+375 (17) 311-10-14
+375 (17) 311-10-14
Попробовать бесплатно
Попробовать бесплатно
+375 (17) 311-10-14
    Информационная безопасность
    03.03.2023

    Политика информационной безопасности

    Политика информационной безопасности организации (ИБ) представляет собой совокупность документированных норм, процедур и руководящих мер, которые направляют деятельность организации в области защиты и безопасности информации. Эти правила основываются на ГОСТ Р 50922-2006. Эксперты аналитического центра Falcongaze SecureTower перечислили требования, которые предъявляются к политике конфиденциальности, а также описали этапы её создания и особенности реализации.

    Основные требования к политике информационной безопасности

    В рамках системы управления информационной безопасностью (СУИБ), термин "политика" относится к официальным намерениям и основным направлениям деятельности организации. Эти принципы должны быть установлены руководством.

    Согласно ГОСТ Р ИСО/МЭК 27001-2021, документ, представляющий политику в области безопасности информации, должен быть:

    • Соотнесен с целями компании.
    • Должны быть определены цели ИБ и предоставлен подход к их достижению, либо создана основа для формирования.
    • Содержать обязательство соответствовать требованиям, связанным с конфиденциальностью и мерами безопасности.
    • Должно быть отражено обязательство постоянного совершенствования системы управления, мониторинга и аудитов.

    Заголовок «политика информационной безопасности» не является обязательным для документа. В зависимости от принятой в компании системы наименований, альтернативами могут быть такие термины как "концепция", "регламент", "стандарт", "инструкция" или "правила" информационной безопасности. 

    Политики информационной безопасности высокого и низкого уровня

    В ГОСТ Р ИСО/МЭК 27002-2021 изложен двухуровневый подход создания стандартов безопасности компании. Он объясняет, что организация может иметь одну политику ИБ на высоком уровне и несколько на низком уровне. Они могут быть представлены в виде одного документа, либо как отдельные, но взаимосвязанные документы.

    Уровни документов, связанных с политикой информационной безопасности

    Уточняем: создание нескольких отдельных документов может оказаться неудобным с практической точки зрения, особенно для малых и средних предприятий (МСП). Однако в крупных и особо крупных организациях или холдингах, где процессы, области и направления обеспечения информационной безопасности детально регламентированы и включают большое количество ответственных лиц и сотрудников, распределение ИБ между несколькими отдельными политиками является распространённой практикой.

    Политика ИБ высокого уровня

    Политика конфиденциальности высокого уровня должна включать стратегию формирования и достижения целей информационной безопасности. Ответственность за утверждение такого документа лежит на руководстве компании. Прописанные требования на высоком уровне, должны учитывать следующее:

    • Бизнес-стратегию организации.
    • Нормативные акты и требования регуляторов.
    • Текущую и прогнозируемую среду угроз информационной безопасности.

    что регулируют высокие политики

    Политика ИБ низкого уровня

    Политика конфиденциальности на низком уровне должна поддерживать, конкретизировать и детализировать политики информационной безопасности высокого уровня. Она определяет конкретные меры, процедуры и технические решения, необходимые для обеспечения защищенности в компании. Вот что она регулирует:

    Области, которые регулируются политиками информационной безопасности

    Что нужно знать для создания политики информационной безопасности

    Политика обеспечения целостности данных основывается на следующих сведениях:

    • Перечень информации, которая подлежит защите в компании.
    • Сведения об организации хранения такой информации.
    • Схема субъектов и объектов доступа к ним.
    • Существующие уязвимости.
    • Приоритетные угрозы безопасности информации.
    • Модели нарушителей безопасности информации.
    • Применяемые меры обеспечения защиты конфиденциальности.
    • Имеющиеся информационные и технические ресурсы, внедрённые программные средства защиты информации и информационной системы.
    • Сведения о системе контроля и оценки защищенности информации в компании.

    Как разработать политику информационной безопасности

    Алгоритм создания политики информационной конфиденциальности состоит из трёх этапов:

    Этап 1. Подготовка проекта политики ИБ. Для этого рекомендуется вовлечь ответственных лиц, а в некоторых случаях создать специальную комиссию. В распорядительных документах (например, приказах, распоряжениях) следует четко определить задачи и области, которые должны регулироваться политикой ИБ. Текст проекта должен быть представлен в понятной и доступной форме для предполагаемых читателей.

    Этап 2. Согласование и утверждение политики ИБ. На этом этапе финальный вариант политики информационной безопасности согласовывается с руководителями и утверждается высшим правлением организации. Итоговый документ должен быть опубликован и доступен для сотрудников и всех заинтересованных сторон, если таковые имеются.

