Попробовать бесплатно
    Информационная безопасность
    02.04.2025
    7 мин.

    Основные цели политики информационной безопасности

    Основные цели политики информационной безопасности

    Вы не сможете защитить данные организации, если ваша политика безопасности носит исключительно формальный характер, не имеет целей и существует только «на бумаге». В этом материале мы разберем, как определить и поставить основные цели политики информационной безопасности, зачем это нужно и что стоит учитывать.

    Из статьи вы узнаете:

    1. Понятие политики безопасности

    2. Каковы основные цели политики безопасности?

    3. Как DLP-система Falcongaze SecureTower помогает контролировать соблюдение политики безопасности?

    Разберем основные определения и понятия, которые используются в этой статье.

    Политика информационной безопасности (далее — ПБ) — комплекс правил, практик и процедур, принятых в организации и оформленных документально, направленных на обеспечение информационной безопасности.

    Информационная безопасность (далее — ИБ) — состояние информационной системы предприятия, при котором ее информационные активы полностью защищены от хищения, несанкционированного распространения, изменения и уничтожения.

     Понятие политики безопасности

    Политика ИБ, по сути, это комплекс документов с подробным описанием требований, которым должна соответствовать организация в отношении обеспечения безопасности своей информационной системы, сотрудников, клиентов, активов и проч.

    Каждая компания составляет политику в соответствии с возможностями и потребностями, опираясь на рекомендации и предписания, указанные в законодательных актах страны, на территории которой она работает. Если компания собирает и обрабатывает персональные данные граждан на территории иностранного государства, придется учитывать и его законодательные требования.

    Политику ИБ необходимо регулярно пересматривать и обновлять, чтобы соответствовать меняющимся требованиям или законам отрасли, в которой работает организация, и отвечать актуальным, постоянно возникающим угрозам информационной безопасности.

    Какая информация должна содержаться в политике ИБ мы рассказали в этой статье

     Каковы основные цели политики безопасности?

    Как правило, организации могут сами определять цели политики безопасности, опираясь специфику деятельности, существующие бизнес-процессы, планы развития и, конечно, учитывая, какие конкретно данные нуждаются в защите.

    Исходя из этого, первичной целью ПБ мы можем назвать определение информационных ресурсов, безопасность которых необходимо обеспечить.

    Цель №1: инвентаризировать данные, которые нуждаются в защите

    Мы говорим о полной инвентаризации информационных активов организации, цифровых и на физических носителях. 

    Как правило, речь идет о данных, представляющих коммерческую тайну, ноу-хау, персональные данные граждан, бухгалтерскую отчетность, маркетинговую стратегию и проч. 

    В случаях, когда законодательство не содержит четких требований, компании могут самостоятельно выбирать, какие данные нуждаются в защите и какие методы и средства будут использованы. При этом, если организация агрегирует, использует и хранит персональные данные граждан, разработать политику безопасности и контролировать ее соблюдение обязывают регуляторы в ИБ-области. В Российской Федерации регуляторами являются ФСТЭК, ФСБ, ФСО, Роскомнадзор и Минкомсвязи. 

    Важно! Законодательство в области защиты персональных данных постоянно ужесточается. В России штрафы, которые накладываются на организации в случае утечки чувствительных сведений о гражданах, стали беспрецедентно высокими: организация может потерять от 200 000 до 50 000 000 рублей. В случае особенно крупных утечек, повлекших тяжкие последствия, законодательство предусматривает и уголовную ответственность.

    После инвентаризации информационных активов необходимо продумать меры и средства, внедрение которых позволит обеспечить целостность, доступность и конфиденциальность данных организации. Здесь перейдем к другим целям политики информационный безопасности.

    Политика безопасности, триада ЦРУ

    Цель №2: регламентировать меры и средства, направленные на обеспечение конфиденциальности данных

    Описать меры, средства, процедуры и практики, направленные на защиту данных от хищения и несанкционированного распространения. Как уже говорилось выше, компании, собирающие и обрабатывающие персональные данные граждан, по закону обязаны внедрить и соблюдать соответствующие меры защиты. 

    Цель №3: регламентировать меры и средства, направленные на обеспечение доступности данных

    Разработать и описать меры и практики, гарантирующие, что внутренние и внешние пользователи могут получить доступ к необходимым данным и системам в нужное время. Разработать план восстановления информационной системы в случае ИБ-инцидента.

