Серия практических онлайн-семинаров от экспертов сообщества DIRECTUM

Опрос: Какие инструменты для описания бизнес-процессов наиболее популярны?

Управление информационной безопасностью предприятий (часть 2) 

Илья Сачков26 июня 2007 г. 12:23

Илья Сачков,

менеджер по информационной безопасности ОАО «АРКТЕЛ»

Внедрение политики информационной безопасности

Так как политика информационной безопасности будет касаться каждого сотрудника и, соответственно, каждого руководителя, то я рекомендую придерживаться позиции, что любой сотрудник может внести предложения насчет разработанного документа. В рабочей суете люди, которые разрабатывали документ, могли попросту забыть о вещах, которые на виду, или могли не предусмотреть особенности работы какого-либо отдела. Поэтому, возможно, что поступившие предложения окажутся весьма полезными.

Можно пойти путем информационных писем – т.е. все сотрудники должны быть извещены, что:

●     разработан документ политики информационной безопасности;

●     документ находится в общедоступном месте (например, на корпоративном портале);

●     они могут задать любые вопросы и предложить поправки к документу;

●     после определенной даты документ будет принят и объявлен обязательным для исполнения.

Таким образом, решится сразу несколько проблем. Сотрудники отдела информационной безопасности, возможно, получат предложения. Почему я говорю – «возможно»? Потому, что в компаниях, где политики информационной безопасности не было, ее введение у 90% персонала не вызовет реакции ни на стадии разработки, ни на стадии внедрения. Реакция наступает обычно тогда, когда какие-то положения политики в плане разграничения доступа коснутся работы и свободы сотрудника. Самое главное на данном этапе жестко следовать намеченному плану и политике, и параллельно с этим разработать программу оповещения/обучения, которая поможет сотрудникам понять, почему вводится определенные ограничения, которых не было раньше. Программа обучения в самом лучшем случае создает так называемое дополнение к корпоративному этикету. Нарушая политику безопасности, ты показываешь неуважение к компании, к ее информационным активам, а, следовательно, ко всем коллегам, а ну и естественно выговоры, объяснительные, а в серьезных случаях увольнения и угроза попасть под суд, благо российское законодательство в области информационных технологий постепенно развивается.

Чтобы политика информационной безопасности стала максимально эффективной и соответствовала международным стандартам, то необходимо разрабатывать ее с учетом как раз этих стандартов. Международные стандарты (ISO 17799-2005, ISO 27001 и т.д.) представляют собой сборник рекомендаций по развертыванию системы информационной безопасности. Рекомендации, включенные в стандарты, являются следствием многолетней работы в этой области. Рассмотрим, какие требования предъявляет стандарт ISO 17799-2005 к политике информационной безопасности:

●     нормативный документ, описывающий политику безопасности, должен быть утвержден руководством компании, опубликован и доведен до сведения сотрудников компании; причем отдельно выделяется требование, в котором говорится, что документ должен быть доведен в простой и понятной форме;

●     в нормативном документе, описывающем политику информационной безопасности, должны быть сформулированы принципы управления информационной безопасностью компании. В данном нормативном документе должны быть отражены следующие положения:

1.   Определение понятия информационной безопасности, ее основных действий, области действия и значения информационной безопасности как ключевого условия процессов обработки информации;

2.   Основные принципы управления информационной безопасностью с учетом стратегии ведения бизнеса в компании;

3.   Описание подходов к оценке рисков и управление рисками;

4.   Ответственность за обеспечение процесса управления информационной безопасностью, в том числе за информирование в случае возникновения инцидентов информационной безопасности;

5.   Ссылки на другие нормативные документы, более детально описывающие требования информационной безопасности (инструкции, регламенты, руководства);

6.   Краткое описание основных требований к информационной безопасности с учетом соответствия законодательству, требований к обучению сотрудников вопросам ИБ, требований непрерывности бизнеса и возможных последствий от нарушения информационной безопасности.

Как уже было сказано политика безопасности это живой документ, который должен постоянно обновляться, обсуждаться. Документ должен работать, а не присутствовать в компании для галочки. Посмотрим, что говорит стандарт о пересмотре политике безопасности:

●     политика информационной безопасности должна пересматриваться в случае внесения существенных изменений в структуру компании или же на регулярной основе в соответствии с утвержденным планом пересмотра;

●     необходимо назначить ответственного сотрудника за разработку, пересмотр и оценку существующей политики информационной безопасности;

●     в ходе пересмотра следует оценить возможность улучшения положений политики информационной безопасности и процесса управления информационной безопасностью в соответствии с изменениями условий ведения бизнеса, законодательства, изменениями в организационной структуре или информационной системе компании;

●     при пересмотре политики информационной безопасности должны учитываться результаты пересмотра принципов управления компанией в целом, также проводимого на регулярной основе;

●     пересмотренная политика информационной безопасности должна быть утверждена руководством компании;

●     при пересмотре принципов управления компанией должно учитываться следующее:

1.   Предложения сотрудников и партнеров по совершенствованию политики информационной безопасности;

2.   Результаты независимого аудита;

3.   Изменение условий ведения бизнеса, законодательства, изменение в организационной структуре или информационной системе компании;

4.   Существующие угрозы и уязвимости информационной системы;

5.   Отчеты об инцидентах в области информационной безопасности;

6.   Рекомендации органов государственной власти;

●     результаты пересмотра политики информационной безопасности должны содержать решения по совершенствованию подхода к управлению информационной безопасностью в компании, уточнению целей и требований информационной безопасности, повышению эффективности системы управления информационной безопасностью и уточнению сфер ответственности сотрудников за обеспечение информационной безопасности.

Следуя вышеизложенным рекомендациям, вы получите действительно стоящий документ, который станет фундаментом будущей системы управления информационной безопасностью в компании.

Источник: ItSec.ru

Тип: Статьи

 (4,31 - оценило 3 чел.)
Версия для печатиВерсия для печати
Читайте также
  1. Управление информационной безопасностью предприятий (часть 1)
  2. Законодательство и регулирование отрасли информационной безопасности
  3. Стандарты информационной безопасности: Россия и мир
Материалы этого автора (Илья Сачков)
  1. Управление информационной безопасностью предприятий (часть 1)
Комментарии

Предпросмотр | Сохранить комментарий | Процитировать выделенное