Информационная безопасность. Политика ИБ в Вашей компании работает?
Информационная безопасность в компании очень важный элемент функционирования любого бизнеса. Что мы о ней знаем, какие средства используем для ее достижения и достаточно ли их?
Что такое Политика Информационной безопасности компании?
Политика информационной безопасности — это набор требований, правил, ограничений и рекомендаций, регламентирующих порядок информационной деятельности в организации, направленных на достижение и поддержание состояния информационной безопасности организации.
Простым языком, Политика ИБ — это инструкция по использованию оборонного щита, который выстроен на предприятии, а самим щитом является система технических средств информационной безопасности и сами пользователи, если они хорошо информированы и правильно выполняют свои функции.
Отсутствие правильно разработанной и внедренной Политики информационной безопасности чаще всего становится большой удачей для злоумышленников в случаях кибератак.
Обычно в компании есть лицо ответственное за информационную безопасность, однако дело в том, что слабым звеном в цепи информационной безопасности является именно рядовой работник с компьютером, который не обладает базовыми знаниями по информационной безопасности.
Политика безопасности информации — это часть общей политики безопасности организации, поэтому должна унаследовать основные ее принципы.
Концепция построения системы информационной безопасности должна строиться на характерных для системы безопасности предприятия постулатах, то есть каждый работник должен себя идентифицировать при входе в систему по аналогии с записью в журнале посещений, присваивать различные степени доступа информации (такие как информация с ограниченным доступом, или конфиденциальная информация ) аналогично запрету доступа к определенным помещениям, должен быть запрет совершать определенные действия, и многое другое.
При разработке Политики ИБ нужно балансировать на границе между снижением рисков и удобством для пользователя.
Довольно частая проблема Политик информационной безопасности, это использование при их разработке подхода, аналогичном к разработке инструкции от телевизора — «нажми кнопку« включить », все будет хорошо, возникнут проблемы — звони в техническую поддержку».
Информационная система компании — не телевизор, от нее требуется функционал значительно шире и поэтому Политика ИБ должна быть достаточно гибкой и «usable».
Пишите просто и понятно
Необходимо помнить, что в большинстве случаев, рядовой пользователь не поймет реальных рисков от совершенных им действий, даже если четко объяснить, что простое открытие письма с неизвестной электронной почты может привести к слому всей сети предприятия.
Поэтому, пишите просто и понятно, а главное ваше Положение должно иметь структуру четких рекомендаций, чтобы когда кто-то не поймет зачем оно нужно, он все равно смог выполнять его рекомендации.
Также, нужно помнить, что Политика ИБ — это лишь общий документ (своего рода Конституция ИБ), в целом же Информационная безопасность должна делиться на уровни:
— Политика Информационной безопасности;
— специализированные документы по различным направлениям информационной безопасности (Политика конфиденциальности Политика реагирования на киберинциденты)
— узкопрофильные документы, регулирующие совершение конкретных действий работниками в рамках Политики информационной безопасности (Процедуры, регламенты, должностные инструкции лиц ответственных за ИБ).
Остались вопросы по поводу Политики ИБ?
Спросить юриста
Какова ситуация с законодательным регулированием Политик ИБ?
На сегодняшний день в Украине нет четко урегулирования требований к Информационной безопасности на предприятиях. При этом, требования предъявляемые к компаниям, которые работают с персональными данными граждан Европейского союза, в соответствии с требованиями General data protection regulation (GDPR) и других нормативных актов.
Последние тенденции нормотворчества, в частности, проект постановления НБУ «Об утверждении Положения о киберзащите и информационной безопасности в платежных системах и системах расчетов», отдельные нормы Закона Украины «Об основных принципах обеспечения кибербезопасности Украины» и некоторые другие, указывают на то, что в ближайшем будущем нас ждет четкое законодательное регулирование с жесткими требованиями к Политик информационной безопасности предприятий.
Выводы
Для обеспечения достаточного уровня информационной безопасности компании нужно разрабатывать Политику информационной безопасности с учетом того, что она является составляющей системы безопасности предприятия, и помнить, что она должна быть ориентированной на каждого работника, а также не нагружать главный документ информацией направленной на отдельных работников. Для этого нужно разрабатывать документы низшего уровня.
Если же говорить о том, технический это или юридический документ, нужно совместить техническое знание с юридическими умениями по написанию понятных для конечного пользователя документов, сходных по своей форме, скорее к user friendly руководств, чем технических пособий.