+375 (17) 311-10-14
+375 (17) 311-10-14
Попробовать бесплатно
Попробовать бесплатно
+375 (17) 311-10-14
    Информационная безопасность
    02.04.2025
    7 мин.

    Основные цели политики информационной безопасности

    Основные цели политики информационной безопасности

    Вы не сможете защитить данные организации, если ваша политика безопасности носит исключительно формальный характер, не имеет целей и существует только «на бумаге». В этом материале мы разберем, как определить и поставить основные цели политики информационной безопасности, зачем это нужно и что стоит учитывать.

    Из статьи вы узнаете:

    1. Понятие политики безопасности

    2. Каковы основные цели политики безопасности?

    3. Как DLP-система Falcongaze SecureTower помогает контролировать соблюдение политики безопасности?

    Разберем основные определения и понятия, которые используются в этой статье.

    Политика информационной безопасности (далее — ПБ) — комплекс правил, практик и процедур, принятых в организации и оформленных документально, направленных на обеспечение информационной безопасности.

    Информационная безопасность (далее — ИБ) — состояние информационной системы предприятия, при котором ее информационные активы полностью защищены от хищения, несанкционированного распространения, изменения и уничтожения.

     Понятие политики безопасности

    Политика ИБ, по сути, это комплекс документов с подробным описанием требований, которым должна соответствовать организация в отношении обеспечения безопасности своей информационной системы, сотрудников, клиентов, активов и проч.

    Каждая компания составляет политику в соответствии с возможностями и потребностями, опираясь на рекомендации и предписания, указанные в законодательных актах страны, на территории которой она работает. Если компания собирает и обрабатывает персональные данные граждан на территории иностранного государства, придется учитывать и его законодательные требования.

    Политику ИБ необходимо регулярно пересматривать и обновлять, чтобы соответствовать меняющимся требованиям или законам отрасли, в которой работает организация, и отвечать актуальным, постоянно возникающим угрозам информационной безопасности.

    Какая информация должна содержаться в политике ИБ мы рассказали в этой статье

     Каковы основные цели политики безопасности?

    Как правило, организации могут сами определять цели политики безопасности, опираясь специфику деятельности, существующие бизнес-процессы, планы развития и, конечно, учитывая, какие конкретно данные нуждаются в защите.

    Исходя из этого, первичной целью ПБ мы можем назвать определение информационных ресурсов, безопасность которых необходимо обеспечить.

    Цель №1: инвентаризировать данные, которые нуждаются в защите

    Мы говорим о полной инвентаризации информационных активов организации, цифровых и на физических носителях. 

    Как правило, речь идет о данных, представляющих коммерческую тайну, ноу-хау, персональные данные граждан, бухгалтерскую отчетность, маркетинговую стратегию и проч. 

    В случаях, когда законодательство не содержит четких требований, компании могут самостоятельно выбирать, какие данные нуждаются в защите и какие методы и средства будут использованы. При этом, если организация агрегирует, использует и хранит персональные данные граждан, разработать политику безопасности и контролировать ее соблюдение обязывают регуляторы в ИБ-области. В Российской Федерации регуляторами являются ФСТЭК, ФСБ, ФСО, Роскомнадзор и Минкомсвязи. 

    Важно! Законодательство в области защиты персональных данных постоянно ужесточается. В России штрафы, которые накладываются на организации в случае утечки чувствительных сведений о гражданах, стали беспрецедентно высокими: организация может потерять от 200 000 до 50 000 000 рублей. В случае особенно крупных утечек, повлекших тяжкие последствия, законодательство предусматривает и уголовную ответственность.

    После инвентаризации информационных активов необходимо продумать меры и средства, внедрение которых позволит обеспечить целостность, доступность и конфиденциальность данных организации. Здесь перейдем к другим целям политики информационный безопасности.

    Политика безопасности, триада ЦРУ

    Цель №2: регламентировать меры и средства, направленные на обеспечение конфиденциальности данных

    Описать меры, средства, процедуры и практики, направленные на защиту данных от хищения и несанкционированного распространения. Как уже говорилось выше, компании, собирающие и обрабатывающие персональные данные граждан, по закону обязаны внедрить и соблюдать соответствующие меры защиты. 

    Цель №3: регламентировать меры и средства, направленные на обеспечение доступности данных

    Разработать и описать меры и практики, гарантирующие, что внутренние и внешние пользователи могут получить доступ к необходимым данным и системам в нужное время. Разработать план восстановления информационной системы в случае ИБ-инцидента.

    Цель №4: регламентировать меры и средства, направленные на обеспечение целостности и неизменности данных

    Разработать и описать меры и практики, направленные на предотвращение несанкционированного изменения или повреждения чувствительной информации.

