К содержанию

блог Дорофеева

Единственное верное мерило вашего успеха — это то, что вы делаете, в сравнении с вашим действительным потенциалом (Пол Мейер)

02.02.2009 Политика информационной безопасности



Сегодня уже многие компании осознали необходимость принятия формальных политик в различных сферах деятельности. Одной из наиболее важных политик является политика информационной безопасности. Занимаясь консалтинговой и аудиторской деятельностью в области информационной безопасности, я постоянно сталкиваюсь с совершенно различным пониманием того, в чем же должна заключаться политика информационной безопасности. Для одних это детальное руководство для пользователей, в котором приводится процесс предоставления доступа к информационной системе — для других это пустая бумага с общими фразами, которую можно показать аудиторам.

Какой же должна быть хорошая политика информационной безопасности? Предлагаю обратиться к международным стандартам в области управления информационной безопасностью ISO 27001 и ISO 27002 (бывший ISO 17799).

Целью политики информационной безопасности является обеспечение развития организации в области ИБ в соответствии с целями бизнеса и требованиями, предъявляемыми различными регулирующими органами.

ISO 27002

Стандарт ISO 27002 определяет, что политика информационной безопасности должна быть одобрена руководством компании, опубликована и доведена до сведения всех сотрудников и заинтересованных сторонних организаций.

Политика информационной безопасности должна включать следующее:

  • Определение понятия информационная безопасность;
  • Цели обеспечения информационной безопасности;
  • Признание важности обеспечения информационной безопасности;
  • Заявление о намерении руководства компании поддерживать цели и принципы обеспечения информационной безопасности, соответствующим целям бизнеса;
  • Подход к управлению рисками и выбора контрмер для минимизации рисков информационной безопасности;
  • Краткое объяснение принципов информационной безопасности, требования информационной безопасности (выполнение требований регуляторов, обучение в области информационной безопасности, обеспечение непрерывности бизнеса, последствия нарушения положений политики информационной безопасности);
  • Определение общих и специфических обязанностей по обеспечению информационной безопасности;
  • Ссылки на более детальные политики и процедуры поддерживающие политику информационной безопасности.

Политика информационной безопасности должна пересматриваться через определенные интервалы времени и в случае значительных изменений (изменения структуры компании, стратегических целей бизнеса) для того, чтобы оставаться актуальной и эффективной.

ISO 27001

В стандарте ISO 27001 говорится о политике системы управления информационной безопасностью (ISMS policy), которая рассматривается как надмножество политики информационной безопасности, но отмечается, что обе политики могут быть описаны в одном документе. Для простоты изложения будем считать, что это один документ и будем по-прежнему называть его политикой информационной безопасности.

Помимо того, что политика информационной безопасности должна быть утверждена руководством и должна определять принципы информационной безопасности, подход к выбору мер по снижению рисков информационной безопасности, учитывать требования законодательства и закрепленные в контрактах, не противоречить подходу к управлению рисками, принятом в компании, она должна также определять критерии для оценки рисков.

Также к самому документу, как составной части документации системы управления информационной безопасности, стандарт ISO 27001 предъявляет ряд требований, среди которых:

  • наличие истории изменений и версии;
  • утверждение документа перед его публикацией.

Пример высокоуровневой политики информационной безопасности:

Политика информационной безопасности

Настоящая политика определяет цели и принципы обеспечения информационной безопасности в Компании.

Политика распространяется на главный офис Компании и все филиалы. Политика обязательна для исполнения всеми сотрудниками, а также лицами, работающими с информацией, принадлежащей Компании, в рамках заключенных контрактов.

Под обеспечением информационной безопасности или защитой информации понимается сохранение ее конфиденциальности, целостности и доступности. Конфиденциальность информации обеспечивается в случае предоставления доступа к данным только авторизованным лицам, целостность – в случае внесения в данные исключительно авторизованных изменений, доступность – при обеспечении возможности получения доступа к данным авторизованным лицам в нужное для них время.

Целями обеспечения информационной безопасности являются минимизация ущерба от реализации угроз информационной безопасности и улучшение деловой репутации и корпоративной культуры Компании.

Информация является важным активом Компании и ее защита является обязанностью каждого сотрудника.

Доступ к информации предоставляется только лицам, которым он необходим для выполнения должностных или контрактных обязательств в минимально возможном объеме.

Для каждого информационного ресурса определяется владелец, отвечающий за предоставление к нему доступа и эффективное функционирование мер защиты информации.

Сотрудники Компании проходят регулярное обучение в области информационной безопасности.

В Компании ежегодно проводится независимый аудит информационной безопасности.

Генеральный директор Компании утверждает политики информационной безопасности.

Отдел информационной безопасности отвечает за определение детальных требований информационной безопасности и контролирует их исполнение в Компании.

Система управления информационной безопасностью в Компании строится на основе международных стандартов ISO 27001 и ISO 27002.

Меры защиты информации внедряются по результатам проведения оценки рисков информационной безопасности.

Оценка рисков информационной безопасности проводится ежегодно, а также в случае значительных изменений в структуре Компании и ее бизнес-процессах.

При оценке рисков учитывается влияние реализации угроз информационной безопасности на финансовое положение Компании и ее репутацию на рынке.

Стоимость принимаемых мер не должна превышать возможный ущерб, возникающий при реализации угроз.

Успешное достижение целей настоящей политики возможно только при выполнении положений следующих детальных политик информационной безопасности:

  • Политика использования паролей;
  • Политика использования сети Интернет;
  • Политика использования электронной почты;

Несоблюдение политик информационной безопасности сотрудниками Компании может повлечь дисциплинарные меры взыскания вплоть до увольнения.

Александр Дорофеев (с)

Александр Дорофеев

Related Posts

  1. Политики и процедуры по информационной безопасности
  2. Документы по информационной безопасности
  3. Аудит информационной безопасности
  4. Минимизация рисков информационной безопасности во время кризиса
  5. Управление документацией системы управления информационной безопасностью: требования ISO 27001:2005

Метки: