02.02.2016 16:33
Новости.
Просмотров всего: 4210; сегодня: 1.

Цели и задачи корпоративной политики безопасности

Цели и задачи корпоративной политики безопасности

Внедрение корпоративной политики безопасности — это очевидный шаг для компаний, заботящихся о собственном благополучии, и неотъемлемая часть всех мероприятий по обеспечению защиты бизнеса. В глобальном смысле политика безопасности описывает главные принципы и общие концепции по организации информационной безопасности в конкретной компании, а переходя от общего к частному, описывает и регулирует все рабочие процессы с точки зрения их безопасности.

Для чего нужна политика безопасности

Основная задача корпоративной политики безопасности — это задокументировать правила работы на предприятии в области информационной безопасности. Без нее взаимодействие работников с различными ресурсами будет регулироваться лишь неформально и поэтому возрастет риск нарушений и утечек данных. Введение корпоративной политики повысит дисциплинированность и ответственность работников и построит базу, основываясь на которой можно эффективно организовывать работу компании.

При разработке корпоративной политики безопасности начать следует с определения рисков, которые грозят компании. Это значит в первую очередь определить какие информационные активы следует защищать, каким угрозам подвержены эти активы и какой урон грозит предприятию в случае осуществления этих угроз. Процесс внедрения защитных мер — это всегда поиск компромисса между удобством и снижением рисков. Внедрение политики безопасности является своего рода формализацией этого компромисса. Принятие корпоративной политики поможет минимизировать ситуации, в которых рядовой пользователь не воспринимает всерьез рекомендации ИБ-отдела, а «безопасники» пытаются защитить все и от всего, мешая рабочим процессам компании.

Существует международный стандарт безопасности ISO/IEC 27001, соответствующий лучшим международным практикам в сфере обеспечения безопасности. Прохождение сертификации (получение декларации на соответствие) по ISO/IEC 27001 дает полное право утверждать, что информационная безопасность компании находится на максимально высоком уровне. Однако выполнение всех требований, изложенных в стандарте, может оказаться весьма затратным и не всегда целесообразным. В зависимости от специфики бизнеса отдельные требования стандарта можно взять на вооружение и тем самым «подстелить соломки» на случай непредвиденных обстоятельств. Кроме того, существуют такие стандарты и руководства, как ITIL и CobiT, представляющие собой гораздо более подробные и объемные документы, в которых информационная безопасность является частью более глобального подхода к организации менеджмента и по которым также проводится сертификация.

Что должно содержаться в корпоративной политике безопасности

Обеспечение безопасности следует проводить на всех уровнях, от сервера до конечного пользователя. Например, составляется список серверов (сервер электронной почты, FTP, HTTP) и перечень лиц, имеющих к ним доступ, определяются задачи и обязанности. Еще более важным при разработке регламентов безопасности является политика безопасности рабочих мест, в частности политика работы с веб-ресурсами. В ней регулируются ответственность и обязанности сотрудников при работе в интернете.

В политике следует прописывать все меры, которые компания применяет для контроля соблюдения этих политик, и указывать уровень ответственности за нарушения политики.

Положения корпоративной политики информационной безопасности дополняются документами, содержащими частные политики, такими, как вышеописанные политики безопасности рабочих мест и политика безопасности серверов. Важно не путать политики ИБ и процедуры. Требования к информационной безопасности процедур — это самый частный документ в политике корпоративной безопасности и описывает непосредственные меры для обеспечения информационной безопасности в процессе работы персонала.

Естественно, что обязательным условием обеспечения информационной безопасности является эффективно отлаженная работа коллектива. Ошибки в менеджменте и управлении персоналом грозят не только недополученной прибылью, но и многочисленными нарушениями политик безопасности.

Контроль соблюдения политики безопасности

Существуют различные методики контроля за соблюдением работниками корпоративных политик. Разнообразное ПО, предназначенное для мониторинга сотрудников, поставляется как отдельно, так и в составе более комплексных продуктов. Многие DLP-системы, такие, как Falcongaze SecureTower, помимо своей главной функции предотвращения утечек данных, позволяют производить мониторинг работы сотрудников и отслеживать даже те нарушения, которые не привели к нежелательным последствиям. А способ борьбы с такими нарушениями — предусмотренные политикой санкции.

Контроль и регулирование работы компании может вызвать протест среди сотрудников, вызванный вмешательством в привычный для них режим работы. Важно понимать, что оборудование и сервисы, предоставляемые работнику работодателем. являются собственностью владельца бизнеса. В том числе и время, «выкупленное» работодателем у персонала. Поэтому все результаты труда, выполненного в рабочее время, принадлежат работодателю, а он, вследствие этого, имеет полное право их контролировать. Будет нелишним прописать это в политике ИБ.

Внедрение корпоративной политики безопасности — это не одномоментное событие, а долгий процесс, участвовать в котором должны как представители ИБ- и ИТ-отделов, так и руководители других подразделений, дабы избежать «перекосов» и чтобы исполнение положений политики оказалось возможным на практике. Задача политики безопасности не отрегулировать любой возможный процесс в работе компании, а создать базу, на основе которой будет функционировать предприятие в дальнейшем, дополняя общую политику безопасности отдельными, как формальными, так и устными, регламентами и процедурами.


Ньюсмейкер: FalconGaze — 116 публикаций
Поделиться:

Интересно:

Адольф Иоффе - главный дипломат советской России
18.03.2024 18:00 Персоны
Адольф Иоффе - главный дипломат советской России
«Мы, близкие друзья его, которые бок о бок с ним не только боролись, но и жили в течение десятков лет, мы вынуждены сегодня оторвать от сердца исключительный образ этого человека и друга. Он светил мягким и ровным светом, который...
Значок с изображением крылатого "василиска" обнаружен в Польше
18.03.2024 16:01 Новости
Значок с изображением крылатого "василиска" обнаружен в Польше
В деревне на юго-востоке Польши с помощью металлоискателя был обнаружен «значок паломника» эпохи средневековья с изображением василиска — грозного мифологического существа, похожего на дракона. Об этом сообщает Церковно-научный центр «Православная Энциклопедия» со ссылкой...
В мире стало меньше визовых ограничений
18.03.2024 11:39 Аналитика
В мире стало меньше визовых ограничений
С отменой ковидных ограничений на поездки меньшему количеству туристов теперь требуется получать традиционные визы, следует из последнего отчета UN Tourism. В отраслевой организации назвали макрорегионы мира с более лояльными и наиболее жесткими визовыми требованиями. UN Tourism, ранее известная...
В Москве восстановили 40 объектов, построенных по проектам Шехтеля
18.03.2024 09:46 Новости
В Москве восстановили 40 объектов, построенных по проектам Шехтеля
Специалисты отреставрировали фасад особняка Федора Шехтеля в Ермолаевском переулке. Дом, построенный для архитектора и его семьи в конце XIX века, сейчас является объектом культурного наследия федерального значения. Здание было возведено по проекту самого Федора Шехтеля в стиле, переходящем от...
В Монголии сохраняют память об участниках сражений на Халхин-Голе
15.03.2024 14:16 Интервью, мнения
В Монголии сохраняют память об участниках сражений на Халхин-Голе
О подготовке к 85-й годовщине битвы на Халхин-Голе, бурном росте туристических обменов, положении русского языка и перспективах экономического сотрудничества в интервью корреспонденту ТАСС Туяне Зондуевой рассказал посол России в Монголии Алексей Евсиков. — В Монголии бережно относятся к памяти...