объединять стратегические установки ИБ и тактические положения в рамках политик ИБ. Подобный подход представляется более разумным с позиции, прежде всего, руководства компании, поскольку формулирует положения по достижению требуемого уровня безопасности в достаточно общей форме, более понятной для неспециалистов в области ИБ и ИТ.
При внешней простоте и прозрачности представленных выше позиций политик ИБ, наполнение их конкретным содержанием, т.е. разработка таких документов, является непростой задачей. Для ее решения рекомендуется привлечь серьезные силы:
• члена совета директоров;
• одного из руководителей компании (финансового или исполнительного директора, директора по развитию);
• руководителя по ИТ;
• руководителя по ИБ;
• аналитиков из подразделений ИТ и ИБ;
• представителя юридической службы:
• представителя от пользователей.
Можно указать ряд причин или мотивов для разработки политик безопасности:
• выполнение требований руководства по защите информационных активов и ИТ инфраструктуры, которое хочет избавиться от навязчивой мысли, что «что-то нехорошее может случиться»;
• требования законодательства - уже упоминавшиеся ранее закон о коммерческой тайне, о персональных данных и другие, которые на государственном уровне предписывают заниматься вопросами ИБ;
• необходимость устранения замечаний аудиторов, которые обратили внимание на недостатки в защите информации и на отсутствие политик ИБ;
• неудовлетворенность партнеров по бизнесу состоянием мер по защите их конфиденциальной информации в компании.
Разработка политик не может осуществляться на «голом месте». Исходная информация для формирования положений таких документов:
• определение и оценка информационных активов, т.е. какие активы необходимо защищать исходя из целей и задач бизнеса;
• выявление угроз безопасности как внешних, так и внутренних, способных нанести ущерб компании и потенциальных путей их реализации (уязвимое гей);
• анализ информационных рисков - определение вероятностей реализации угроз, выявление наиболее опасных из них (ранжирование), определение ущерба (количественного или качественного) по каждой из угроз в основных областях информационных рисков (конфиденциальность, целостность, доступность) для цепных информационных активов и ИТ сервисов;
• аудит состояния защищенности информационных активов («как есть») и определение общих требований «как должно быть»;
• определение ролей, обязанностей и ответственности различных категорий сотрудников в отношении формирования режима безопасности и его соблюдения;
• анализ организационно-распорядительной и нормативной документации по безопасности с точки зрения ее полноты, внедрения в практику и контроля исполнения.
Политики по отдельным направлениям безопасности, развивая положения, сформулированные в Политике ИБ компании, являются основой для разработки целого ряда документов: стандартов, процедур, положений, руководств, регламентов, инструкций по ИБ, а также ряда документов организационно-распорядительного характера: приказы, распоряжения и др.
3.2 Документарное обеспечение уровней управления ИБ
Стратегический уровень управления ИБ, на котором формулируются цели и задачи, стоящие перед безопасностью, и основные направления развития системы ИБ поддерживается Политикой ИБ компании (возможно и/или Концепцией ИБ) и политиками ИБ по отдельным направлениям деятельности. Исходная информация для их разработки, корректировки и совершенствования поступает в основном с тактического уровня.
На тактическом уровне управленияосновным документом является План защиты информационных активов, в котором определены средства и меры технологического и организационного характера, обеспечивающие надлежащий уровень безопасности. План является результатом анализа информационных рисков и утверждается высшим руководителем компании.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.