02.02.2016 16:33
Новости.
Просмотров всего: 4232; сегодня: 2.

Цели и задачи корпоративной политики безопасности

Цели и задачи корпоративной политики безопасности

Внедрение корпоративной политики безопасности — это очевидный шаг для компаний, заботящихся о собственном благополучии, и неотъемлемая часть всех мероприятий по обеспечению защиты бизнеса. В глобальном смысле политика безопасности описывает главные принципы и общие концепции по организации информационной безопасности в конкретной компании, а переходя от общего к частному, описывает и регулирует все рабочие процессы с точки зрения их безопасности.

Для чего нужна политика безопасности

Основная задача корпоративной политики безопасности — это задокументировать правила работы на предприятии в области информационной безопасности. Без нее взаимодействие работников с различными ресурсами будет регулироваться лишь неформально и поэтому возрастет риск нарушений и утечек данных. Введение корпоративной политики повысит дисциплинированность и ответственность работников и построит базу, основываясь на которой можно эффективно организовывать работу компании.

При разработке корпоративной политики безопасности начать следует с определения рисков, которые грозят компании. Это значит в первую очередь определить какие информационные активы следует защищать, каким угрозам подвержены эти активы и какой урон грозит предприятию в случае осуществления этих угроз. Процесс внедрения защитных мер — это всегда поиск компромисса между удобством и снижением рисков. Внедрение политики безопасности является своего рода формализацией этого компромисса. Принятие корпоративной политики поможет минимизировать ситуации, в которых рядовой пользователь не воспринимает всерьез рекомендации ИБ-отдела, а «безопасники» пытаются защитить все и от всего, мешая рабочим процессам компании.

Существует международный стандарт безопасности ISO/IEC 27001, соответствующий лучшим международным практикам в сфере обеспечения безопасности. Прохождение сертификации (получение декларации на соответствие) по ISO/IEC 27001 дает полное право утверждать, что информационная безопасность компании находится на максимально высоком уровне. Однако выполнение всех требований, изложенных в стандарте, может оказаться весьма затратным и не всегда целесообразным. В зависимости от специфики бизнеса отдельные требования стандарта можно взять на вооружение и тем самым «подстелить соломки» на случай непредвиденных обстоятельств. Кроме того, существуют такие стандарты и руководства, как ITIL и CobiT, представляющие собой гораздо более подробные и объемные документы, в которых информационная безопасность является частью более глобального подхода к организации менеджмента и по которым также проводится сертификация.

Что должно содержаться в корпоративной политике безопасности

Обеспечение безопасности следует проводить на всех уровнях, от сервера до конечного пользователя. Например, составляется список серверов (сервер электронной почты, FTP, HTTP) и перечень лиц, имеющих к ним доступ, определяются задачи и обязанности. Еще более важным при разработке регламентов безопасности является политика безопасности рабочих мест, в частности политика работы с веб-ресурсами. В ней регулируются ответственность и обязанности сотрудников при работе в интернете.

В политике следует прописывать все меры, которые компания применяет для контроля соблюдения этих политик, и указывать уровень ответственности за нарушения политики.

Положения корпоративной политики информационной безопасности дополняются документами, содержащими частные политики, такими, как вышеописанные политики безопасности рабочих мест и политика безопасности серверов. Важно не путать политики ИБ и процедуры. Требования к информационной безопасности процедур — это самый частный документ в политике корпоративной безопасности и описывает непосредственные меры для обеспечения информационной безопасности в процессе работы персонала.

Естественно, что обязательным условием обеспечения информационной безопасности является эффективно отлаженная работа коллектива. Ошибки в менеджменте и управлении персоналом грозят не только недополученной прибылью, но и многочисленными нарушениями политик безопасности.

Контроль соблюдения политики безопасности

Существуют различные методики контроля за соблюдением работниками корпоративных политик. Разнообразное ПО, предназначенное для мониторинга сотрудников, поставляется как отдельно, так и в составе более комплексных продуктов. Многие DLP-системы, такие, как Falcongaze SecureTower, помимо своей главной функции предотвращения утечек данных, позволяют производить мониторинг работы сотрудников и отслеживать даже те нарушения, которые не привели к нежелательным последствиям. А способ борьбы с такими нарушениями — предусмотренные политикой санкции.

Контроль и регулирование работы компании может вызвать протест среди сотрудников, вызванный вмешательством в привычный для них режим работы. Важно понимать, что оборудование и сервисы, предоставляемые работнику работодателем. являются собственностью владельца бизнеса. В том числе и время, «выкупленное» работодателем у персонала. Поэтому все результаты труда, выполненного в рабочее время, принадлежат работодателю, а он, вследствие этого, имеет полное право их контролировать. Будет нелишним прописать это в политике ИБ.

Внедрение корпоративной политики безопасности — это не одномоментное событие, а долгий процесс, участвовать в котором должны как представители ИБ- и ИТ-отделов, так и руководители других подразделений, дабы избежать «перекосов» и чтобы исполнение положений политики оказалось возможным на практике. Задача политики безопасности не отрегулировать любой возможный процесс в работе компании, а создать базу, на основе которой будет функционировать предприятие в дальнейшем, дополняя общую политику безопасности отдельными, как формальными, так и устными, регламентами и процедурами.


Ньюсмейкер: FalconGaze — 116 публикаций
Поделиться:

Интересно:

О своих мечтах об отдыхе поделились российские дети
28.03.2024 12:18 Аналитика
О своих мечтах об отдыхе поделились российские дети
В преддверии II Всероссийского конкурса юного художника «Место в России, где я мечтаю побывать», который стартует 1 апреля 2024 года, эксперты Национального туроператора Алеан рассказали, куда хотели поехать дети, исходя из анализа работ прошлого года. Дети в возрасте от 6 до 15 лет поделились...
562 года назад на престол взошёл Иван III
28.03.2024 10:44 Новости
562 года назад на престол взошёл Иван III
В историю он вошел в первую очередь как собиратель русских земель и, по сути, создатель единого государства Российского, созидатель и мудрый дипломат – при Иване III не только расширяются границы, но и создается прообраз системы управления страной – пишутся единые законы, утверждается...
Ранее неизвестные петроглифы описали российские ученые
27.03.2024 18:03 Новости
Ранее неизвестные петроглифы описали российские ученые
Группа ученых из Кемеровского государственного университета во главе с доктором исторических наук Ольгой Советовой описала ранее неизвестные петроглифы, обнаруженные в ходе экспедиций последних трех лет. Среди найденных рисунков неожиданно оказалось и крайне редкое изображение парохода. Основной...
Неизвестный объект археологического наследия найден в Подмосковье
27.03.2024 17:20 Новости
Неизвестный объект археологического наследия найден в Подмосковье
В подмосковном городе Ликино-Дулево Орехово-Зуевского городского поселения археологи провели превентивное обследование территории, прилегающей к скверу Дулевского фарфорового завода. В результате был обнаружен ранее неизвестный исторический слой, который уже признан вновь выявленным объектом...
Музыкальные вершины великих эпох России
27.03.2024 17:02 Мероприятия
Музыкальные вершины великих эпох России
26 марта 2024 года в Светлановском зале Московского международного Дома музыки представлен новый масштабный мультимедийный музыкально-исторический проект «Музыкальные вершины великих эпох России», проводимый в рамках  общероссийской историко-культурной  благотворительной акции...