Політика інформаційної безпеки
Полі́тика інформаці́йної безпе́ки — набір вимог, правил, обмежень, рекомендацій, які регламентують порядок інформаційної діяльності в організації і спрямовані на досягнення і підтримку стану інформаційної безпеки організації.
Політика безпеки інформації є частиною загальної політики безпеки організації і повинна успадковувати основні її принципи.
Необхідність впровадження
ред.Головною причиною запровадження політики безпеки зазвичай є вимога наявності такого документа від регулятора — організації, що визначає правила роботи підприємств даної галузі. У цьому випадку відсутність політики може спричинити репресивні дії щодо підприємства або навіть повне припинення його діяльності.
Крім того, певні вимоги (рекомендації) пред'являють галузеві або загальні, місцеві чи міжнародні стандарти. Зазвичай це виражається у вигляді зауважень зовнішніх аудиторів, які проводять перевірки діяльності підприємства. Відсутність політики викликає негативну оцінку, яка своєю чергою впливає на публічні показники підприємства — позиції в рейтингу, рівень надійності і т. д.
Цікаво, що, згідно з дослідженням з безпеки, проведеного компанією Deloitte в 2006 році, підприємства, які мають формалізовані політики інформаційної безпеки, значно рідше піддаються злому. Це свідчить про те, що наявність політики є ознакою зрілості підприємства в питаннях інформаційної безпеки. Те, що підприємство виразно сформулювало свої принципи і підходи до забезпечення інформаційної безпеки означає, що в цьому напрямку була проведена серйозна робота.
Мета ПІБ
ред.Метою ПІБ має бути впровадження та ефективне управління системою забезпечення інформаційної безпеки, спрямованої на:
- захист інформаційних активів організації,
- забезпечення стабільної діяльності організації,
- мінімізації ризиків інформаційної безпеки,
- створення позитивних для організації інф. відносин з партнерами, клієнтами та всередині організації.
Основним завданням інформаційної безпеки є захист інформаційних активів від зовнішніх та внутрішніх навмисних та ненавмисних загроз.
Область застосування
ред.Політика розповсюджується на всі аспекти діяльності організації як інформаційної системи та застосовується до всіх активів організації, які можуть здійснювати певний ефект на важливі для існування організації об'єкти своєю відсутністю чи псуванням.
Фактори неефективності
ред.Сама по собі наявність документа «Політика інформаційної безпеки», не принесе істотної користі підприємству, крім, можливо, формального аргументу в суперечці про присутність або відсутність у нього даної політики.
Досвід показує, що неефективні політики безпеки можна розділити на добре сформульовані, але не практичні і на практичні, але погано сформульовані.
Перша категорія найчастіше зустрічається у випадках, коли фахівці з питань безпеки підприємства недовго думаючи беруть готову політику (скажімо, з Інтернету) і, провівши мінімальні зміни, затверджують її для свого підприємства. Оскільки загальні принципи безпеки у різних підприємств, навіть різних галузей, можуть бути вельми схожі, такий підхід досить широко поширений. Однак його використання може привести до проблем, якщо від політики верхнього рівня знадобиться спуститися до документів нижнього рівня — стандартам, процедурам, методикам і т. д. Оскільки логіка, структура та ідеї вихідної політики були сформульовані для іншого підприємства, можливе виникнення серйозних труднощів, навіть протиріч в інших документах.
Політики другої категорії зазвичай з'являються у випадках, коли виникає необхідність вирішити нагальні завдання. Наприклад, системний адміністратор, втомившись боротися зі спробами користувачів порушувати роботу мережі, протягом десяти хвилин накидає список з кількох «можна» і «не можна», називає його «Політикою» і переконує керівництво в необхідності його затвердження. Потім цей документ може роками використовуватися на підприємстві, створюючи іноді суттєві проблеми, наприклад при впровадженні нових систем, і породжуючи величезну кількість винятків для випадків, коли його порушення допускається.