Политика информационной безопасности: что это такое и примеры

Политика информационной безопасности — это документ, утвержденный высшим руководством компании, в котором выражается приверженность компании обеспечению информационной безопасности и устанавливаются меры и средства контроля, которые компания будет принимать для обеспечения конфиденциальности, целостности и доступности информации, а также для предотвращения и снижения рисков, которым подвергаются информационные активы компании.

Таким образом, мы говорим о документе, который должен быть известен и соблюдаться всеми членами организации и в котором изложена стратегия, принятая компанией для предотвращения утечек, потери, изменения или уничтожения информации компании, а также последствия их несоблюдения. Аналогичным образом, политика информационной безопасности также определяет роли и обязанности членов организации.

Под информацией или информационными активами компании понимаются компьютерная инфраструктура, оборудование и устройства компании, включая ее внутреннюю информационную систему, интеллектуальную и промышленную собственность, собственную и стороннюю конфиденциальную информацию или ноу-хау.

Какую цель преследует политика информационной безопасности?

Основная цель, также называемой политикой информационной безопасности и кибербезопасности, заключается в обеспечении конфиденциальности, целостности и доступности информации путем установления необходимых для этого мер и средств контроля.

Эти меры и средства контроля будут определены после соответствующего процесса анализа и оценки рисков, а также определения и определения наиболее важных и важных информационных активов для компании как с функциональной точки зрения, то есть которые необходимы для непрерывности бизнеса, так и с точки зрения безопасности.

Помимо указания того, как защитить информацию вашей компании, политика информационной безопасности также направлена на то, чтобы продемонстрировать приверженность высшего руководства информационной безопасности, и чтобы различные сотрудники организации знали о применяемых мерах безопасности и средствах контроля, которым они должны соответствовать.

Как составить политику информационной безопасности?

После того, как информационные активы, относящиеся к компании, были идентифицированы, проведен соответствующий анализ и оценка рисков, а также выбраны меры и средства контроля, которые будут внедрены в компании для предотвращения и смягчения выявленных рисков, политика информационной безопасности будет разработана, следуя этим шагам:

• Указывается, какова цель политики информационной безопасности, которая всегда должна соответствовать стратегическим целям компании.
• Указаны области, процессы, виды деятельности, активы и лица, к которым применяется политика информационной безопасности, и, в случае физических лиц, которые обязаны ее соблюдать.
• Устанавливаются общие принципы информационной безопасности для компании, такими как, например, комплексная безопасность, безопасность по умолчанию или управление рисками, среди прочего.
• Определяет цели в области информационной безопасности, которым привержено высшее руководство.
• Может быть назначено столько ролей, сколько компания сочтет необходимым, исходя из ее информационных активов и ИТ-инфраструктуры, количества сотрудников, обнаруженных рисков и деятельности. Каждому ответственному лицу будет назначен ряд обязанностей и функций.
• В политику информационной безопасности также должны быть включены случаи, когда мера, контроль или стандарт неприменимы. И что делать в таких случаях.
• Будет включена система санкций за несоблюдение политики информационной безопасности. Санкции должны быть в пределах, установленных законом.
• Рекомендуется включить глоссарий технических терминов, чтобы любой сотрудник компании мог понять документ. Аналогичным образом, будут также включены любые приложения, которые могут потребоваться.

После разработки документа о политике информационной безопасности он будет утвержден руководством и доведен до сведения всех сотрудников компании.