Разработка и внедрение политики информационной безопасности

Для начала определим, что такое Политика Информационной Безопасности?

Существует много различных определений.

Иные даже не сходятся во мнении, один ли это документ или в понятие "Политика Информационной Безопасности" включен многоуровневый комплекс документов.

Политика информационной безопасности – это высокоуровневый документ, который включает в себя принципы и правила, определяющие и ограничивающие определенные виды деятельности объектов и участников системы информационной безопасности, направленные на защиту информационных ресурсов организации.

Политика безопасности информационно-телекоммуникационных технологий – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию (ГОСТ Р ИСО/МЭК 13335-1 2006).

Политика – общее намерение и направление, официально выраженное руководством (ГОСТ Р ИСО/МЭК 17799-2005).

Обращаясь к ISO 27001:

Политика Информационной Безопасности - подмножество более общего документа - политики СУИБ, включающей в себя основные положения для определения целей СУИБ и устанавливающей общее направление и принципы деятельности по отношению к ИБ, учитывающей требования непрерывности бизнес-процессов, оценку рисков, законодательную базу и т.д.

Основные этапы разработки политики информационной безопасности следующие:

  1. Обследование информационной среды и информационной безопасности организации.
  2. Анализ полученных сведений.
  3. Формирование плана работ по разработке политики информационной безопасности.
  4. Разработка политики информационной безопасности организации.

Пакет организационно-распорядительных документов по вопросам обеспечения информационной безопасности включает следующие типы документов (четыре уровня):

  1. Политика информационной безопасности организации - высокоуровневый документ, описывающий основные принципы и правила.
  2. Регламенты информационной безопасности, раскрывающие более подробно процедуры и методы обеспечения информационной безопасности.
  3. Инструкции по обеспечению информационной безопасности для должностных лиц организации с учетом требований политики и регламентов.
  4. Прочие документы.