Сегодня четверг, 28.03.2024, 21:57, ньюсмейкеров: 44152, сайтов: 1206, публикаций: 3431389
02.02.2016 16:33
Новости.
Просмотров всего: 4233; сегодня: 3.

Цели и задачи корпоративной политики безопасности

Цели и задачи корпоративной политики безопасности

Внедрение корпоративной политики безопасности — это очевидный шаг для компаний, заботящихся о собственном благополучии, и неотъемлемая часть всех мероприятий по обеспечению защиты бизнеса. В глобальном смысле политика безопасности описывает главные принципы и общие концепции по организации информационной безопасности в конкретной компании, а переходя от общего к частному, описывает и регулирует все рабочие процессы с точки зрения их безопасности.

Для чего нужна политика безопасности

Основная задача корпоративной политики безопасности — это задокументировать правила работы на предприятии в области информационной безопасности. Без нее взаимодействие работников с различными ресурсами будет регулироваться лишь неформально и поэтому возрастет риск нарушений и утечек данных. Введение корпоративной политики повысит дисциплинированность и ответственность работников и построит базу, основываясь на которой можно эффективно организовывать работу компании.

При разработке корпоративной политики безопасности начать следует с определения рисков, которые грозят компании. Это значит в первую очередь определить какие информационные активы следует защищать, каким угрозам подвержены эти активы и какой урон грозит предприятию в случае осуществления этих угроз. Процесс внедрения защитных мер — это всегда поиск компромисса между удобством и снижением рисков. Внедрение политики безопасности является своего рода формализацией этого компромисса. Принятие корпоративной политики поможет минимизировать ситуации, в которых рядовой пользователь не воспринимает всерьез рекомендации ИБ-отдела, а «безопасники» пытаются защитить все и от всего, мешая рабочим процессам компании.

Существует международный стандарт безопасности ISO/IEC 27001, соответствующий лучшим международным практикам в сфере обеспечения безопасности. Прохождение сертификации (получение декларации на соответствие) по ISO/IEC 27001 дает полное право утверждать, что информационная безопасность компании находится на максимально высоком уровне. Однако выполнение всех требований, изложенных в стандарте, может оказаться весьма затратным и не всегда целесообразным. В зависимости от специфики бизнеса отдельные требования стандарта можно взять на вооружение и тем самым «подстелить соломки» на случай непредвиденных обстоятельств. Кроме того, существуют такие стандарты и руководства, как ITIL и CobiT, представляющие собой гораздо более подробные и объемные документы, в которых информационная безопасность является частью более глобального подхода к организации менеджмента и по которым также проводится сертификация.

Что должно содержаться в корпоративной политике безопасности

Обеспечение безопасности следует проводить на всех уровнях, от сервера до конечного пользователя. Например, составляется список серверов (сервер электронной почты, FTP, HTTP) и перечень лиц, имеющих к ним доступ, определяются задачи и обязанности. Еще более важным при разработке регламентов безопасности является политика безопасности рабочих мест, в частности политика работы с веб-ресурсами. В ней регулируются ответственность и обязанности сотрудников при работе в интернете.

В политике следует прописывать все меры, которые компания применяет для контроля соблюдения этих политик, и указывать уровень ответственности за нарушения политики.

Положения корпоративной политики информационной безопасности дополняются документами, содержащими частные политики, такими, как вышеописанные политики безопасности рабочих мест и политика безопасности серверов. Важно не путать политики ИБ и процедуры. Требования к информационной безопасности процедур — это самый частный документ в политике корпоративной безопасности и описывает непосредственные меры для обеспечения информационной безопасности в процессе работы персонала.

Естественно, что обязательным условием обеспечения информационной безопасности является эффективно отлаженная работа коллектива. Ошибки в менеджменте и управлении персоналом грозят не только недополученной прибылью, но и многочисленными нарушениями политик безопасности.