    Цель №4: регламентировать меры и средства, направленные на обеспечение целостности и неизменности данных

    Разработать и описать меры и практики, направленные на предотвращение несанкционированного изменения или повреждения чувствительной информации.

    Цель №5: соответствовать требованиям регуляторов

    При составлении ПБ организации важно учитывать требования регуляторов в области. Это позволит избежать санкций и штрафов в случае проверок и при проведении расследований. 

    Так, строгое следование регламенту, описанному в ПБ, позволяет существенно снизить возможные штрафы в случае утечки данных. С точки зрения закона наличие ПБ и внедренных мер безопасности указывает на то, что обладатель информации как минимум предпринимал попытки обеспечить ее безопасность.   

    Цель №6: Обеспечить единый подход к защите данных в рамках компании

    Для следования данной цели необходимо проработать методологическую основу, которую в перспективе можно будет использовать для создания внутренних документов по ИБ. 


    По сути, конечная цель создания политики безопасности — получить формализованный набор правил и рекомендаций, придерживаясь которых организация сможет защитить свои информационные активы, а вместе с этим и свои интересы в случае судебных разбирательств или во время проверок со стороны регуляторов.

    Что важно знать?

    Как уже говорилось выше, составление политики безопасности не должно носить формальный характер. Положения, описанные в политике, должны соблюдаться и при этом полностью отвечать задачам информационной безопасности организации.

    Текст документации ПБ должен быть простым и понятным для любой категории пользователей: руководства организации, технических специалистов и простых исполнителей. Изложенные правила должны быть грамотно сформулированы, чтобы сотрудники без технического образования могли понять их и легко соблюдать.

    В процессе разработки документ должен быть распространен среди руководителей и ключевых сотрудников, ответственных за реализацию политики. Любая путаница, неясность или неопределенность должны быть рассмотрены и устранены до утверждения политики.

    Документ с изложенными политиками и регламентом должен быть доступен для персонала — для этого его можно опубликовать на используемом внутри компании веб-ресурсе.

    Важно! Даже самая продуманная ПБ не будет эффективной, если сотрудники организации не соблюдают принятые положения.

     Как DLP-система Falcongaze SecureTower помогает контролировать соблюдение политики безопасности?

    DLP SecureTower — это решение, которое можно использовать для мониторинга соблюдения установленных в организации правил безопасности.

    Система автоматически перехватывает информацию, передаваемую по максимальному числу информационных каналов:

    • электронной почте, ее онлайн-версиям и версиям с шифрованием;
    • мессенджерам, социальным сетям;
    • IP-телефонии;
    • внешним устройствам хранения информации;
    • локальным и сетевым принтерам и проч.

    При этом SecureTower в постоянном режиме наблюдает за активностью персонала организации за рабочими станциями. Если система зарегистрирует подозрительную активность, она сразу же оповестит офицера безопасности.

    ФалконгейтсВ системе уже есть предустановленные политики безопасности, которые позволят контролировать соблюдение правил, установленных в организации. Политики разбиты на такие категории, как «Контроль использования почты», «Контроль переписок и звонков в мессенджерах», «Контроль лояльности сотрудников», «Нарушение законодательства», «Утечка информации» и «Утечка банковских данных», «Утечка логинов и паролей», «Утечка персональных данных сотрудников» и проч.

    Также вы можете настроить собственные политики, которые будут полностью отвечать задачам безопасности вашей организации, учитывать профессиональный сленг и жаргон, специфические бизнес-операции и проч.

    Воспользоваться DLP SecureTower и изучить, как сотрудники соблюдают установленные в компании правила безопасности, вы можете бесплатно во время 30-дневного тестового периода. На это время мы прикрепляем к клиентам менеджера и технического специалиста, которые помогут настроить правила безопасности и расскажут, как использовать систему эффективно.

    В заключение

    Создание и внедрение ПБ — это непрерывный процесс. Положения политики необходимо регулярно обновлять в соответствии с изменением состава используемых информационных активов, внедренных технических и программных средств, расширением организации и введением новых должностей и проч.

    Грамотно составленная политика безопасности позволяет компании действовать на упреждение внутренних и внешних угроз, что, в конечном итоге, положительно сказывается на ее репутации и доверии со стороны клиентов и партнеров.

    При этом важно понимать: политика безопасности — это не формальность, не просто документ, который руководство организации достает во время проверок регуляторов. ПБ — это внутренняя культура организации.

    Важные публикации

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации