Политикой информационной безопасности называется сборник правил, описывающий возможные информационные угрозы для предприятия и способы защиты от каждой из них. Нужно сказать, что несмотря на то, что большинство современных угроз достаточно хорошо изучены, и средства защиты от них, во многом, достаточно очевидны, всё равно, все они весьма подробно расписаны в корпоративной политике информационной безопасности.
Что еще должна включать в себя такая политика? Необходимо обозначить возможные роли пользователей корпоративной информационной системы и их допуски к различным видам данных, определить ответственность персонала за нарушения положений политики безопасности, права и обязанности сотрудников, обеспечивающих информационную безопасность компании.
Чем более подробной будет политика безопасности, чем меньше в ней будет неточностей и недосказанностей, тем лучше она будет работать. Не стоит бояться делать политику информационной безопасности чересчур громоздкой из-за её подробности – она нужна не для использования конкретными сотрудниками, а для специалистов. Как и любой юридический документ, политика информационной безопасности пишется для того, чтобы у соответствующих специалистов была правовая основа для действий, необходимых для защиты компании от информационных угроз. Для рядовых пользователей сотрудники отдела ИБ затем разработают должностные инструкции, дополнительные соглашения к рабочим контрактам и прочие документы, которые будут понятны тем, кто не является специалистом по информационной безопасности. Но все эти документы будут разрабатываться уже на основе существующей в компании политики ИБ.
Политика должна включать в себя не только общие правила, но и конкретные технические решения, которые применяются для защиты от тех или иных угроз. Конечно, нет необходимости прописывать в ней, например, производителя используемого предприятием антивируса, но написать о требованиях, которые предъявляются к антивирусному ПО на серверах и рабочих станциях, необходимо. То же самое можно сказать и обо всех остальных используемых системах безопасности.
Не стоит забывать и о том, что информацию в компании защищают не только от чужих глаз и кражи, но и от потери, и от подделки. Поэтому резервное копирование – тоже необходимая часть корпоративной политики информационной безопасности. Однако делегировать его выполнение имеет смысл, конечно же, не отделу ИБ, а ИТ-отделу. Что же касается защиты документы от подделок, то здесь, если говорить об электронных документах, не обойтись без проверенного временем механизма – цифровой подписи.