20 Января, 2014

Тактика составления политики безопасности

Роман Идов
Безусловно, политика ИБ – документ, составление которого требует максимально тщательного подхода, а потому не стоит ждать, что его удастся составить за пару дней. При этом заниматься разработкой политики должен только профессионал в сфере информационной безопасности, в противном случае политика ИБ вашей организации не будет соответствовать реалиям, в которых она существует и работает.

Обязательна предварительная работа по изучению информационных угроз и определению рисков, которые существуют для данной конкретной компании в зависимости от отрасли экономики, региона, структуры, персонала и т.п. Существуют различные методики оценки рисков, однако самое важное, чтобы для оценки всех рисков использовалась одна и та же методика.

Также важным моментом является классификация ресурсов и документов, необходимая для разработки политики доступа к ним. Очевидно, что в этой работе специалистам отдела информационной безопасности невозможно обойтись без помощи со стороны других подразделений организации, которые помогут оценить важности и значимость того или иного документа или информационного ресурса.

При этом необходимо понимать, что политика безопасности должна описывать не только свойства конфиденциальности информации, но также и такие свойства, как целостность, подлинность и доступность, которые в ряде случаев являются даже более важными, чем соблюдение секретности. К примеру, в финансовой сфере потеря документа или его подделка могут обойтись даже дороже, чем его утечка.

Спорным является вопрос о количестве уровней доступа к информации. Очевидно, что здесь необходимо исходить из естественной структуры организации и из того, насколько принятие решения о доступе может оказаться критичным в плане остановки каких-либо организационных бизнес-процессов. В процессе классификации информационных ресурсов необходимо также определиться с тем, к какому виду тайны относится их конфиденциальность (банковская, коммерческая, врачебная, государственная…). В зависимости от этого будут изменяться требования законодательства к обеспечению конфиденциальности.
или введите имя

CAPTCHA
arab
21 Января, 2014
один и тот же риск неоднозначен с разных точек зрения (риск утраты носителя с точки зрения ИТ и ИБ) . "самое важное, чтобы для оценки всех рисков использовалась одна и та же методика" ню-ню, в большой конторе каждый департамент использует ему одному известную методику, т.к. юристы манипулируют юридическими рисками и ни бум-бум в операционных, финансисты не ведают о рисках ИБ, ИТ не дружит с ИБ,... как и archer не дружит с MS-овскими поделками )). поэтому остается либо писать свою, но удобную и понятную всем, но дубовую, либо.. второе добавить по вкусу, все равно експертов на каждую классификацию не напасешься. ) рано строить команду, сначала к юдашкину за формой.. )
0 |
  • Поделиться
  • Ссылка
Андрей
22 Января, 2014
риски уровня подразделений организации промежуточные, итоговые риски исходят из промежуточных но находятся на уровне бизнеса (службы) - там критериев мало (деньги, репутация, ...).
0 |
Thrasht
22 Января, 2014
Слова теоретика, при всем уважении.
0 |
  • Поделиться
  • Ссылка