Відмінності між версіями «Політика інформаційної безпеки»

м
нема опису редагування
м (Вилучення 1 інтервікі, відтепер доступних на Вікіданих: d:q6031182)
м
{{Інформаційна безпека}}
'''ПолітикаПолі́тика інформаційноїінформаці́йної безпекибезпе́ки'''  — набір вимог, правил, обмежень, рекомендацій, які регламентують порядок [[інформаційна діяльність|інформаційної діяльності]] в організації і спрямовані на досягнення і підтримку стану [[інформаційна безпека|інформаційної безпеки ]] організації.
{{Не плутати|політика безпеки інформації|політикою безпеки інформації|яка відноситься до безпеки інф. в інформаційно-телекомунікаційній системі.}}
 
 
== Необхідність впровадження ==
Головною причиною запровадження політики безпеки зазвичай є вимога наявності такого документа від регулятора  — організації, що визначає правила роботи підприємств даної галузі. У цьому випадку відсутність політики може спричинити репресивні дії щодо підприємства або навіть повне припинення його діяльності.
 
Крім того, певні вимоги (рекомендації) пред'являють галузеві або загальні, місцеві чи міжнародні стандарти. Зазвичай це виражається у вигляді зауважень зовнішніх аудиторів, які проводять перевірки діяльності підприємства. Відсутність політики викликає негативну оцінку, яка в свою чергу впливає на публічні показники підприємства  — позиції в рейтингу, рівень надійності і  т. д.
 
Цікаво, що, згідно з дослідженням з безпеки, проведеного компанією Deloitte в 2006 році, підприємства, які мають формалізовані політики інформаційної безпеки, значно рідше піддаються злому. Це свідчить про те, що наявність політики є ознакою зрілості підприємства в питаннях інформаційної безпеки. Те, що підприємство виразно сформулювало свої принципи і підходи до забезпечення інформаційної безпеки означає, що в цьому напрямку була проведена серйозна робота.
Досвід показує, що неефективні політики безпеки можна розділити на добре сформульовані, але не практичні і на практичні, але погано сформульовані.
 
Перша категорія найчастіше зустрічається у випадках, коли фахівці з питань безпеки підприємства недовго думаючи беруть готову політику (скажімо, з Інтернету) і, провівши мінімальні зміни, затверджують її для свого підприємства. Оскільки загальні принципи безпеки у різних підприємств, навіть різних галузей, можуть бути вельми схожі, такий підхід досить широко поширений. Однак його використання може привести до проблем, якщо від політики верхнього рівня знадобиться спуститися до документів нижнього рівня - — стандартам, процедурам, методикам і  т. д. Оскільки логіка, структура та ідеї вихідної політики були сформульовані для іншого підприємства, можливе виникнення серйозних труднощів, навіть протиріч в інших документах.
 
Політики другої категорії зазвичай з'являються у випадках, коли виникає необхідність вирішити нагальні завдання. Наприклад, системний адміністратор, втомившись боротися зі спробами користувачів порушувати роботу мережі, протягом десяти хвилин накидає список з кількох «можна» і «не можна», називає його «Політикою» і переконує керівництво в необхідності його затвердження. Потім цей документ може роками використовуватися на підприємстві, створюючи іноді суттєві проблеми, наприклад при впровадженні нових систем, і породжуючи величезну кількість винятків для випадків, коли його порушення допускається.
* http://masters.donntu.edu.ua/2010/fknt/zudikova/library/article6.htm
 
[[Категорія:Інформаційна політика]]
 
 
[[Категорія:Інформаційна безпека]]
127 920

редагувань