    Цель №5: соответствовать требованиям регуляторов

    При составлении ПБ организации важно учитывать требования регуляторов в области. Это позволит избежать санкций и штрафов в случае проверок и при проведении расследований. 

    Так, строгое следование регламенту, описанному в ПБ, позволяет существенно снизить возможные штрафы в случае утечки данных. С точки зрения закона наличие ПБ и внедренных мер безопасности указывает на то, что обладатель информации как минимум предпринимал попытки обеспечить ее безопасность.   

    Цель №6: Обеспечить единый подход к защите данных в рамках компании

    Для следования данной цели необходимо проработать методологическую основу, которую в перспективе можно будет использовать для создания внутренних документов по ИБ. 

    По сути, конечная цель создания политики безопасности — получить формализованный набор правил и рекомендаций, придерживаясь которых организация сможет защитить свои информационные активы, а вместе с этим и свои интересы в случае судебных разбирательств или во время проверок со стороны регуляторов.

    Что важно знать?

    Как уже говорилось выше, составление политики безопасности не должно носить формальный характер. Положения, описанные в политике, должны соблюдаться и при этом полностью отвечать задачам информационной безопасности организации.

    Текст документации ПБ должен быть простым и понятным для любой категории пользователей: руководства организации, технических специалистов и простых исполнителей. Изложенные правила должны быть грамотно сформулированы, чтобы сотрудники без технического образования могли понять их и легко соблюдать.

    В процессе разработки документ должен быть распространен среди руководителей и ключевых сотрудников, ответственных за реализацию политики. Любая путаница, неясность или неопределенность должны быть рассмотрены и устранены до утверждения политики.

    Документ с изложенными политиками и регламентом должен быть доступен для персонала — для этого его можно опубликовать на используемом внутри компании веб-ресурсе.

    Важно! Даже самая продуманная ПБ не будет эффективной, если сотрудники организации не соблюдают принятые положения.

     Как DLP-система Falcongaze SecureTower помогает контролировать соблюдение политики безопасности?

    DLP SecureTower — это решение, которое можно использовать для мониторинга соблюдения установленных в организации правил безопасности.

    Система автоматически перехватывает информацию, передаваемую по максимальному числу информационных каналов:

    • электронной почте, ее онлайн-версиям и версиям с шифрованием;
    • мессенджерам, социальным сетям;
    • IP-телефонии;
    • внешним устройствам хранения информации;
    • локальным и сетевым принтерам и проч.

    При этом SecureTower в постоянном режиме наблюдает за активностью персонала организации за рабочими станциями. Если система зарегистрирует подозрительную активность, она сразу же оповестит офицера безопасности.

    ФалконгейтсВ системе уже есть предустановленные политики безопасности, которые позволят контролировать соблюдение правил, установленных в организации. Политики разбиты на такие категории, как «Контроль использования почты», «Контроль переписок и звонков в мессенджерах», «Контроль лояльности сотрудников», «Нарушение законодательства», «Утечка информации» и «Утечка банковских данных», «Утечка логинов и паролей», «Утечка персональных данных сотрудников» и проч.

    Также вы можете настроить собственные политики, которые будут полностью отвечать задачам безопасности вашей организации, учитывать профессиональный сленг и жаргон, специфические бизнес-операции и проч.

    Воспользоваться DLP SecureTower и изучить, как сотрудники соблюдают установленные в компании правила безопасности, вы можете бесплатно во время 30-дневного тестового периода. На это время мы прикрепляем к клиентам менеджера и технического специалиста, которые помогут настроить правила безопасности и расскажут, как использовать систему эффективно.

    В заключение

    Создание и внедрение ПБ — это непрерывный процесс. Положения политики необходимо регулярно обновлять в соответствии с изменением состава используемых информационных активов, внедренных технических и программных средств, расширением организации и введением новых должностей и проч.

    Грамотно составленная политика безопасности позволяет компании действовать на упреждение внутренних и внешних угроз, что, в конечном итоге, положительно сказывается на ее репутации и доверии со стороны клиентов и партнеров.

    При этом важно понимать: политика безопасности — это не формальность, не просто документ, который руководство организации достает во время проверок регуляторов. ПБ — это внутренняя культура организации.

