Відкрити головне меню

Полі́тика інформаці́йної безпе́ки — набір вимог, правил, обмежень, рекомендацій, які регламентують порядок інформаційної діяльності в організації і спрямовані на досягнення і підтримку стану інформаційної безпеки організації.

CIAJMK1209.png
Інформаційна безпека
Критерії оцінки інформаційної безпеки

Цілісність · Доступність · Конфіденційність · Спостережність· Невідмовність

Нормативні документи

COBIT · ITIL · ISO/IEC 17799:2005 · ISO/IEC 27001:2013 ·

Забезпечення

Політика · СУІБ · КСЗІ · СЗІ

Захист інформації

Технічний захист інформації · Інженерний захист інформації · Криптографічний захист інформації · Організаційний захист інформації

Політика безпеки інформації є частиною загальної політики безпеки організації і повинна успадковувати основні її принципи.

Зміст

Необхідність впровадженняРедагувати

Головною причиною запровадження політики безпеки зазвичай є вимога наявності такого документа від регулятора — організації, що визначає правила роботи підприємств даної галузі. У цьому випадку відсутність політики може спричинити репресивні дії щодо підприємства або навіть повне припинення його діяльності.

Крім того, певні вимоги (рекомендації) пред'являють галузеві або загальні, місцеві чи міжнародні стандарти. Зазвичай це виражається у вигляді зауважень зовнішніх аудиторів, які проводять перевірки діяльності підприємства. Відсутність політики викликає негативну оцінку, яка в свою чергу впливає на публічні показники підприємства — позиції в рейтингу, рівень надійності і т. д.

Цікаво, що, згідно з дослідженням з безпеки, проведеного компанією Deloitte в 2006 році, підприємства, які мають формалізовані політики інформаційної безпеки, значно рідше піддаються злому. Це свідчить про те, що наявність політики є ознакою зрілості підприємства в питаннях інформаційної безпеки. Те, що підприємство виразно сформулювало свої принципи і підходи до забезпечення інформаційної безпеки означає, що в цьому напрямку була проведена серйозна робота.

Мета ПІБРедагувати

Метою ПІБ має бути впровадження та ефективне управління системою забезпечення інформаційної безпеки, спрямованої на:

  • захист інформаційних активів організації,
  • забезпечення стабільної діяльності організації,
  • мінімізації ризиків інформаційної безпеки,
  • створення позитивних для організації інф. відносин з партнерами, клієнтами та всередині організації.

Основним завданням інформаційної безпеки є захист інформаційних активів від зовнішніх та внутрішніх навмисних та ненавмисних загроз.

Область застосуванняРедагувати

Політика розповсюджується на всі аспекти діяльності організації як інформаційної системи та застосовується до всіх активів організації, які можуть здійснювати певний ефект на важливі для існування організації об'єкти своєю відсутністю чи псуванням.

Фактори неефективностіРедагувати

Сама по собі наявність документа «Політика інформаційної безпеки», не принесе істотної користі підприємству, крім, можливо, формального аргументу в суперечці про присутність або відсутність у нього даної політики.

Досвід показує, що неефективні політики безпеки можна розділити на добре сформульовані, але не практичні і на практичні, але погано сформульовані.

Перша категорія найчастіше зустрічається у випадках, коли фахівці з питань безпеки підприємства недовго думаючи беруть готову політику (скажімо, з Інтернету) і, провівши мінімальні зміни, затверджують її для свого підприємства. Оскільки загальні принципи безпеки у різних підприємств, навіть різних галузей, можуть бути вельми схожі, такий підхід досить широко поширений. Однак його використання може привести до проблем, якщо від політики верхнього рівня знадобиться спуститися до документів нижнього рівня — стандартам, процедурам, методикам і т. д. Оскільки логіка, структура та ідеї вихідної політики були сформульовані для іншого підприємства, можливе виникнення серйозних труднощів, навіть протиріч в інших документах.

Політики другої категорії зазвичай з'являються у випадках, коли виникає необхідність вирішити нагальні завдання. Наприклад, системний адміністратор, втомившись боротися зі спробами користувачів порушувати роботу мережі, протягом десяти хвилин накидає список з кількох «можна» і «не можна», називає його «Політикою» і переконує керівництво в необхідності його затвердження. Потім цей документ може роками використовуватися на підприємстві, створюючи іноді суттєві проблеми, наприклад при впровадженні нових систем, і породжуючи величезну кількість винятків для випадків, коли його порушення допускається.