|
|
|
|
Цели и задачи корпоративной политики безопасности
Внедрение корпоративной политики безопасности — это очевидный шаг для компаний, заботящихся о собственном благополучии, и неотъемлемая часть всех мероприятий по обеспечению защиты бизнеса. В глобальном смысле политика безопасности описывает главные принципы и общие концепции по организации информационной безопасности в конкретной компании, а переходя от общего к частному, описывает и регулирует все рабочие процессы с точки зрения их безопасности.
Для чего нужна политика безопасности
Основная задача корпоративной политики безопасности — это задокументировать правила работы на предприятии в области информационной безопасности. Без нее взаимодействие работников с различными ресурсами будет регулироваться лишь неформально и поэтому возрастет риск нарушений и утечек данных. Введение корпоративной политики повысит дисциплинированность и ответственность работников и построит базу, основываясь на которой можно эффективно организовывать работу компании.
При разработке корпоративной политики безопасности начать следует с определения рисков, которые грозят компании. Это значит в первую очередь определить какие информационные активы следует защищать, каким угрозам подвержены эти активы и какой урон грозит предприятию в случае осуществления этих угроз. Процесс внедрения защитных мер — это всегда поиск компромисса между удобством и снижением рисков. Внедрение политики безопасности является своего рода формализацией этого компромисса. Принятие корпоративной политики поможет минимизировать ситуации, в которых рядовой пользователь не воспринимает всерьез рекомендации ИБ-отдела, а «безопасники» пытаются защитить все и от всего, мешая рабочим процессам компании.
Существует международный стандарт безопасности ISO/IEC 27001, соответствующий лучшим международным практикам в сфере обеспечения безопасности. Прохождение сертификации (получение декларации на соответствие) по ISO/IEC 27001 дает полное право утверждать, что информационная безопасность компании находится на максимально высоком уровне. Однако выполнение всех требований, изложенных в стандарте, может оказаться весьма затратным и не всегда целесообразным. В зависимости от специфики бизнеса отдельные требования стандарта можно взять на вооружение и тем самым «подстелить соломки» на случай непредвиденных обстоятельств. Кроме того, существуют такие стандарты и руководства, как ITIL и CobiT, представляющие собой гораздо более подробные и объемные документы, в которых информационная безопасность является частью более глобального подхода к организации менеджмента и по которым также проводится сертификация.
Что должно содержаться в корпоративной политике безопасности
Обеспечение безопасности следует проводить на всех уровнях, от сервера до конечного пользователя. Например, составляется список серверов (сервер электронной почты, FTP, HTTP) и перечень лиц, имеющих к ним доступ, определяются задачи и обязанности. Еще более важным при разработке регламентов безопасности является политика безопасности рабочих мест, в частности политика работы с веб-ресурсами. В ней регулируются ответственность и обязанности сотрудников при работе в интернете.
В политике следует прописывать все меры, которые компания применяет для контроля соблюдения этих политик, и указывать уровень ответственности за нарушения политики.
Положения корпоративной политики информационной безопасности дополняются документами, содержащими частные политики, такими, как вышеописанные политики безопасности рабочих мест и политика безопасности серверов. Важно не путать политики ИБ и процедуры. Требования к информационной безопасности процедур — это самый частный документ в политике корпоративной безопасности и описывает непосредственные меры для обеспечения информационной безопасности в процессе работы персонала.
Естественно, что обязательным условием обеспечения информационной безопасности является эффективно отлаженная работа коллектива. Ошибки в менеджменте и управлении персоналом грозят не только недополученной прибылью, но и многочисленными нарушениями политик безопасности.
Контроль соблюдения политики безопасности
Существуют различные методики контроля за соблюдением работниками корпоративных политик. Разнообразное ПО, предназначенное для мониторинга сотрудников, поставляется как отдельно, так и в составе более комплексных продуктов. Многие DLP-системы, такие, как Falcongaze SecureTower, помимо своей главной функции предотвращения утечек данных, позволяют производить мониторинг работы сотрудников и отслеживать даже те нарушения, которые не привели к нежелательным последствиям. А способ борьбы с такими нарушениями — предусмотренные политикой санкции.
Контроль и регулирование работы компании может вызвать протест среди сотрудников, вызванный вмешательством в привычный для них режим работы. Важно понимать, что оборудование и сервисы, предоставляемые работнику работодателем. являются собственностью владельца бизнеса. В том числе и время, «выкупленное» работодателем у персонала. Поэтому все результаты труда, выполненного в рабочее время, принадлежат работодателю, а он, вследствие этого, имеет полное право их контролировать. Будет нелишним прописать это в политике ИБ.
Внедрение корпоративной политики безопасности — это не одномоментное событие, а долгий процесс, участвовать в котором должны как представители ИБ- и ИТ-отделов, так и руководители других подразделений, дабы избежать «перекосов» и чтобы исполнение положений политики оказалось возможным на практике. Задача политики безопасности не отрегулировать любой возможный процесс в работе компании, а создать базу, на основе которой будет функционировать предприятие в дальнейшем, дополняя общую политику безопасности отдельными, как формальными, так и устными, регламентами и процедурами.
Контактное лицо: Роман Божков (написать письмо автору)
Компания: Falcongaze (все новости этой организации)
Добавлен: 22:42, 02.02.2016
Количество просмотров: 686
В Санкт-Петербурге комитет по делам ЗАГС запустил свой чат-бот, itrend, 03:32, 26.04.2024, Россия |
149 |
Чат-бот «Комитет по делам ЗАГС Санкт-Петербурга» запустили в рамках развития экосистемы городских сервисов «Цифровой Петербург». Новый бот доступен в Telegram, с его помощью можно ознакомиться с полной информацией об услугах и работе муниципального ЗАГСа. |
|
INVENTORUS разместила цифровую платформу для поиска инноваций в облаке НУБЕС (Nubes), ООО Нубес, 03:31, 26.04.2024, Россия |
152 |
Компания INVENTORUS развернула свою ИТ-инфраструктуру в облаке нового поколения NGcloud. На облачных ресурсах Nubes размещается масштабная база данных об инновациях, а также цифровая платформа для поиска и работы с ними. Для быстрого доступа и надежного хранения информации компания использует сервис облачного хранилища S3. |
|
МФК “Лайм-Займ” выступила на конференции Foresight Day 2024, МФК «Лайм-Займ», 03:31, 26.04.2024, Россия |
151 |
Эксперты МФК “Лайм-Займ” поделились опытом внедрения цифровых продуктов вендора «Форсайт» на конференции Foresight Day 2024, которая состоялась 23 апреля в кластере “Ломоносов” (г. Москва). Цель мероприятия - объединить представителей бизнеса и ускорить цифровую трансформацию на базе российского ПО. |
|
|
|
|
|
|
Разделы //
Новости по странам //
Сегодня у нас публикуются //
|
|