Политики и процедуры по информационной безопасности

08.02.2009 Политики и процедуры по информационной безопасности

В ходе своей деятельности постоянно сталкиваюсь с некоторым недопониманием необходимости формальных политик и процедур по информационной безопасности, а также того, какой должна быть структура документации по информационной безопасности в компании. Давайте вместе разберемся с двумя этими моментами.

Для чего нужны все эти «бумажки» по информационной безопасности?

Во-первых, если процесс формализован, то появляется шанс на то, что процесс будет выполняться одинаково вне зависимости от собственных представлений того или иного сотрудника. Документ позволяет четко разграничить зоны ответственности, определить то, как будет происходить контроль выполнения процесса. Компания также снижает свою зависимость от персонала. Как известно, во многих компаниях есть специалисты (разработчики, администраторы) которым платят зарплату, только за то, что в их головах есть уникальные знания, которые больше нигде не записаны. А что произойдет, если человек уволится или с ним произойдет несчастный случай?

Во-вторых, значительная роль в обеспечении информационной безопасности отводится Вашим сотрудникам. Как от них можно требовать выполнение требований, если они нигде не записаны? Наличие хорошо продуманных политик информационной безопасности позволит также эффективно проводить обучение пользователей, повышать степень их осведомленности и в конечном счете уменьшать возможный ущерб от реализации угроз информационной безопасности.

В-третьих, формализованные процессы Вам значительно упростят прохождение всевозможных видов аудита (аудит финансовой отчетности от «Большой четверки», аудит в ходе подготовке к IPO– он опять может стать актуальным в будущем. Также наличие формализованных документов по информационной безопасности является одним из основных требований для прохождения сертификации по ISO 27001. В случае ISO 27001, первым этапом сертификационного аудита является оценка адекватности существующих политик и процедур по информационной безопасности.

Какой должна быть структура документации по информационной безопасности?

Ответ консультанта: все зависит от компании и устоявшихся в ней практик ведения бизнеса.

Но это не ответ, позволяющий разобраться в том, как можно решить проблему.

Мне нравится следующая «классическая» структура:

1) Политика информационной безопасности.

2) Набор детальных политик информационной безопасности.

3) Стандарты и процедуры по информационной безопасности.

4) Положения об отделах.

5) Должностные инструкции.

6) Свод правил информационной безопасности для сотрудников компании.

Политика информационной безопасности

Детальное описание того, каким должен быть этот документ, приведено в следующей моей заметке: Политика информационной безопасности.

Набор детальных политик информационной безопасности

Детальные политики информационной безопасности представляют собой набор требований, определяемых службой информационной безопасности на основании требований бизнеса.

Такие политики, как правило, ориентированы на специфические группы пользователей: ИТ-специалисты, сотрудники, работающие с информацией компании, представляющую особую ценность и требующую соответствующей защиты, сотрудники, являющиеся владельцами информационных ресурсов со стороны бизнеса.

Данные политики могут содержать специфические термины, так как рассчитаны на специалистов.

Состав политик определяется спецификой бизнеса и может включать следующие области;

классификация данных;
парольная политика;
политика межсетевого экранирования;
политика использования криптографических средств;
политика управления доступом к информационным системам;

и др.

Забегая вперед, скажу, что политики информационной безопасности для всех сотрудников, как правило, включают в отдельный свод правил (политик) информационной безопасности.

Стандарты и процедуры по информационной безопасности

Стандарт представляет собой зафиксированную практику использования того или иного решения. Например, корпоративный стандарт конфигурации серверов под управлением Windows 2003 Serverбудет включать описание всех критичных настроек, в том числе влияющих и на уровень защищенности системы.

Процедура содержит описание шагов некоего процесса. Документ четко определяет кто, когда и что делает. Например, процедура предоставления доступа к системе 1С:Бухгалтерия должна содержать описание ролей инициатора запроса на предоставление доступа, владельца информационной системы со стороны бизнеса, администратора системы. В приложении, как правило, приводится шаблон запроса.

Положения об отделах и должностные инструкции

Данные документы закрепляют функции и обязанности по обеспечению информационной безопасности наравне с остальными.

Например, отдел кадров должен предоставлять информацию об уволенных сотрудниках отделу ИТ для своевременной блокировки их учетных записей.

Свод правил информационной безопасности для сотрудников компании

Детальные политики информационной безопасности для сотрудников, как правило, включают в специальный свод правил. Для данного документа самым главным является краткость и понятность текста, так как он ориентирован на всех сотрудников, в том числе и неспециалистов в области информационных технологий и информационной безопасности.

Свод правил зачастую содержит:

политику использования электронной почты;
политику использования Интернет;
политику выбора паролей;
политики чистого стола и чистого экрана;
политику обеспечения физической безопасности мобильных устройств, принадлежащих компании

и т.д.

Как видно, разработка документации в области информационной безопасности необходима и полезна. Документацию можно разработать, как своими силами (в сети есть масса примеров политик, правда многие на английском языке), так и с помощью внешних специалистов.

Александр Дорофеев (с)

Александр Дорофеев