Политика безопасности организации (англ. organizational security policies) представляет собой комплексный свод руководящих принципов, правил, процедур и практических методов, направленных на обеспечение защиты ценной информации. Этот документ регулирует процессы управления, распределения и непосредственной защиты информационных активов компании.
Сущность и назначение политики безопасности
По своей сути, политика безопасности — это формализованный набор требований к функциональным возможностям системы защиты, который закрепляется во внутренних документах организации. Например, в банковской сфере распространена практика разделения административных ролей: администратор, аудитор и оператор. Такое ролевое управление, унаследованное из традиций информационной безопасности, теоретически минимизирует риски сговора между администратором и внутренним злоумышленником. Для корректного отражения подобных требований в профиле защиты системы необходимо разработать и внедрить соответствующую политику безопасности.
Конкретное содержание и фокус политики безопасности напрямую зависят от нескольких ключевых факторов:
• от применяемых технологий обработки информации;
• от используемого программного и технического обеспечения;
• от географического расположения и инфраструктуры организации.
Процесс внедрения политики информационной безопасности
После завершения этапа разработки всех необходимых документов наступает не менее важная фаза — внедрение политики в повседневную деятельность компании. Этот процесс включает в себя несколько обязательных шагов:
• Ознакомление всего текущего штата сотрудников с положениями новой политики кибербезопасности.
• Интеграция ознакомления с политикой в процедуру адаптации каждого нового сотрудника.
• Глубокий аудит существующих бизнес-процессов для идентификации уязвимостей и минимизации потенциальных рисков.
• Разработка вспомогательных методических материалов, инструкций и руководств, детализирующих положения политики.
• Регулярный пересмотр и актуализация прав доступа к информации, рабочих процедур и самой документации, а также постоянный мониторинг актуальных киберугроз.
Методы оценки состояния информационной безопасности
Для анализа текущего уровня защищенности информации на предприятии применяются две основные методики, образно названные «исследование снизу вверх» и «исследование сверху вниз».
Обратите внимание: Почему милитаризация космоса является одной из острых проблем для мировой безопасности?.
Метод «снизу вверх» является более простым и менее затратным, но и его диагностические возможности ограничены. Его суть заключается в моделировании атак: специалисты службы информационной безопасности, основываясь на базе известных уязвимостей и методов взлома, пытаются воспроизвести действия потенциального злоумышленника, чтобы проверить устойчивость своих систем.
Метод «сверху вниз», напротив, предполагает всесторонний и детальный анализ всей архитектуры хранения и обработки данных. Работа начинается с инвентаризации и определения критически важных информационных объектов и потоков, требующих защиты. На втором этапе проводится аудит уже реализованных мер защиты для оценки их полноты и эффективности. Завершающей фазой является классификация всех информационных активов по категориям в зависимости от требований к их конфиденциальности, доступности и целостности (неизменности).
Больше интересных статей здесь: Политика.
Источник статьи: Политика безопасности организации.