Политика безопасности организации (англ. organizational security policies) — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.
В общем случае такой набор правил представляет собой некий функционал программного продукта, который необходим для его использования в конкретной организации. Если подходить к политике безопасности более формально, то она есть набор неких требований к функционалу системы защиты, закрепленных в ведомственных документах. Например, в финансовых организациях зачастую принято, чтобы в продукте предусматривалось присутствие нескольких административных ролей: администратор, аудитор и оператор системы защиты. Такое ролевое управление информационной безопасностью —скорее дань традиции и теоретически позволяет избежать «сговора» администратора и злоумышленника из числа пользователей. Для того, чтобы включить данный функционал продукта в профиль защиты, целесообразнее всего ввести соответствующую политику безопасности.
Политика безопасности зависит:
от конкретной технологии обработки информации;
от используемых технических и программных средств;
от расположения организации;
Внедрение политики информационной безопасности
После разработки всех документов, связанных с политикой информационной безопасности компании, требуется провести работу по ее внедрению в деятельность организации. Для этого требуется выполнение следующих пунктов:
ознакомление сотрудников с разработанной политикой кибербезопасности;
ознакомление каждого нового работника с имеющейся политикой кибербезопасности;
полное изучение существующих в организации бизнес-процессов для выявления и сведения к минимуму негативного воздействия рисков;
составление детальных информационных и методических материалов, инструкций, которые призваны дополнить политику информационной безопасности;
пересмотр и корректировка доступа к информации, процедур работы с ней, актуализация принятой в компании по информационной безопасности документации, систематический мониторинг и изучение существующих угроз кибербезопасности.
Методы оценки
Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии.
Обратите внимание: Почему милитаризация космоса является одной из острых проблем для мировой безопасности?.
Они получили образные названия «исследование снизу вверх» и «исследование сверху вниз».Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : «Вы — злоумышленник. Ваши действия?». То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, возможна ли такая атака со стороны реального злоумышленника.
Метод «сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этапе производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).
Больше интересных статей здесь: Политика.
Источник статьи: Политика безопасности организации.