдения.
Принцип 5. Распределение ответственности. В политике информационной безопасности не должны быть установлены требования, в соответствии с которыми ответственность, например, за контроль исполнения процесса возложена лишь на одного человека.