    Важные публикации

    DLP-система - что это такое и зачем нужна?
    DLP-система
    DLP-система - что это такое и зачем нужна?
    DLP-система (от англ. Data Leak Prevention) это специализированное ПО, которое защищает организацию от утечек данных. Данная технология – это не только возможность блокировать передачу конфиденциальной информации по различным каналам, но и инструмент для наблюдения за ежедневной работой сотрудников, который позволяет найти слабые места в безопасности до наступления инцидента.
    Основы информационной безопасности: что такое информационная безопасность?
    Информационная безопасность
    Основы информационной безопасности: что такое информационная безопасность?
    Специалисты аналитического центра Falcongaze SecureTower подготовили статью, в которой объясняются основы информационной безопасности. Она будет полезна всем, кто хочет разобраться, с чего начать знакомство с этой сферой деятельности. Прочитав статью, вы узнаете: точное определение понятия «информационная безопасность»; свойства и способности, которыми должны обладать информация и средства ее обработки; пошаговый перечень общих действий, которые позволят обеспечить информационную безопасность в организации.
    Вышла новая версия DLP-системы Falcongaze SecureTower 7 Helium
    Обновления SecureTower
    Вышла новая версия DLP-системы Falcongaze SecureTower 7 Helium
    5 ноября 2024 года мы выпустили обновленную версию DLP-системы SecureTower 7 Helium, в которой была усовершенствована система защиты информации и предотвращения утечек конфиденциальных и персональных данных, а также добавлены новые полезные функции — все для удобства пользователей.
    Дайджест SecureTower: обновления августа 2024 года
    Новости Falcongaze
    Дайджест SecureTower: обновления августа 2024 года
    Перед вами дайджест улучшений системы Falcongaze SecureTower за август 2024 года. Приятного просмотра!
    DLP-системы – что это такое и как это работает
    DLP-система
    DLP-системы – что это такое и как это работает
    Информатизация и цифровизация всех процессов жизнедеятельности – это основной тренд последних лет. При условии, что каждая из областей переходит в цифровой формат и становится более мобильной, возникает необходимость в обеспечении такого же мобильного, современного, подходящего под требование времени контура защиты информации. Одним из представителей такого продвинутого подхода к информационной безопасности являются DLP-системы.
    Информационная безопасность предприятия: что это такое и зачем нужна компании
    Информационная безопасность
    Информационная безопасность предприятия: что это такое и зачем нужна компании
    Современное предприятие является обладателем огромного пула информации в разных вариациях. Как обеспечить ее защиту? В какой форме контур безопасности информации в компании будет обеспечен полностью? И в общем: что такое информационная безопасность предприятия? Об этом в статье.
    Профайлинг
    Управление персоналом
    Профайлинг
    Психология внедрена в корпоративную жизнь достаточно плотно. Есть задачи, которые решаются только с помощью таких приемов. И даже используются специальные методы определения личности – профайлинг, когда анализируют психологический портрет окружения. Что такое профайлинг и как он применяется?
    Угрозы информационной безопасности
    Информационная безопасность
    Угрозы информационной безопасности
    Угрозы информационной безопасности решаются комплексом мер по предупреждению, выявлению и обнаружению, локализации и смягчении последствий от наступивших угроз ИБ. Об этом подробнее в статье Falcongaze.
    Документы по информационной безопасности: общие и частные примеры
    Информационная безопасность
    Документы по информационной безопасности: общие и частные примеры
    Информационная безопасность – важная тема для многих. О мерах ИБ задумываются в какой-то мере все участники общества: и частные лица, и организации, и само государство в целом. При таком разнообразии подходов и необходимости адаптации процессов под каждый отдельный случай важно создать четкий план действий. Для этого и созданы документы по информационной безопасности. Предлагаем сегодня рассмотреть эту тему.
    Информационная безопасность: определение, требования, модели и этапы
    Информационная безопасность
    Информационная безопасность: определение, требования, модели и этапы
    Информационная безопасность – это одно из основных направлений защиты бизнеса каждой современной компании. Сегодня, в эпоху всесторонней цифровизации, именно информация становится главным оружием в конкурентной гонке.
    Защита персональных данных
    Защита информации
    Защита персональных данных
    Персональные сведения представляют собой информацию, которая позволяет определить личность определенного человека или сделать его узнаваемым. Эти сведения включают такие данные, как ФИО, адреса, телефоны, финансовую информацию и др. В данной статье мы рассмотрим суть защиты персональных данных и их конфиденциальности, а также различия между ними. Кроме того, мы ознакомимся с основными требованиями законодательства в отношении защиты персональных данных и методами их соблюдения.
    Что такое CRM-системы управления клиентскими отношениями
    Технологии
    Что такое CRM-системы управления клиентскими отношениями
    CRM (Customer Relationship Management) — это системы управления отношениями, которые помогают компаниям налаживать эффективную коммуникацию с клиентами, повышать уровень обслуживания, усиливать лояльность и увеличивать доходы. Использование CRM в комбинации с DLP – это инвестиция в мощный инструмент в качестве системы управления компанией.
    Показать больше

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации