Как разработать эффективную политику информационной безопасности?

Что такое политика безопасности?

Политика безопасности (или политика информационной безопасности) традиционно выступает как перечень документов, которые регулируют работу организации в сфере защиты и сохранности данных. Подобные документы функционируют на различных уровнях – от глобальных стратегий, фиксирующих общие намерения и принципы защиты бизнеса, до актов, сфокусированных на частных вопросах, таких как дистанционный доступ или эксплуатация Wi-Fi.

Политика безопасности задает базовый вектор и позицию в области ИБ, в то время как иные акты помогают выстроить каркас вокруг этой деятельности. Можно принять, что политика безопасности дает ответы на вопросы «что» и «почему», тогда как процедуры, стандарты и инструкции – на вопросы «каким образом».

В чем ценность политики безопасности?

Создание политики безопасности может показаться избыточной бюрократической нагрузкой, но в действительности она является неотъемлемым элементом любой стратегии защиты данных.

Выделим некоторые из плюсов грамотно спроектированной и реализованной политики безопасности:

1. Регулирует интеграцию технических инструментов контроля

   Политика безопасности не содержит узких технологических предписаний, однако в ней зафиксированы намерения и требования топ-менеджмента касательно защиты информации. Специалисты ИБ-службы обязаны трансформировать эти цели в конкретные технические мероприятия.

   Например, в регламенте может быть прописано, что доступ к служебным сведениям фирмы должен быть открыт лишь для легитимных пользователей. Определенные механизмы аутентификации и алгоритмы контроля доступа, применяемые для исполнения данной нормы, могут со временем обновляться, но ключевой посыл остается неизменным.

2. Устанавливает однозначные требования

   Без политики безопасности каждый сотрудник станет определять, что допустимо, а что нет, на собственное усмотрение. Это может вызвать тяжелые последствия, когда разные работники будут следовать разным критериям.

   Приемлемо ли применять офисную технику в частных целях? Имеет ли право руководитель передавать пароли своим прямым подчиненным ради увеличения скорости работы? А как обстоит дело с загрузкой нештатного софта? Без прозрачной политики разные люди ответят на эти вопросы по-разному. В документе также должно быть четко зафиксировано, как проверяется и обеспечивается её выполнение.

3. Повышает эффективность бизнеса и содействует реализации бизнес-планов

   Качественная политика безопасности способна увеличить эффективность компании. Её догмы позволяют всем участникам процесса действовать слаженно, избегать дублирования функций и гарантировать стабильность в принимаемых решениях и надзоре за их реализацией.

   Для получения этих выгод, помимо внедрения и исполнения, правила должны быть увязаны с бизнес-задачами и корпоративной культурой организации.

Три вида политик безопасности

Политики безопасности могут отличаться по масштабу, области применения и сложности исходя из запросов конкретных предприятий. Стоит подчеркнуть, что число ступеней в иерархии документации определяется спецификой компании и может варьироваться. Чаще всего применяется 3-х и 4-х уровневая структура документации.

• Программная политика (базовая) — это долгосрочные, стратегические планы, которые фиксируют миссию и границы программы кибербезопасности компании. Эти бумаги создаются при участии высшего руководства и, как правило, не содержат описания конкретных технологий. Программная политика корректируется реже всего, поскольку должна формулироваться на достаточно высоком уровне, чтобы сохранять актуальность при технических и организационных переменах.

• Политика, ориентированная на задачи, основывается на общей политике безопасноcти и включает более конкретизированные советы по отдельным вопросам, затрагивающим персонал. В роли примера можно привести правила сетевой защиты, нормы дистанционной работы или требования к активности в соцсетях. Эти акты могут затрагивать специфические технологические зоны, но обычно имеют общий характер.

• Политика, ориентированная на системы, — это максимально детализированный тип регламента, нацеленный на конкретный вид решений, таких как межсетевой экран или веб-сервер, либо на отдельный узел сети. ИТ-отделы и департаменты безопасности принимают прямое участие в проектировании, запуске и контроле исполнения системных правил, но фундаментальные решения все равно одобряются руководством.

Семь признаков результативной политики безопасности

Политика безопасности — это значимая часть системы защиты, которую требуется корректно спроектировать, запустить и поддерживать. Эффективная политика безопасности должна включать следующие составляющие:

1. Четкие цели и задачи

   Это критически значимо для программных политик. Учитывайте, что многие работники могут не осознавать угрозы и станут воспринимать любой надзор как помеху. Четкая формулировка задачи, зафиксированная на верхнем уровне, должна помочь всему штату осознать важность защиты сведений.

2. Область применения

   Любой регламент должен иметь границы применения, которые однозначно указывают, на кого влияют данные нормы. Это может быть филиал, конкретное подразделение, штатная позиция или иная структура.

3. Поддержка со стороны высшего руководства

   Правила безопасности должны транслировать волю руководства; без этого фактора любая программа защиты обречена на провал. Чтобы достичь успеха, ваши нормы должны быть доведены до сведения штата, регулярно пересматриваться и неуклонно соблюдаться. Отсутствие участия лидеров сильно тормозит процесс.

4. Реалистичные и выполнимые политики

   Существует риск создать эталонные правила, опираясь на лучшие мировые образцы, однако помните, что персонал, вероятнее всего, негативно встретит слишком обременительные ограничения. Точно так же норма, лишенная рычагов контроля, будет проигнорирована большинством. Важно сохранять баланс между реалистичностью правил и надзором за их исполнением.

5. Четкие определения важных терминов

   Помните, что аудитория политик безопасности может быть слабо подготовлена технически. Важно применять лаконичный слог без лишнего жаргона, а все специфические термины в акте обязаны иметь четкие определения.

6. Определение рисков

   Чтобы сформировать адекватные алгоритмы реагирования на угрозы, ваша компания должна обозначить потенциальные риски. Многие реализуют это через процедуру оценки рисков. Будьте открыты к инновационным инструментам контроля. К примеру, для ревизии и разбора неструктурированных массивов, а также мониторинга прав доступа сотрудников применяют актуальные DCAP-решения, такие как Гарда DCAP.

7. Актуальную информацию

   Своевременное обновление политик безопасности имеет решающее значение для сохранения их силы. Хотя программная стратегия не требует частой правки, её все равно следует пересматривать периодически. Частные и узкотехнические правила нужно актуализировать чаще, так как меняются софт, способы организации труда и прочее. Со временем может возникнуть запрос и на принципиально новые регламенты.

Внедрение политики безопасности

Политики безопасности требуется не только разработать, но и правильно интегрировать. Весь персонал предприятия обязан знать ключевые тезисы из правил и понимать механику их действия. Это подразумевает, что они должны быть доступны для каждого.

Можно задействовать различные каналы, чтобы информировать людей о правилах: обучающие курсы, инструкции, доклады, почтовые рассылки, уведомления. Важно, чтобы работники осознавали, что от них требуют, и какие данные они обязаны предоставлять.

Если фирма соблюдает правила защиты на практике, это подтверждает, насколько серьезно она относится к безопасности. Оценка продуктивности внедренной политики ИБ должна быть систематической и проводиться через аудит. Это позволяет проверить выполнение планов по защите цифрового периметра и внести требуемые правки.

Заключение

Современному бизнесу невозможно обойтись без политики информационной безопасности, ведь в ней заложены механизмы контроля и процедуры, гарантирующие, что персонал станет обращаться с цифровыми активами корректно, а для любой опасности и нештатной ситуации подготовлен сценарий защитных мер. Поэтому крайне важно реализовать данные нормы максимально эффективно.

В воплощении стратегии защиты помогает целый ряд ИТ-решений: IaM, PAM и DCAP продукты в числе многих других. Система Гарда DCAP отслеживает соблюдение пользователями принятых норм безопасности, сигнализирует о аномальных действиях с данными, учетными записями и корпоративной почтой, а также помогает оперативно локализовать потенциально опасные инциденты.