Наверх

Управление информационной безопасностью предприятий (часть 2)

Время чтения: 6 минут
0
Управление информационной безопасностью предприятий (часть 2)

Так как политика информационной безопасности будет касаться каждого сотрудника и, соответственно, каждого руководителя, то я рекомендую придерживаться позиции, что любой сотрудник может внести предложения насчет разработанного документа.

Илья Сачков,

менеджер по информационной безопасности ОАО «АРКТЕЛ»

Внедрение политики информационной безопасности

Так как политика информационной безопасности будет касаться каждого сотрудника и, соответственно, каждого руководителя, то я рекомендую придерживаться позиции, что любой сотрудник может внести предложения насчет разработанного документа. В рабочей суете люди, которые разрабатывали документ, могли попросту забыть о вещах, которые на виду, или могли не предусмотреть особенности работы какого-либо отдела. Поэтому, возможно, что поступившие предложения окажутся весьма полезными.

Можно пойти путем информационных писем – т.е. все сотрудники должны быть извещены, что:

●     разработан документ политики информационной безопасности;

●     документ находится в общедоступном месте (например, на корпоративном портале);

●     они могут задать любые вопросы и предложить поправки к документу;

●     после определенной даты документ будет принят и объявлен обязательным для исполнения.

Таким образом, решится сразу несколько проблем. Сотрудники отдела информационной безопасности, возможно, получат предложения. Почему я говорю – «возможно»? Потому, что в компаниях, где политики информационной безопасности не было, ее введение у 90% персонала не вызовет реакции ни на стадии разработки, ни на стадии внедрения. Реакция наступает обычно тогда, когда какие-то положения политики в плане разграничения доступа коснутся работы и свободы сотрудника. Самое главное на данном этапе жестко следовать намеченному плану и политике, и параллельно с этим разработать программу оповещения/обучения, которая поможет сотрудникам понять, почему вводится определенные ограничения, которых не было раньше. Программа обучения в самом лучшем случае создает так называемое дополнение к корпоративному этикету. Нарушая политику безопасности, ты показываешь неуважение к компании, к ее информационным активам, а, следовательно, ко всем коллегам, а ну и естественно выговоры, объяснительные, а в серьезных случаях увольнения и угроза попасть под суд, благо российское законодательство в области информационных технологий постепенно развивается.

Чтобы политика информационной безопасности стала максимально эффективной и соответствовала международным стандартам, то необходимо разрабатывать ее с учетом как раз этих стандартов. Международные стандарты (ISO 17799-2005, ISO 27001 и т.д.) представляют собой сборник рекомендаций по развертыванию системы информационной безопасности. Рекомендации, включенные в стандарты, являются следствием многолетней работы в этой области. Рассмотрим, какие требования предъявляет стандарт ISO 17799-2005 к политике информационной безопасности:

●     нормативный документ, описывающий политику безопасности, должен быть утвержден руководством компании, опубликован и доведен до сведения сотрудников компании; причем отдельно выделяется требование, в котором говорится, что документ должен быть доведен в простой и понятной форме;

●     в нормативном документе, описывающем политику информационной безопасности, должны быть сформулированы принципы управления информационной безопасностью компании. В данном нормативном документе должны быть отражены следующие положения:

1.   Определение понятия информационной безопасности, ее основных действий, области действия и значения информационной безопасности как ключевого условия процессов обработки информации;

2.   Основные принципы управления информационной безопасностью с учетом стратегии ведения бизнеса в компании;

3.   Описание подходов к оценке рисков и управление рисками;

4.   Ответственность за обеспечение процесса управления информационной безопасностью, в том числе за информирование в случае возникновения инцидентов информационной безопасности;

5.   Ссылки на другие нормативные документы, более детально описывающие требования информационной безопасности (инструкции, регламенты, руководства);

6.   Краткое описание основных требований к информационной безопасности с учетом соответствия законодательству, требований к обучению сотрудников вопросам ИБ, требований непрерывности бизнеса и возможных последствий от нарушения информационной безопасности.

Как уже было сказано политика безопасности это живой документ, который должен постоянно обновляться, обсуждаться. Документ должен работать, а не присутствовать в компании для галочки. Посмотрим, что говорит стандарт о пересмотре политике безопасности:

●     политика информационной безопасности должна пересматриваться в случае внесения существенных изменений в структуру компании или же на регулярной основе в соответствии с утвержденным планом пересмотра;

●     необходимо назначить ответственного сотрудника за разработку, пересмотр и оценку существующей политики информационной безопасности;

●     в ходе пересмотра следует оценить возможность улучшения положений политики информационной безопасности и процесса управления информационной безопасностью в соответствии с изменениями условий ведения бизнеса, законодательства, изменениями в организационной структуре или информационной системе компании;

●     при пересмотре политики информационной безопасности должны учитываться результаты пересмотра принципов управления компанией в целом, также проводимого на регулярной основе;

●     пересмотренная политика информационной безопасности должна быть утверждена руководством компании;

●     при пересмотре принципов управления компанией должно учитываться следующее:

1.   Предложения сотрудников и партнеров по совершенствованию политики информационной безопасности;

2.   Результаты независимого аудита;

3.   Изменение условий ведения бизнеса, законодательства, изменение в организационной структуре или информационной системе компании;

4.   Существующие угрозы и уязвимости информационной системы;

5.   Отчеты об инцидентах в области информационной безопасности;

6.   Рекомендации органов государственной власти;

●     результаты пересмотра политики информационной безопасности должны содержать решения по совершенствованию подхода к управлению информационной безопасностью в компании, уточнению целей и требований информационной безопасности, повышению эффективности системы управления информационной безопасностью и уточнению сфер ответственности сотрудников за обеспечение информационной безопасности.

Следуя вышеизложенным рекомендациям, вы получите действительно стоящий документ, который станет фундаментом будущей системы управления информационной безопасностью в компании.

Источник: ItSec.ru

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 0

Чтобы прокомментировать, или зарегистрируйтесь