Если в вашей компании еще нет отдела ИБ, то его создание можно также приурочить к разработке политики информационной безопасности. При этом нужно помнить, что политику информационной безопасности должен разрабатывать опытный специалист, хорошо разбирающийся как в информационной безопасности, так и в реалиях отрасли, в которой работает ваша компания. Найти такого специалиста на постоянную работу, мягко говоря, непросто, и кроме того, он обойдется вашей компании весьма недешево. Поэтому на этапе разработки политики может оказаться целесообразным обращение в консалтинговую компанию, которая уже разрабатывала подобную политику для одного из предприятий вашей отрасли.
К выбору консалтинговой компании нужно подойти ответственно и помнить, что, к сожалению, даже высокая стоимость услуг консалтеров не гарантирует их столь же высокого качества. Идеальным вариантом будет, просмотрев портфолио компании, связаться с кем-то из её клиентов и поговорить с ними. Отсутствие портфолио, фактически равнозначное и отсутствию клиентов, говорит о том, что от услуг подобной компании лучше отказаться.
Впрочем, всё это ни в коем случае не означает, что самостоятельная разработка политики информационной безопасности приведет вашу компанию к провалу в этой сфере. Просто нужно помнить, что ваши специалисты, занятые политикой, тоже не обходятся вам бесплатно, поэтому зачастую экономия по сравнению со стоимостью заказа подобной услуги у консалтинговой компании, будет не такой уж значительной.
Написанию политики информационной безопасности предприятия должна обязательно предшествовать тщательная работа по выявлению информационных угроз, с которыми предприятие сталкивается. Они могут быть очень неодинаковыми для разных индустрий, и иметь очень разные последствия случившихся инцидентов. Поэтому необходимым этапом разработки политики безопасности является построение модели угроз и расчет рисков. Только с учетом этих данных можно выбрать оптимальную защиту, которая позволит охватить наиболее актуальные для компании угрозы, и при этом не будет чересчур обременительной по своей стоимости.
Большая часть работы – это и классификация документов, без которой необходимо определить различные уровни допуска к ним для разных групп пользователей. При этом как консалтинговой компании, так и вашим собственным специалистам по ИБ будет необходима помощь руководителей всех отделов компании, которые помогут понять, насколько важным и конфиденциальным является тот или иной документ, и, соответственно, насколько необходимо тратиться на его защиту.
Впрочем, разработка политики информационной безопасности – это только половина дела, если не треть. Потому что разработанную политику ещё необходимо воплотить в жизнь. В этом, как говорилось выше, должны помочь разработанные с её помощью документы. Однако обеспечение информационной безопасности предприятия одними организационными мерами невозможно, поэтому следующим необходимым этапом является внедрение различных технических средств обеспечения информационной безопасности компании. Эти внедрения могут быть достаточно дорогостоящими, но они все окупятся: например, если говорить об утечках информации, то средняя цена каждой из них в 2013 году составила уже 5,5 млн. долларов.
Таким образом, подводя итог сказанному выше, можно порекомендовать обратиться при разработке политики безопасности к профессионалам, имеющим опыт решения подобных задач. Идеально будет нанять такого профессионала в свой отдел ИБ, но при невозможности этого можно довольствоваться услугами консалтинговой компании.
