Первое, что потребуется сделать, когда создается основная политика безопасности – это установить, какие сотрудники пользуются в работе какими видами информации. Любое применение контента за пределами ролей и доступов, которые прописаны в политике информбезопасности, возможно исключительно с разрешения отдела информационной безопасности. При этом пользователь должен аргументировано обосновать необходимость этого применения.
Зачастую доступы и роли в итоге предстают в виде многоуровневой структуры. Ничего страшного тут нет, однако сильно увлекаться столь тщательной классификацией все же не стоит, ведь большое количество «ролей» и «уровней» запутает политику, сделав ее тяжело применимой в каждодневной практике по защите информации.
В политике информационной безопасности угрозы обычно представлены как риски. Предварительно при помощи сертифицированных методик требуется рассчитать вероятность осуществления на практике определенной угрозы, затем рассчитывается возможный ущерб для организации, рассчитываются вероятности – в итоге устанавливается значение риска. Для угроз, у которых риск меньше порогового (таковой для каждой из организаций определяется индивидуально), меры по защите предпринимать нет смысла, потому что защита в итоге обойдется дороже, чем сами инциденты. С другой стороны, для «режимных» предприятий обычно пороговый уровень риска очень небольшой, благодаря чему защищаться нужно и от совсем незначительных угроз.
Политика информбезопасности должна предусматривать раздел, который описывает, помимо правил, различные технические решения, которые используются для защиты от современных угроз. Безусловно, тут не нужно конкретизировать всё, чтобы не приходилось производить обновление политики информбезопасности слишком уж часто. Однако общие требования к применяемым сегодня средствам обеспечения ИБ и упоминание различных классов систем в политике информбезопасности должны быть.
При организации политики информационной безопасности обязательно следует помнить и о том, что такая политика должна охватить как защиту конфиденциальности информации, так и обеспечение целостности, доступности и подлинности этой информации. В некоторых случаях это даже будет важнее, чем конфиденциальность. Например, в финансовой сфере подлинность информации можно назвать основной ее характеристикой. Для гарантии доступности информации не стоит забывать и о ее резервном копировании, оно также является очень важной частью корпоративной политики защиты данных.
Можно сказать, что составление политики информбезопасности довольно сложный процесс, поэтому возникает вопрос, заниматься ли этим самостоятельно, или стоит выбрать подрядчика, который выполнит большой объем работы по созданию политики в короткие сроки и на хорошем уровне. Вопрос на самом деле довольно сложный, по той причине, что выбрать компанию, обладающую опытом в отрасли, на которой специализируется ваша компания, и понимающую специфику работы вашей компании, довольно сложно. При этом и услуги привлеченной компании будут стоить дорого. Но с другой стороны, профессионалы смогут усмотреть в политике информационной безопасности некоторые важные моменты, упущенные другими. При том и разработка политики информбезопасности с помощью своих сотрудников также будет платной. Так что здесь нужно хорошо взвесить все «за» и «против».
