Разработка и внедрение политики информационной безопасности
Для начала определим, что такое Политика Информационной Безопасности?
Существует много различных определений.
Иные даже не сходятся во мнении, один ли это документ или в понятие "Политика Информационной Безопасности" включен многоуровневый комплекс документов.
Политика информационной безопасности – это высокоуровневый документ, который включает в себя принципы и правила, определяющие и ограничивающие определенные виды деятельности объектов и участников системы информационной безопасности, направленные на защиту информационных ресурсов организации.
Политика безопасности информационно-телекоммуникационных технологий – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию (ГОСТ Р ИСО/МЭК 13335-1 2006).
Политика – общее намерение и направление, официально выраженное руководством (ГОСТ Р ИСО/МЭК 17799-2005).
Обращаясь к ISO 27001:
Политика Информационной Безопасности - подмножество более общего документа - политики СУИБ, включающей в себя основные положения для определения целей СУИБ и устанавливающей общее направление и принципы деятельности по отношению к ИБ, учитывающей требования непрерывности бизнес-процессов, оценку рисков, законодательную базу и т.д.
Основные этапы разработки политики информационной безопасности следующие:
- Обследование информационной среды и информационной безопасности организации.
- Анализ полученных сведений.
- Формирование плана работ по разработке политики информационной безопасности.
- Разработка политики информационной безопасности организации.
Пакет организационно-распорядительных документов по вопросам обеспечения информационной безопасности включает следующие типы документов (четыре уровня):
- Политика информационной безопасности организации - высокоуровневый документ, описывающий основные принципы и правила.
- Регламенты информационной безопасности, раскрывающие более подробно процедуры и методы обеспечения информационной безопасности.
- Инструкции по обеспечению информационной безопасности для должностных лиц организации с учетом требований политики и регламентов.
- Прочие документы.