Для начала установим, что именно сегодня подразумевается под термином «политика информационной безопасности компании». Исследования, проведенные компанией SearchInform, подтверждают, что около трети компаний сегодня могут похвалиться профессионально проработанной политикой информационной безопасности. С другой стороны, приблизительно десятая часть компаний не задается вопросом, как и для чего им нужно защищать информацию. Из данной статистики можно сделать вывод, что разработка политики информбезопасности, равно как и ее реализация в практике работы фирмы придаст конкурентное преимущество определенной организации.
Политикой информбезопасности сегодня называют свод правил, которые охватывают потенциальные угрозы в сфере информации, с коими иногда сталкивается компания, и меры для защиты от данных угроз. Необходимо также отметить, что отличную изученность и превосходную известность абсолютного большинства информугроз, также как и методов для защиты от них, требуется очень подробно отобразить в корпоративной политике информационной безопасности.
При проработке политики информбезопасности самым главным являются максимальные подробность и точность. Не стоит бояться составлять данный документ в слишком уж громоздкой форме из-за большого количества подробностей. Дело в том, что политика ИБ используется не для инструктажа отдельных сотрудников, а в качестве своеобразного «свода законов» для различных специалистов. Руководствуясь данным документом, сотрудники отдела информационной безопасности смогут проработать должностные инструкции для других специалистов компании, а также и иные необходимые для воплощения положений политики данные.
При составлении корпоративной политики информационной безопасности очень важно определить пользовательские роли в пределах корпоративной информсети, чтобы потом на основании данных ролей «настроить» классы защиты информации и допуски для разных категорий пользователей. Понятно, что бухгалтерии по работе требуется одна информация, а отделу продаж нужны уже совсем другие данные, а отделу маркетинга – третьи. Всё это непременно должно быть отображено в политике информбезопасности компании.
Ищем баги вместе! Но не те, что в продакшене...
Разбираем кейсы, делимся опытом, учимся на чужих ошибках