    Этап 3. Ознакомление и введение в действие. На этом этапе необходимо ознакомить всех сотрудников и соответствующие внешние стороны с утвержденным документом "Политика информационной безопасности".

    как разработать политику ИБ

    Когда обновлять политику информационной безопасности

    В компании должна существовать практика актуализации политики информационной безопасности. Причины могут быть:

    • Плановыми. Политику конфиденциальности, как и любой другой руководящий документ, следует проверять на необходимость внесения изменений спустя определённые интервалы времени, установленные в компании.

    • Внеплановыми. Может понадобиться, если произошли существенные внутренние или внешние изменения, влияющие на среду организации, а, следовательно, и на корректность текста политики ИБ. Например, внеплановые изменения понадобятся, если в компании изменились рабочие процессы или используемые информационные и программно-технические ресурсы, произошёл пересмотр угроз или переоценка рисков, вступили в силу новые законы, которые касаются информационной безопасности и т.д.

    Алгоритм пересмотра и актуализации политики информационной безопасности состоит из трёх этапов:

    Этап 1. Пересмотреть текст действующей политики ИБ в установленный срок (для запуска процесса рекомендуется издать распорядительный документ). Делать это должен либо разработчик политики ИБ, либо другое лицо, назначенное ответственным за её актуализацию. Работа, проведённая на этом этапе, может быть включена в документ, который имеет вид отчёта или заключения. В него следует включить конкретные предложения всех необходимых изменений.

    Этап 2. Систематизировать и приоритизировать все предложенные изменения. Заниматься этим может как сотрудник, упомянутый в Этапе 1, так и специалисты, ответственные за процессы или области, к которым относятся изменения.

    Этап 3. Согласовать все необходимые правки, внести изменения в уже существующий документ, а затем утвердить новую политику информационной безопасности, отменив действие прежнего документа.

    алгоритм актуализации

    Что стоит учитывать при разработке политики безопасности информации

    При разработке политики информационной безопасности необходимо учитывать пять основных принципов реализации, соблюдение которых позволит создать документ, который будет служить эффективным и действующим средством обеспечения информационной безопасности.

    Принцип 1. Исключение неоднозначности установленных правил, норм, положений. Важно не нарушать этапы создания документа: не сокращать время, необходимое для согласования разделов, не исключать из этого процесса лиц, ответственных за процессы в какой-либо области, которая регулируется политикой ИБ.

    Принцип 2. Осведомлённость о самых слабых местах в системе защиты информации. В большинстве случаев проблемы с обеспечением информационной безопасности связаны с тем, как сотрудники компании взаимодействуют с данными. По этой причине важно уделять достаточное внимание регламентации таких действий и порядку их контроля.

    Принцип 3. Исключение небезопасного состояния. Не имеет значения, сколько требований, программных средств защиты и мер обеспечения безопасности внедрено в компанию. Главное, чтобы усилия и средства (человеческие, финансовые), которые затрачиваются на снижение угроз, были достаточными. В таком случае они будут способны защитить организацию от установленных рисков в любых, даже нештатных ситуациях. Например, если деятельность организации связана с персональными данными и главной угрозой её информационной безопасности является утечка данных, в первую очередь следует обратить внимание на такой класс программных продуктов, как DLP-системы. Изучить функционал DLP-системы Falcongaze SecureTower можно бесплатно, а после 30 дней тестового использования, информация, собранная за это время, поможет сформировать точное представление о слабых местах в системе, регламентировать действия, связанные с ними и устранить приоритетные угрозы.

    Принцип 4. Минимизация привилегий. Для каждой роли сотрудника должен быть установлен определённый уровень доступа к тем объектам информации, с которыми ему требуется взаимодействовать в рамках своих должностных обязанностей. Управление такими параметрами должно быть строго регламентировано. Также обязательно проводить периодический контроль их соблюдения.

    Принцип 5. Распределение ответственности. В политике не должны быть установлены требования, в соответствии с которыми ответственность, например, за контроль исполнения процесса возложена лишь на одного человека.

    Попробуйте систему защиты информации (ДЛП-систему) сейчас!

