Основные цели политики информационной безопасности
Вы не сможете защитить данные организации, если ваша политика безопасности носит исключительно формальный характер, не имеет целей и существует только «на бумаге». В этом материале мы разберем, как определить и поставить основные цели политики информационной безопасности, зачем это нужно и что стоит учитывать.
Из статьи вы узнаете:
1. Понятие политики безопасности
2. Каковы основные цели политики безопасности?
3. Как DLP-система Falcongaze SecureTower помогает контролировать соблюдение политики безопасности?
Разберем основные определения и понятия, которые используются в этой статье.
Политика информационной безопасности (далее — ПБ) — комплекс правил, практик и процедур, принятых в организации и оформленных документально, направленных на обеспечение информационной безопасности.
Информационная безопасность (далее — ИБ) — состояние информационной системы предприятия, при котором ее информационные активы полностью защищены от хищения, несанкционированного распространения, изменения и уничтожения.
Политика ИБ, по сути, это комплекс документов с подробным описанием требований, которым должна соответствовать организация в отношении обеспечения безопасности своей информационной системы, сотрудников, клиентов, активов и проч.
Каждая компания составляет политику в соответствии с возможностями и потребностями, опираясь на рекомендации и предписания, указанные в законодательных актах страны, на территории которой она работает. Если компания собирает и обрабатывает персональные данные граждан на территории иностранного государства, придется учитывать и его законодательные требования.
Политику ИБ необходимо регулярно пересматривать и обновлять, чтобы соответствовать меняющимся требованиям или законам отрасли, в которой работает организация, и отвечать актуальным, постоянно возникающим угрозам информационной безопасности.
Какая информация должна содержаться в политике ИБ мы рассказали в этой статье.
Как правило, организации могут сами определять цели политики безопасности, опираясь специфику деятельности, существующие бизнес-процессы, планы развития и, конечно, учитывая, какие конкретно данные нуждаются в защите.
Исходя из этого, первичной целью ПБ мы можем назвать определение информационных ресурсов, безопасность которых необходимо обеспечить.
Мы говорим о полной инвентаризации информационных активов организации, цифровых и на физических носителях.
Как правило, речь идет о данных, представляющих коммерческую тайну, ноу-хау, персональные данные граждан, бухгалтерскую отчетность, маркетинговую стратегию и проч.
В случаях, когда законодательство не содержит четких требований, компании могут самостоятельно выбирать, какие данные нуждаются в защите и какие методы и средства будут использованы. При этом, если организация агрегирует, использует и хранит персональные данные граждан, разработать политику безопасности и контролировать ее соблюдение обязывают регуляторы в ИБ-области. В Российской Федерации регуляторами являются ФСТЭК, ФСБ, ФСО, Роскомнадзор и Минкомсвязи.
Важно! Законодательство в области защиты персональных данных постоянно ужесточается. В России штрафы, которые накладываются на организации в случае утечки чувствительных сведений о гражданах, стали беспрецедентно высокими: организация может потерять от 200 000 до 50 000 000 рублей. В случае особенно крупных утечек, повлекших тяжкие последствия, законодательство предусматривает и уголовную ответственность.
После инвентаризации информационных активов необходимо продумать меры и средства, внедрение которых позволит обеспечить целостность, доступность и конфиденциальность данных организации. Здесь перейдем к другим целям политики информационный безопасности.
Описать меры, средства, процедуры и практики, направленные на защиту данных от хищения и несанкционированного распространения. Как уже говорилось выше, компании, собирающие и обрабатывающие персональные данные граждан, по закону обязаны внедрить и соблюдать соответствующие меры защиты.
Разработать и описать меры и практики, гарантирующие, что внутренние и внешние пользователи могут получить доступ к необходимым данным и системам в нужное время. Разработать план восстановления информационной системы в случае ИБ-инцидента.
Разработать и описать меры и практики, направленные на предотвращение несанкционированного изменения или повреждения чувствительной информации.
При составлении ПБ организации важно учитывать требования регуляторов в области. Это позволит избежать санкций и штрафов в случае проверок и при проведении расследований.
Так, строгое следование регламенту, описанному в ПБ, позволяет существенно снизить возможные штрафы в случае утечки данных. С точки зрения закона наличие ПБ и внедренных мер безопасности указывает на то, что обладатель информации как минимум предпринимал попытки обеспечить ее безопасность.
Цель №6: Обеспечить единый подход к защите данных в рамках компании
Для следования данной цели необходимо проработать методологическую основу, которую в перспективе можно будет использовать для создания внутренних документов по ИБ.
По сути, конечная цель создания политики безопасности — получить формализованный набор правил и рекомендаций, придерживаясь которых организация сможет защитить свои информационные активы, а вместе с этим и свои интересы в случае судебных разбирательств или во время проверок со стороны регуляторов.
Как уже говорилось выше, составление политики безопасности не должно носить формальный характер. Положения, описанные в политике, должны соблюдаться и при этом полностью отвечать задачам информационной безопасности организации.
Текст документации ПБ должен быть простым и понятным для любой категории пользователей: руководства организации, технических специалистов и простых исполнителей. Изложенные правила должны быть грамотно сформулированы, чтобы сотрудники без технического образования могли понять их и легко соблюдать.
В процессе разработки документ должен быть распространен среди руководителей и ключевых сотрудников, ответственных за реализацию политики. Любая путаница, неясность или неопределенность должны быть рассмотрены и устранены до утверждения политики.
Документ с изложенными политиками и регламентом должен быть доступен для персонала — для этого его можно опубликовать на используемом внутри компании веб-ресурсе.
Важно! Даже самая продуманная ПБ не будет эффективной, если сотрудники организации не соблюдают принятые положения.
DLP SecureTower — это решение, которое можно использовать для мониторинга соблюдения установленных в организации правил безопасности.
Система автоматически перехватывает информацию, передаваемую по максимальному числу информационных каналов:
При этом SecureTower в постоянном режиме наблюдает за активностью персонала организации за рабочими станциями. Если система зарегистрирует подозрительную активность, она сразу же оповестит офицера безопасности.
В системе уже есть предустановленные политики безопасности, которые позволят контролировать соблюдение правил, установленных в организации. Политики разбиты на такие категории, как «Контроль использования почты», «Контроль переписок и звонков в мессенджерах», «Контроль лояльности сотрудников», «Нарушение законодательства», «Утечка информации» и «Утечка банковских данных», «Утечка логинов и паролей», «Утечка персональных данных сотрудников» и проч.
Также вы можете настроить собственные политики, которые будут полностью отвечать задачам безопасности вашей организации, учитывать профессиональный сленг и жаргон, специфические бизнес-операции и проч.
Воспользоваться DLP SecureTower и изучить, как сотрудники соблюдают установленные в компании правила безопасности, вы можете бесплатно во время 30-дневного тестового периода. На это время мы прикрепляем к клиентам менеджера и технического специалиста, которые помогут настроить правила безопасности и расскажут, как использовать систему эффективно.
Создание и внедрение ПБ — это непрерывный процесс. Положения политики необходимо регулярно обновлять в соответствии с изменением состава используемых информационных активов, внедренных технических и программных средств, расширением организации и введением новых должностей и проч.
Грамотно составленная политика безопасности позволяет компании действовать на упреждение внутренних и внешних угроз, что, в конечном итоге, положительно сказывается на ее репутации и доверии со стороны клиентов и партнеров.
При этом важно понимать: политика безопасности — это не формальность, не просто документ, который руководство организации достает во время проверок регуляторов. ПБ — это внутренняя культура организации.