Тактика составления политики безопасности

Тактика составления политики безопасности
Безусловно, политика ИБ – документ, составление которого требует максимально тщательного подхода, а потому не стоит ждать, что его удастся составить за пару дней. При этом заниматься разработкой политики должен только профессионал в сфере информационной безопасности, в противном случае политика ИБ вашей организации не будет соответствовать реалиям, в которых она существует и работает.

Обязательна предварительная работа по изучению информационных угроз и определению рисков, которые существуют для данной конкретной компании в зависимости от отрасли экономики, региона, структуры, персонала и т.п. Существуют различные методики оценки рисков, однако самое важное, чтобы для оценки всех рисков использовалась одна и та же методика.

Также важным моментом является классификация ресурсов и документов, необходимая для разработки политики доступа к ним. Очевидно, что в этой работе специалистам отдела информационной безопасности невозможно обойтись без помощи со стороны других подразделений организации, которые помогут оценить важности и значимость того или иного документа или информационного ресурса.

При этом необходимо понимать, что политика безопасности должна описывать не только свойства конфиденциальности информации, но также и такие свойства, как целостность, подлинность и доступность, которые в ряде случаев являются даже более важными, чем соблюдение секретности. К примеру, в финансовой сфере потеря документа или его подделка могут обойтись даже дороже, чем его утечка.

Спорным является вопрос о количестве уровней доступа к информации. Очевидно, что здесь необходимо исходить из естественной структуры организации и из того, насколько принятие решения о доступе может оказаться критичным в плане остановки каких-либо организационных бизнес-процессов. В процессе классификации информационных ресурсов необходимо также определиться с тем, к какому виду тайны относится их конфиденциальность (банковская, коммерческая, врачебная, государственная…). В зависимости от этого будут изменяться требования законодательства к обеспечению конфиденциальности.
информационная безопасность работа безопасника политика
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.