02.02.2016 16:33
Новости.
Просмотров всего: 4720; сегодня: 1.

Цели и задачи корпоративной политики безопасности

Внедрение корпоративной политики безопасности — это очевидный шаг для компаний, заботящихся о собственном благополучии, и неотъемлемая часть всех мероприятий по обеспечению защиты бизнеса. В глобальном смысле политика безопасности описывает главные принципы и общие концепции по организации информационной безопасности в конкретной компании, а переходя от общего к частному, описывает и регулирует все рабочие процессы с точки зрения их безопасности.

Для чего нужна политика безопасности

Основная задача корпоративной политики безопасности — это задокументировать правила работы на предприятии в области информационной безопасности. Без нее взаимодействие работников с различными ресурсами будет регулироваться лишь неформально и поэтому возрастет риск нарушений и утечек данных. Введение корпоративной политики повысит дисциплинированность и ответственность работников и построит базу, основываясь на которой можно эффективно организовывать работу компании.

При разработке корпоративной политики безопасности начать следует с определения рисков, которые грозят компании. Это значит в первую очередь определить какие информационные активы следует защищать, каким угрозам подвержены эти активы и какой урон грозит предприятию в случае осуществления этих угроз. Процесс внедрения защитных мер — это всегда поиск компромисса между удобством и снижением рисков. Внедрение политики безопасности является своего рода формализацией этого компромисса. Принятие корпоративной политики поможет минимизировать ситуации, в которых рядовой пользователь не воспринимает всерьез рекомендации ИБ-отдела, а «безопасники» пытаются защитить все и от всего, мешая рабочим процессам компании.

Существует международный стандарт безопасности ISO/IEC 27001, соответствующий лучшим международным практикам в сфере обеспечения безопасности. Прохождение сертификации (получение декларации на соответствие) по ISO/IEC 27001 дает полное право утверждать, что информационная безопасность компании находится на максимально высоком уровне. Однако выполнение всех требований, изложенных в стандарте, может оказаться весьма затратным и не всегда целесообразным. В зависимости от специфики бизнеса отдельные требования стандарта можно взять на вооружение и тем самым «подстелить соломки» на случай непредвиденных обстоятельств. Кроме того, существуют такие стандарты и руководства, как ITIL и CobiT, представляющие собой гораздо более подробные и объемные документы, в которых информационная безопасность является частью более глобального подхода к организации менеджмента и по которым также проводится сертификация.

Что должно содержаться в корпоративной политике безопасности

Обеспечение безопасности следует проводить на всех уровнях, от сервера до конечного пользователя. Например, составляется список серверов (сервер электронной почты, FTP, HTTP) и перечень лиц, имеющих к ним доступ, определяются задачи и обязанности. Еще более важным при разработке регламентов безопасности является политика безопасности рабочих мест, в частности политика работы с веб-ресурсами. В ней регулируются ответственность и обязанности сотрудников при работе в интернете.

В политике следует прописывать все меры, которые компания применяет для контроля соблюдения этих политик, и указывать уровень ответственности за нарушения политики.

Положения корпоративной политики информационной безопасности дополняются документами, содержащими частные политики, такими, как вышеописанные политики безопасности рабочих мест и политика безопасности серверов. Важно не путать политики ИБ и процедуры. Требования к информационной безопасности процедур — это самый частный документ в политике корпоративной безопасности и описывает непосредственные меры для обеспечения информационной безопасности в процессе работы персонала.

Естественно, что обязательным условием обеспечения информационной безопасности является эффективно отлаженная работа коллектива. Ошибки в менеджменте и управлении персоналом грозят не только недополученной прибылью, но и многочисленными нарушениями политик безопасности.

Контроль соблюдения политики безопасности

Существуют различные методики контроля за соблюдением работниками корпоративных политик. Разнообразное ПО, предназначенное для мониторинга сотрудников, поставляется как отдельно, так и в составе более комплексных продуктов. Многие DLP-системы, такие, как Falcongaze SecureTower, помимо своей главной функции предотвращения утечек данных, позволяют производить мониторинг работы сотрудников и отслеживать даже те нарушения, которые не привели к нежелательным последствиям. А способ борьбы с такими нарушениями — предусмотренные политикой санкции.

Контроль и регулирование работы компании может вызвать протест среди сотрудников, вызванный вмешательством в привычный для них режим работы. Важно понимать, что оборудование и сервисы, предоставляемые работнику работодателем. являются собственностью владельца бизнеса. В том числе и время, «выкупленное» работодателем у персонала. Поэтому все результаты труда, выполненного в рабочее время, принадлежат работодателю, а он, вследствие этого, имеет полное право их контролировать. Будет нелишним прописать это в политике ИБ.

Внедрение корпоративной политики безопасности — это не одномоментное событие, а долгий процесс, участвовать в котором должны как представители ИБ- и ИТ-отделов, так и руководители других подразделений, дабы избежать «перекосов» и чтобы исполнение положений политики оказалось возможным на практике. Задача политики безопасности не отрегулировать любой возможный процесс в работе компании, а создать базу, на основе которой будет функционировать предприятие в дальнейшем, дополняя общую политику безопасности отдельными, как формальными, так и устными, регламентами и процедурами.


Ньюсмейкер: FalconGaze — 116 публикаций
Поделиться:

Интересно:

Волшебник «ядерная борода»: отец советской атомной бомбы Курчатов
12.01.2025 11:03 Персоны
Волшебник «ядерная борода»: отец советской атомной бомбы Курчатов
12 января 1903 года на территории современной Челябинской области в семье помощника лесничего родился Игорь Васильевич Курчатов – выдающийся советский физик, трижды Герой Социалистического Труда, академик Академии наук СССР. Он является лауреатом Ленинской и неоднократно – Государственной премии...
Праздник, который отмечают в ночь с 13 на 14 января
11.01.2025 10:03 Аналитика
Праздник, который отмечают в ночь с 13 на 14 января
Новый год - праздник, который отмечают практически во всех уголках нашей планеты. Но зима вообще щедра на праздники - как официальные, так и неофициальные. Среди вторых особое место занимает Старый Новый год - эдакий оксюморон во плоти. Этот день также имеет немало почитателей, ведь именно им...
Запущен онлайн-проект «1945. Путь к Победе. День за днем»
10.01.2025 18:22 Новости
Запущен онлайн-проект «1945. Путь к Победе. День за днем»
В рамках празднования 80-летия Великой Победы Посольство Казахстана в России совместно с Российско-Казахстанским Пресс-центром запустили онлайн-проект «1945. Путь к Победе. День за днем». Об этом сообщает пресс-служба казахстанского диппредставительства. С 1 января в ежедневном режиме...
Сотрудники Наркомата иностранных дел в рядах московского ополчения
10.01.2025 17:46 Аналитика
Сотрудники Наркомата иностранных дел в рядах московского ополчения
По постановлению Государственного Комитета Обороны от 4 июля 1941 г. «О добровольной мобилизации трудящихся Москвы и Московской области в дивизии народного ополчения» на следующий день, 5 июля, на собраниях коллектива Народного комиссариата иностранных дел, располагавшегося по адресу: ул. Кузнецкий...
Манифест Александра I огласили в Бородине и Смоленске
10.01.2025 09:11 Мероприятия
Манифест Александра I огласили в Бородине и Смоленске
В музее-заповеднике «Бородинское поле» в день православного праздника Рождества Христова состоялся торжественный церемониал, приуроченный ко Дню Победы в Отечественной войне 1812 года. Многолетняя традиция отмечать День Победы в Отечественной войне оглашением Манифеста, изданного...