    Важные публикации

    DLP-система - что это такое и зачем нужна?
    DLP-система
    DLP-система - что это такое и зачем нужна?
    DLP-система (от англ. Data Leak Prevention) это специализированное ПО, которое защищает организацию от утечек данных. Данная технология – это не только возможность блокировать передачу конфиденциальной информации по различным каналам, но и инструмент для наблюдения за ежедневной работой сотрудников, который позволяет найти слабые места в безопасности до наступления инцидента.
    Основы информационной безопасности: что такое информационная безопасность?
    Информационная безопасность
    Основы информационной безопасности: что такое информационная безопасность?
    Специалисты аналитического центра Falcongaze SecureTower подготовили статью, в которой объясняются основы информационной безопасности. Она будет полезна всем, кто хочет разобраться, с чего начать знакомство с этой сферой деятельности. Прочитав статью, вы узнаете: точное определение понятия «информационная безопасность»; свойства и способности, которыми должны обладать информация и средства ее обработки; пошаговый перечень общих действий, которые позволят обеспечить информационную безопасность в организации.
    Вышла новая версия DLP-системы Falcongaze SecureTower 7 Helium
    Обновления SecureTower
    Вышла новая версия DLP-системы Falcongaze SecureTower 7 Helium
    5 ноября 2024 года мы выпустили обновленную версию DLP-системы SecureTower 7 Helium, в которой была усовершенствована система защиты информации и предотвращения утечек конфиденциальных и персональных данных, а также добавлены новые полезные функции — все для удобства пользователей.
    Дайджест SecureTower: обновления августа 2024 года
    Новости Falcongaze
    Дайджест SecureTower: обновления августа 2024 года
    Перед вами дайджест улучшений системы Falcongaze SecureTower за август 2024 года. Приятного просмотра!
    DLP-системы – что это такое и как это работает
    DLP-система
    DLP-системы – что это такое и как это работает
    Информатизация и цифровизация всех процессов жизнедеятельности – это основной тренд последних лет. При условии, что каждая из областей переходит в цифровой формат и становится более мобильной, возникает необходимость в обеспечении такого же мобильного, современного, подходящего под требование времени контура защиты информации. Одним из представителей такого продвинутого подхода к информационной безопасности являются DLP-системы.
    Информационная безопасность предприятия: что это такое и зачем нужна компании
    Информационная безопасность
    Информационная безопасность предприятия: что это такое и зачем нужна компании
    Современное предприятие является обладателем огромного пула информации в разных вариациях. Как обеспечить ее защиту? В какой форме контур безопасности информации в компании будет обеспечен полностью? И в общем: что такое информационная безопасность предприятия? Об этом в статье.
    Профайлинг
    Управление персоналом
    Профайлинг
    Психология внедрена в корпоративную жизнь достаточно плотно. Есть задачи, которые решаются только с помощью таких приемов. И даже используются специальные методы определения личности – профайлинг, когда анализируют психологический портрет окружения. Что такое профайлинг и как он применяется?
    Угрозы информационной безопасности
    Информационная безопасность
    Угрозы информационной безопасности
    Угрозы информационной безопасности решаются комплексом мер по предупреждению, выявлению и обнаружению, локализации и смягчении последствий от наступивших угроз ИБ. Об этом подробнее в статье Falcongaze.
    Документы по информационной безопасности: общие и частные примеры
    Информационная безопасность
    Документы по информационной безопасности: общие и частные примеры
    Информационная безопасность – важная тема для многих. О мерах ИБ задумываются в какой-то мере все участники общества: и частные лица, и организации, и само государство в целом. При таком разнообразии подходов и необходимости адаптации процессов под каждый отдельный случай важно создать четкий план действий. Для этого и созданы документы по информационной безопасности. Предлагаем сегодня рассмотреть эту тему.
    Информационная безопасность: определение, требования, модели и этапы
    Информационная безопасность
    Информационная безопасность: определение, требования, модели и этапы
    Информационная безопасность – это одно из основных направлений защиты бизнеса каждой современной компании. Сегодня, в эпоху всесторонней цифровизации, именно информация становится главным оружием в конкурентной гонке.
    Защита персональных данных
    Защита информации
    Защита персональных данных
    Персональные сведения представляют собой информацию, которая позволяет определить личность определенного человека или сделать его узнаваемым. Эти сведения включают такие данные, как ФИО, адреса, телефоны, финансовую информацию и др. В данной статье мы рассмотрим суть защиты персональных данных и их конфиденциальности, а также различия между ними. Кроме того, мы ознакомимся с основными требованиями законодательства в отношении защиты персональных данных и методами их соблюдения.
    Что такое CRM-системы управления клиентскими отношениями
    Технологии
    Что такое CRM-системы управления клиентскими отношениями
    CRM (Customer Relationship Management) — это системы управления отношениями, которые помогают компаниям налаживать эффективную коммуникацию с клиентами, повышать уровень обслуживания, усиливать лояльность и увеличивать доходы. Использование CRM в комбинации с DLP – это инвестиция в мощный инструмент в качестве системы управления компанией.
    Показать больше

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации