[МУЗЫКА] Далее рассмотрим политику безопасности организации и ее назначение.
Вообще, политике безопасности организации будет посвящена отдельная лекция
нашего курса, но основные сведения о ней мы обсудим сегодня,
поскольку построение политики безопасности организации относится к административным
мерам защиты информации.
Структурная лекция про политику безопасности будет следовать за
тематическими лекциями, посвященными другим категориям мер защиты информации.
Это обосновано тем, что при построении политики безопасности следует учитывать
все возможные меры защиты информации,
то есть иметь полную картину информации об организации.
Под политикой безопасности информационно-телекомунникационных
технологий, или политика безопасности ИТТ,
по уже известному нам государственному стандарту следует понимать правила,
директивы, сложившуюся практику, которые определяют, как в пределах организации
и ее информационно-телекомунникационных технологий управлять,
защищать и распределять активы, в том числе критичную информацию.
Мы будем использовать в рамках нашей лекции несколько сокращенные
определения этого понятия, а именно политика безопасности организации,
или сокращенно ПБ, — совокупность документированных решений,
принимаемых руководством организации и направленных на защиту информации и
ассоциированных с ней ресурсов.
Целями, которые ставятся перед политикой безопасности, являются:
формирование системы взглядов на проблему обеспечения безопасности информации в
организации и пути ее решения с учетом современных технологий обработки и защиты
информации; формулирование рекомендаций по повышению степени защищенности
информационной системы; выработка общих требований к мерам защиты информации.
То есть перед политикой безопасности ставятся такие цели, как формирование
единой системы взглядов руководства на то, как должна обрабатываться,
храниться и защищаться, что, самое главное, информация в организации.
Из этого должно следовать, какие меры должны быть приняты для обеспечения
адекватного уровня защиты информации, а из них, в свою очередь,
следуют выводы о том, что следует изменить в существующем порядке
обработки информации в организации, то есть должны быть сформулированы
рекомендации по повышению степени защищенности информационной системы.
Политику безопасности, как правило, рассматривают как совокупность трех
уровней — верхнего, то есть решений, касающихся всей организации в целом.
На этом уровне требования к безопасности информации в организации, как правило,
формулируются в терминах целостности, доступности и конфиденциальности,
рассматриваются общие потоки информации в организации.
На среднем уровне рассматривается область применения политики безопасности, а также
обсуждаются вопросы ответственности за ее соблюдение, вопросы обучения персонала,
назначения лиц, которые будут проводить обучение и контроль за исполнением
политики безопасности, распределение ответственности, например, по отделам.
И, наконец, на нижнем уровне политики безопасности принимаются
решения по конкретным системам и сервисам,
выбираются конкретные информационные технологии, которые будут использованы в
информационной системе объекта информатизации.
Примерами элементов политики безопасности верхнего уровня являются, например,
формулировка целей, которые преследует организация в области информационной
безопасности, то есть перечисление, например, категорий информации, которая
обрабатывается на территории объекта информатизации, которая требует защиты,
которая требует принятия специальных мер для обеспечения ее безопасности.
Обеспечение базы для соблюдения законов и прочих нормативных актов,
то есть постулирование опоры на различные законы и подтверждение того,
что политика безопасности и различные мероприятия,
проводимые на территории организации, ни в коем случае не должны им противоречить.
Формулировка административных решений по вопросам, касающихся организации в целом,
также относится к политике безопасности верхнего уровня.
На среднем уровне в политике безопасности могут рассматриваться такие вопросы,
как область применения политики безопасности,
обязанности должностных лиц, отвечающих за ее выполнение, а также
обучение и информирование персонала о политике безопасности организации.
Здесь следует понимать, что от того, в какой мере будут проработаны
именно эти вопросы, во многом зависит эффективность политики безопасности.
Очень важным является, чтобы каждый сотрудник прекрасно понимал то,
чего от него ждет руководство, и был бы, скажем так, морально готов это выполнить,
то есть реализация каких-то требований, которые представлены к данному сотруднику,
не вызывали бы у него внутреннего протеста, каких-то больших неудобств,
не затрудняли бы выполнение им своих должностных обязанностей.
Именно на это и направлено обучение и информирование персонала.
Об управлении персоналом мы поговорим чуть далее.
[МУЗЫКА]
