Политики безопасности компании при работе в Интернет. Сергей Александрович Петренко
Чтение книги онлайн.

Читать онлайн книгу Политики безопасности компании при работе в Интернет - Сергей Александрович Петренко страница 20

СКАЧАТЬ мнению специалистов IBM, разработка корпоративных руководящих документов в области безопасности должна начинаться с создания политики информационной безопасности. При этом рекомендуется использовать международный стандарт ISO 17799:2005 и рассматривать политику безопасности компании как составную часть процесса управления информационными рисками (см. рис. 2.1). Считается, что разработка политики безопасности относится к стратегическим задачам менеджмента компании, который способен адекватно оценить стоимость ее информационных активов и принять обоснованные решения по защите информации с учетом целей и задач бизнеса.

      Рис. 2.1. Процесс разработки политики безопасности компании

      Компания IBM выделяет следующие основные этапы разработки политики безопасности:

      • определение информационных рисков компании, способных нанести максимальный ущерб, для разработки в дальнейшем процедур и мер по предупреждению их возникновения;

      • разработка политики безопасности, которая описывает меры защиты информационных активов, адекватные целям и задачам бизнеса;

      • принятие планов действий в чрезвычайных ситуациях для уменьшения ущерба в случаях, когда выбранные меры защиты не смогли предотвратить инциденты в области безопасности;

      • оценка остаточных информационных рисков и принятие решения о дополнительных инвестициях в средства и меры безопасности. Решение принимает руководство на основе анализа остаточных рисков.

      2.1.1 Структура документов безопасности

      Политика безопасности компании, с точки зрения IBM, должна содержать явный ответ на вопрос «Что требуется защитить?». Действительно, если руководство компании понимает, что необходимо защитить, какие информационные риски и угрозы информационным активам компании существуют, тогда можно приступать к созданию эффективной политики информационной безопасности. При этом политика безопасности является первым стратегическим документом, который необходимо создать и который содержит минимум технических деталей, будучи настолько статичным (неизменяемым), насколько возможно. Предполагается, что политика безопасности компании будет содержать:

      • определение информационной безопасности с описанием позиции и намерений руководства компании по ее обеспечению;

      • описание требований по безопасности, в которые входит:

      – соответствие требованиям законодательства и контрактных обязательств;

      – обучение вопросам информационной безопасности;

      – предупреждение и обнаружение вирусных атак;

      – планирование непрерывности бизнеса;

      – определение ролей и обязанностей по различным аспектам общей программы информационной безопасности;

      – описание требований и процесса отчетности по инцидентам, связанным с информационной СКАЧАТЬ