В основе организационный мер защиты информации лежат политики безопасности организации (ПБ), от эффективности которых в наибольшей степени зависит успешность мероприятий по обеспечению ИБ.
В современной практике обеспечения ИБ термин «политика безопасности» может употребляться как в широком, так и в узком смыле слова. В широком смысле, ПБ определяется как система документированных управленческих решений по обеспечению ИБ организации. В узком смысле под ПБ обычно понимают локальный нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения ИБ. Примерами таких документов могут служить «Политика управления паролями», «Политика управления доступом к ресурсам корпоративной сети», «Политика обеспечения ИБ при взаимодействии с сетью Интернет» и т.п. Использование нескольких специализированных нормативных документов обычно является предпочтительней создания «Общего руководства по обеспечению ИБ организации». Например, в компании Cisco Systems, Inc. стараются чтобы размер ПБ не превышал 2 страниц. В редких случаях размер ПБ может достигать 4-5 страниц (3). По нашему опыту содержательная часть типовой ПБ на русском языке обычно не превышает 7 страниц. Этот подход, однако, не противоречит созданию «Концепции обеспечения ИБ», которая бы содержала ссылки на множество специализированных ПБ и увязывала бы их в единую систему организационных мер по защите информации.
Разработка политик безопасности собственными силами – длительный и трудоемкий процесс, требующего высокого профессионализма, отличного знания нормативной базы в области ИБ и, помимо всего прочего, писательского таланта. Этот процесс обычно занимает многие месяцы и не всегда завершается успешно.
Большинство организаций не располагают собственными людскими ресурсами, необходимыми для квалифицированной разработки и внедрения ПБ. Отыскать готовые политики безопасности, которые бы оказались применимыми в вашей организации, соответствовали бы ее структуре и требованиям безопасности нереально. Несмотря на доступность соответствующих, в основном англоязычных, ресурсов в сети Интернет они являются непригодными для практического использования и могут служить только основой для разработки собственных ПБ.
GlobalTrust располагает самой большой коллекцией шаблонов типовых документов, эффективность которых проверена на практике. При разработке ПБ мы опираемся, помимо собственного опыта, на международные стандарты ИБ, такие как ISO 17799, ISO 15408, ISO 13335, COBIT, ITIL, а также на руководящие документы и рекомендации ФСТЭК и ФСБ.
14-15 июня состоится мастер-класс «Внедрение и сертификация СУИБ в соответствии с требованиями международного стандарта ISO 27001»
