Самое важное при составлении политики информационной безопасности

Самое важное при составлении политики информационной безопасности
Если вы собираетесь гарантировать информбезопасность компании, для начала потребуется решить, что именно нужно обеспечить, и только затем ответить на вопрос – «как обеспечить?». Без ответов на эти вопросы любые системы, которые вы покупаете и внедряете, будут просто пустой тратой денег. Понять, что требуется сделать для обеспечения информационной безопасности, вам поможет своевременно проработанная политика ИБ, к созданию которой потребуется подойти с максимальной серьезностью.
Для начала установим, что именно сегодня подразумевается под термином «политика информационной безопасности компании». Исследования, проведенные компанией SearchInform, подтверждают, что около трети компаний сегодня могут похвалиться профессионально проработанной политикой информационной безопасности. С другой стороны, приблизительно десятая часть компаний не задается вопросом, как и для чего им нужно защищать информацию. Из данной статистики можно сделать вывод, что разработка политики информбезопасности, равно как и ее реализация в практике работы фирмы придаст конкурентное преимущество определенной организации.
Политикой информбезопасности сегодня называют свод правил, которые охватывают потенциальные угрозы в сфере информации, с коими иногда сталкивается компания, и меры для защиты от данных угроз. Необходимо также отметить, что отличную изученность и превосходную известность абсолютного большинства информугроз, также как и методов для защиты от них, требуется очень подробно отобразить в корпоративной политике информационной безопасности.
При проработке политики информбезопасности самым главным являются максимальные подробность и точность. Не стоит бояться составлять данный документ в слишком уж громоздкой форме из-за большого количества подробностей. Дело в том, что политика ИБ используется не для инструктажа отдельных сотрудников, а в качестве своеобразного «свода законов» для различных специалистов. Руководствуясь данным документом, сотрудники отдела информационной безопасности смогут проработать должностные инструкции для других специалистов компании, а также и иные необходимые для воплощения положений политики данные.


При составлении корпоративной политики информационной безопасности очень важно определить пользовательские роли в пределах корпоративной информсети, чтобы потом на основании данных ролей «настроить» классы защиты информации и допуски для разных категорий пользователей. Понятно, что бухгалтерии по работе требуется одна информация, а отделу продаж нужны уже совсем другие данные, а отделу маркетинга – третьи. Всё это непременно должно быть отображено в политике информбезопасности компании.