Безусловно, политика ИБ – документ, составление которого требует максимально тщательного подхода, а потому не стоит ждать, что его удастся составить за пару дней. При этом заниматься разработкой политики должен только профессионал в сфере информационной безопасности, в противном случае политика ИБ вашей организации не будет соответствовать реалиям, в которых она существует и работает.
Обязательна предварительная работа по изучению информационных угроз и определению рисков, которые существуют для данной конкретной компании в зависимости от отрасли экономики, региона, структуры, персонала и т.п. Существуют различные методики оценки рисков, однако самое важное, чтобы для оценки всех рисков использовалась одна и та же методика.
Также важным моментом является классификация ресурсов и документов, необходимая для разработки политики доступа к ним. Очевидно, что в этой работе специалистам отдела информационной безопасности невозможно обойтись без помощи со стороны других подразделений организации, которые помогут оценить важности и значимость того или иного документа или информационного ресурса.
При этом необходимо понимать, что политика безопасности должна описывать не только свойства конфиденциальности информации, но также и такие свойства, как целостность, подлинность и доступность, которые в ряде случаев являются даже более важными, чем соблюдение секретности. К примеру, в финансовой сфере потеря документа или его подделка могут обойтись даже дороже, чем его утечка.
Спорным является вопрос о количестве уровней доступа к информации. Очевидно, что здесь необходимо исходить из естественной структуры организации и из того, насколько принятие решения о доступе может оказаться критичным в плане остановки каких-либо организационных бизнес-процессов. В процессе классификации информационных ресурсов необходимо также определиться с тем, к какому виду тайны относится их конфиденциальность (банковская, коммерческая, врачебная, государственная…). В зависимости от этого будут изменяться требования законодательства к обеспечению конфиденциальности.