Политика информационной безопасности

 

В статье специалисты аналитического центра Falcongaze SecureTower перечисляют требования, предъявляемые к политике информационной безопасности, описывают этапы создания и актуализации, а также принципы реализации этого документа. Материал будет особенно полезен специалистам, перед которыми поставлена задача создать политику информационной безопасности организации, отдела, процесса или области работы компании, которая учитывает все необходимые правила.

 

Основные требования к политике информационной безопасности

В системе менеджмента информационной безопасности (СМИБ) термин «политика» означает официальные намерения и направления деятельности организации (см. ГОСТ Р ИСО/МЭК 27000-2021). Они должны быть установлены высшим руководством в виде, например, политики информационной безопасности.

Согласно ГОСТ Р ИСО/МЭК 27001-2021 политика ИБ как документ должна:

  • соответствовать целям деятельности компании;
  • содержать цели ИБ, подход к их достижению (или обеспечивать основу для их установления);
  • содержать обязательство соответствовать требованиям, которые относятся к информационной безопасности;
  • содержать обязательство постоянно улучшать СМИБ.

С позиции защиты информации под политикой безопасности информации организации подразумевается совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности (см. ГОСТ Р 50922-2006).

Отметим, что документ не обязательно должен иметь название «политика информационной безопасности». В зависимости от принятой в компании системы наименований видов документов аналогами «политики» может быть «концепция», «регламент», «стандарт», «инструкция» или «правила» информационной безопасности.

 

Политики информационной безопасности высокого и низкого уровня

В ГОСТ Р ИСО/МЭК 27002-2021 изложен двухуровневый подход создания политик ИБ компании. Описано, что в организации могут существовать одна политика ИБ высокого уровня и несколько политик ИБ низкого уровня. Они могут быть оформлены как один документ либо как отдельные, но связанные документы. В учебной литературе можно встретить теоретические подходы к разработке политик информационной безопасности и документов, связанных с ними, на более чем двух уровнях (Схема 1).

Схема 1

Уровни документов, связанных с политикой информационной безопасности

 

Уровни документов, связанных с политикой информационной безопасности

 

 

Уточним, что подход создания нескольких отдельных документов с практической точки зрения не будет удобен, например, для МСП. Однако в крупных и особо крупных организациях или холдингах, где процессы, области или направления обеспечения ИБ детально регламентированы и включают большое количество лиц, отвечающих за реализацию мер обеспечения информационной безопасности и сотрудников, решающих соответствующие задачи, существование нескольких отдельных политик информационной безопасности – распространённая практика.

Рассмотрим двухуровневый подход к созданию политик информационной безопасности.

В политике ИБ высокого уровня должен быть изложен подход к формированию и достижению целей информационной безопасности. Утверждать такой документ должно непосредственно руководство компании. Требования, содержащиеся политике ИБ высокого уровня, должны учитывать:

  • бизнес-стратегию организации;
  • нормативные акты и требования регуляторов;
  • текущую и прогнозируемую среду угроз информационной безопасности.

Обязательные положения, которые должны содержаться в политике ИБ высокого уровня, должны включать:

  • определение информационной безопасности;
  • цели и принципы, которыми необходимо руководствоваться в рамках деятельности, связанной с информационной безопасностью;
  • определение ролей по менеджменту информационной безопасности;
  • распределение общих и конкретных обязанностей;
  • процессы обработки отклонений и исключений;
  • лиц, несущих ответственность за неисполнение политик информационной безопасности.

Назначение политик ИБ низкого уровня – поддержка политики ИБ высокого уровня. Они могут относиться к определённым областям или направлениям в обеспечении информационной безопасности (Схема 2), которые требуют внедрения мер обеспечения информационной безопасности.

 

Схема 2

Области, которые регулируются политиками информационной безопасности

 

Области, которые регулируются политиками информационной безопасности

 

 

Что нужно знать, чтобы создать политику информационной безопасности

Эффективная политика ИБ, которая будет работать как одна из мер обеспечения информационной безопасности, основывается на следующих сведениях:

  • перечень информации, которая подлежит защите в компании;
  • сведения об организации хранения такой информации, схема субъектов и объектов доступа к ним;
  • существующие уязвимости;
  • угрозы безопасности информации (приоритизированные в результате анализа рисков);
  • модели нарушителей безопасности информации;
  • меры обеспечения информационной безопасности, применяемые в организации;
  • имеющиеся информационные и технические ресурсы, а также внедрённые программные средства защиты информации и информационной системы;
  • сведения о системе контроля и оценки информационной безопасности в компании.

 

Алгоритм создания политики информационной безопасности

 

Алгоритм создания политики информационной безопасности состоит из трёх этапов:

Этап 1. Составить текст проекта политики ИБ. К этой работе следует привлечь ответственных лиц, в некоторых случаях для такой работы утверждают специальную комиссию. Точное поручение с конкретной задачей (например, с областью, которая должна регулироваться политикой ИБ) часто излагается в распорядительных документах (приказах, распоряжениях). Текст проекта политики информационной безопасности должен быть изложен в актуальной, доступной и понятной для предполагаемого читателя форме.