Контроль соблюдения политики безопасности

Существуют различные методики контроля за соблюдением работниками корпоративных политик. Разнообразное ПО, предназначенное для мониторинга сотрудников, поставляется как отдельно, так и в составе более комплексных продуктов. Многие DLP-системы, такие, как Falcongaze SecureTower, помимо своей главной функции предотвращения утечек данных, позволяют производить мониторинг работы сотрудников и отслеживать даже те нарушения, которые не привели к нежелательным последствиям. А способ борьбы с такими нарушениями — предусмотренные политикой санкции.

Контроль и регулирование работы компании может вызвать протест среди сотрудников, вызванный вмешательством в привычный для них режим работы. Важно понимать, что оборудование и сервисы, предоставляемые работнику работодателем. являются собственностью владельца бизнеса. В том числе и время, «выкупленное» работодателем у персонала. Поэтому все результаты труда, выполненного в рабочее время, принадлежат работодателю, а он, вследствие этого, имеет полное право их контролировать. Будет нелишним прописать это в политике ИБ.

Внедрение корпоративной политики безопасности — это не одномоментное событие, а долгий процесс, участвовать в котором должны как представители ИБ- и ИТ-отделов, так и руководители других подразделений, дабы избежать «перекосов» и чтобы исполнение положений политики оказалось возможным на практике. Задача политики безопасности не отрегулировать любой возможный процесс в работе компании, а создать базу, на основе которой будет функционировать предприятие в дальнейшем, дополняя общую политику безопасности отдельными, как формальными, так и устными, регламентами и процедурами.

Тематические сайты: PublisherNews - портал системы продвижения публикаций, Безопасность, Глобализация, Интеллектуальная собственность, Стандартизация
Сайты субъектов РФ: Москва
Сайты федеральных округов РФ: Центральный федеральный округ
Сайты стран: Россия

Ньюсмейкер: FalconGaze — 116 публикаций
Поделиться:

Интересно:

Как законно снизить налоговую нагрузку
28.03.2024 17:56 Консультации
Как законно снизить налоговую нагрузку
Предприниматели имеют право и законную возможность уменьшать налоги. Одна из самых очевидных мер – подбор оптимального налогового режима. Так, многим предпринимателям доступна упрощенная система налогообложения (УСН) с простой и понятной формой отчетности, ставкой до 6 или 15% в зависимости от...
О своих мечтах об отдыхе поделились российские дети
28.03.2024 12:18 Аналитика
О своих мечтах об отдыхе поделились российские дети
В преддверии II Всероссийского конкурса юного художника «Место в России, где я мечтаю побывать», который стартует 1 апреля 2024 года, эксперты Национального туроператора Алеан рассказали, куда хотели поехать дети, исходя из анализа работ прошлого года. Дети в возрасте от 6 до 15 лет поделились...
562 года назад на престол взошёл Иван III
28.03.2024 10:44 Новости
562 года назад на престол взошёл Иван III
В историю он вошел в первую очередь как собиратель русских земель и, по сути, создатель единого государства Российского, созидатель и мудрый дипломат – при Иване III не только расширяются границы, но и создается прообраз системы управления страной – пишутся единые законы, утверждается...
Ранее неизвестные петроглифы описали российские ученые
27.03.2024 18:03 Новости
Ранее неизвестные петроглифы описали российские ученые
Группа ученых из Кемеровского государственного университета во главе с доктором исторических наук Ольгой Советовой описала ранее неизвестные петроглифы, обнаруженные в ходе экспедиций последних трех лет. Среди найденных рисунков неожиданно оказалось и крайне редкое изображение парохода. Основной...
Неизвестный объект археологического наследия найден в Подмосковье
27.03.2024 17:20 Новости
Неизвестный объект археологического наследия найден в Подмосковье
В подмосковном городе Ликино-Дулево Орехово-Зуевского городского поселения археологи провели превентивное обследование территории, прилегающей к скверу Дулевского фарфорового завода. В результате был обнаружен ранее неизвестный исторический слой, который уже признан вновь выявленным объектом...