Правильно построенная политика информационной безопасности может помочь подготовить надежный плацдарм для дальнейшей защиты от угроз. Чтобы обеспечить информационную безопасность (ИБ) компании необходимо определиться с тем, что именно нужно сделать, а затем — как. Без понимания этого любые приобретаемые и внедряемые системы окажутся не более чем напрасной тратой денег. Понять, что именно вам нужно сделать при обеспечении информационной безопасности, поможет вовремя разработанная политика информационной безопасности, к написанию которой необходимо отнестись со всей серьезностью.

Что такое политика информационной безопасности?

Исследования показывают, что немногим более трети компаний на постсоветском пространстве сегодня могут похвастаться профессионально разработанной политикой информационной безопасности. При этом десятая часть компаний вообще не удосуживается задаться вопросом, как и зачем им следует защищать свои данные. Из этой статистики следует простой вывод: разработка политики ИБ (и, само собой, ее реализация в практике работы компании) дает конкурентное преимущество организации.

Политикой информационной безопасности принято называть свод правил, охватывающих потенциальные информационные угрозы, с которыми может столкнуться компания, и меры по защите от этих угроз.

Главный принцип — максимальная точность и подробность

Не нужно опасаться составлять документ, в котором будет описана политика ИБ, в излишне подробной форме — ведь он нужен не в качестве средства инструктажа конкретных сотрудников, а как «свод законов» для специалистов. На основе этого документа персонал, ответственный за обеспечение ИБ, уже сможет разработать должностные инструкции для отдельных сотрудников, а также другие необходимые для реализации положений политики документы.

В корпоративной политике ИБ крайне необходимо определить все возможные пользовательские роли в рамках корпоративной информационной сети, чтобы затем на основании этих ролей определить классы защиты данных и допуски для конкретных категорий пользователей. Однако по природе своей работы бухгалтерии нужна одна информация, отделу продаж — другая, отделу маркетинга — третья. Все это обязательно должно найти свое отражение в корпоративной политике информационной безопасности.

Первый шаг: узнайте, кто какой информацией пользуется

Первое, что необходимо сделать, когда создается политика безопасности — это определить, какие виды информации какие из сотрудников могут использовать. Любое использование данных за рамками прописанных в политике информационной безопасности ролей и доступов должно быть возможным только с санкции отдела информационной безопасности, при обосновании пользователем необходимости такого доступа.

При этом часто роли и доступы приобретают вид сложной многоуровневой структуры. В этом нет ничего страшного, но чересчур увлекаться подобного рода классификацией даже в крупной организации не стоит, поскольку излишнее «дробление» ролей и рост числа уровней запутывает политику и делает ее трудно применимой в практике повседневного обеспечения ИБ.

Второй шаг: сформулируйте, кто и что угрожает данным

Угрозы в политике ИБ наиболее часто формулируются в виде рисков. Для этого предварительно рассчитывается на основании сертифицированных методик вероятность реализации той или иной угрозы, и затем на основании значимости ущерба и вероятности просчитывается значение риска. Для угроз, риск которых ниже порогового (он для каждой организации определяется индивидуально), предпринимать меры по защите не имеет смысла, поскольку защита будет стоить заметно дороже, чем произошедшие инциденты. Впрочем, для «режимных» предприятий пороговый уровень риска обычно настолько мал, что защищаться приходится даже от самых незначительных угроз.

Политика информационной безопасности также обязана иметь раздел, описывающий не только правила, но и технические решения, применяемые в случае реализации защиты от конкретных угроз. Безусловно, здесь тоже нет нужды конкретизировать все до описания конкретных версий тех или иных программных или программно-аппаратных решений, чтобы не проводить обновление политики ИБ чересчур часто. Но, тем не менее, общие требования к используемым техническим средствам обеспечения ИБ и классы подобных систем в политике информационной безопасности должны присутствовать.

Составляя политику информационной безопасности, необходимо помнить также и о том, что она в обязательном порядке должна охватывать не только обеспечение конфиденциальности информации, но также и обеспечение ее целостности, подлинности, доступности. В отдельных случаях это становится даже более важным, чем конфиденциальность, к примеру, в финансовой сфере, где подлинность документов является главной их характеристикой. А для обеспечения доступности данных стоит вспомнить и о резервном копировании, которое оказывается тоже неотъемлемой часть корпоративной политики информационной безопасности.

Разрабатывать самим или отдать на аутсорсинг?

Как видите, составление политики информационной безопасности компании — не такой уж простой и легкий процесс, поэтому логично всплывает вопрос о том, стоит ли заниматься этим самостоятельно, или лучше найти подрядчика, который сможет выполнить весь немалый объем работы по составлению политики в сжатые сроки и на высоком уровне. Вопрос этот достаточно сложный, потому что найти компанию, которая имела бы достаточный опыт именно в вашей отрасли и понимала всю специфику вашей работы, непросто. Кроме того, ее услуги вряд ли будут стоить дешево. С другой стороны, профессионалы смогут реализовать в политике ИБ какие-то важные моменты, которые другие могут просто-напросто упустить. Да и разработка политики силами своих сотрудников не будет бесплатной. Поэтому к решению о самостоятельной разработке политики ИБ или к аутсорсингу этой задачи стоит подходить, взвесив все «за» и «против».

В любом случае, кто бы ни разрабатывал политику безопасности для вашей компании, нужно помнить, что спешить здесь нужно осторожно, и что высокое качество документа в будущем окупится, поэтому нельзя жалеть ни сил, ни средств на выполнение этой задачи.

Роман Идов