Этап 2. Согласовать финальный вариант политики ИБ с руководителями, утвердить его у высшего руководства организации. Опубликовать итоговый файл в виде документа, который должен быть доступен работникам организации и всем заинтересованным сторонам (если они есть).

Этап 3. Довести до сведения всех работников организации и соответствующих внешних сторон утверждённый документ «Политика информационной безопасности» (для этого следует инициировать процедуру ознакомления) и ввести его в действие.

 

Алгоритм актуализации политики информационной безопасности

В компании должна существовать практика актуализации политики информационной безопасности. Причины этого действия могут быть:

  • плановыми. Политику ИБ, как и любой другой руководящий документ, следует проверять на необходимость внесения изменений спустя определённые интервалы времени, установленные в компании.
  • внеплановыми. Такая актуализация может понадобиться, если произошли существенные внутренние изменения или внешние изменения, влияющие на среду организации, а, следовательно, и на корректность текста политики ИБ. Например, внеплановые изменения понадобятся, если в компании изменились рабочие процессы или используемые информационные и программно-технические ресурсы, произошёл пересмотр угроз информационной безопасности или переоценка рисков, вступили в силу новые законодательные требования, которые касаются информационной безопасности в организации и т.д.

Алгоритм пересмотра и актуализации политики информационной безопасности состоит из трёх этапов:

Этап 1. Пересмотреть текст действующей политики ИБ в установленный срок (для запуска процесса рекомендуется издать распорядительный документ). Делать это должен либо прежний разработчик политики ИБ, либо другое лицо, назначенное ответственным за её актуализацию. Работа, проведённая на этом этапе, может быть включена в документ, который имеет вид отчёта или заключения. В него следует включить конкретные предложения всех необходимых изменений.

Этап 2. Систематизировать и приоритизировать все предложенные изменения. Заниматься этим может как сотрудник, упомянутый в Этапе 1, так и специалисты, ответственные за процессы или области, к которым относятся изменения.

Этап 3. Согласовать все необходимые правки, внести изменения в уже существующий документ, а затем утвердить новую политику информационной безопасности, отменив действие прежнего документа.

 

Принципы реализации политики информационной безопасности

При создании политики информационной безопасности следует учитывать пять главных принципов, соблюдение которых позволит сформировать документ, который будет выполнять функцию реальной и работающей меры обеспечения информационной безопасности. Перечислим их.

Принцип 1. Исключение неоднозначности установленных правил, норм, положений. Разработчики не всегда компетентны сразу во всех областях политики информационной безопасности. Поэтому важно не нарушать этапы создания документа: например, не сокращать время, необходимое для согласования разделов, не исключать из этого процесса лиц, ответственных за процессы в какой-либо области, которая регулируется политикой ИБ.

Принцип 2. Осведомлённость о самых слабых местах в системе защиты информации. По опыту, в большинстве случаев проблемы с обеспечением информационной безопасности связаны с тем, как сотрудники компании взаимодействуют с информационными активами. По этой причине важно уделять достаточное внимание регламентации таких действий и порядку их контроля.

Принцип 3. Исключение небезопасного состояния. Не имеет значения, сколько требований, программных средств защиты и мер обеспечения информационной безопасности внедрено в систему информационной безопасности компании. Главное, чтобы усилия и средства (человеческие, финансовые), которые затрачиваются на обеспечение информационной безопасности, были достаточными. В таком случае они будут способны защитить организацию от установленных рисков в любых, даже нештатных ситуациях. Например, если деятельность организации связана с персональными данными и главной угрозой её информационной безопасности является утечка данных, в первую очередь следует обратить внимание на такой класс программных продуктов, как DLP-системы. Изучить функционал DLP-системы Falcongaze SecureTower можно бесплатно, а после 30 дней тестового использования информация, собранная за это время, поможет сформировать точное представление о слабых местах в системе, регламентировать действия, связанные с ними, в политике информационной безопасности, и устранить самые приоритетные угрозы.

Принцип 4. Минимизация привилегий. В политике информационной безопасности для каждой роли сотрудника должен быть установлен определённый уровень доступа к тем объектам информации, с которыми ему требуется взаимодействовать в рамках своих должностных обязанностей. Управление такими параметрами должно быть строго регламентировано, также обязательно проводить периодический контроль их соблюдения.

Принцип 5. Распределение ответственности. В политике информационной безопасности не должны быть установлены требования, в соответствии с которыми ответственность, например, за контроль исполнения процесса возложена лишь на одного человека.

DLP-система SecureTower

  • Защита от утечек данных по вине сотрудников
  • Контроль работы сотрудников на компьютерах
  • Выявление потенциально-опасных сотрудников
  • Ведение архива бизнес-коммуникации