Политика информационной безопасности предприятия: средний уровень

Политики информационной безопасности среднего уровня непосредственно детализируют требования, задачи и правила, обозначенные в политике верхнего уровня, и отдельно описывают основные сферы, в которых необходимо системное осуществление тех или иных организационных и/или технических мероприятий.

Политика информационной безопасности среднего уровня должна содержать следующие основные разделы.

Общее описание той сферы деятельности (информационной технологии, аспекта информационной системы, бизнес-процессов предприятия), на которую она распространяется.

Область применения политики безопасности – перечень всех лиц, организаций, информационных систем, к которым она применяется или которые исключаются из сферы ее применения.

Непосредственное отношение предприятия к данному аспекту информационных технологий и информационной безопасности – основная часть политики безопасности, определяющая конкретные правила, критерии и требования к процедурам обращения информации, элементам информационной инфраструктуры, программным и аппаратным средствам и т.п.

Распределение ролей и функций, необходимых для разрешения конкретных вопросов – закрепление за определенными сотрудниками (специалистами, руководителями) обязанностей по выполнению необходимой работы с целью решения задач в рамках данной политики безопасности.

Порядок разрешения возникающих вопросов – основные процедуры разрешения появляющихся затруднений в текущей работе и принятия решений о возможных исключениях из общих правил, а также перечень лиц (подразделений), ответственных за непосредственную работу с персоналом предприятия по вопросам, относящимся к данной политике безопасности.

Одной из основ для реализации мероприятий в сфере информационной безопасности и детальной разработки политики безопасности является укрупненная классификация информационных ресурсов, имеющихся у предприятия. Все имеющиеся у предприятия информационные объекты (и соответствующие элементы информационной инфраструктуры), как правило, могут быть разделены на пять или шесть основных групп по уровню своей значимости и конфиденциальности.

Критически важная (абсолютно секретная) информация – информация, требующая особых гарантий безопасности.

Важная информация (информация, составляющая коммерческую тайну) – информация, используемая только внутри предприятия, нарушение конфиденциальности которой может нанести серьезный ущерб самому предприятию или его партнерам.

Значимая (конфиденциальная) информация – информация, предназначенная для использования ограниченным кругом сотрудников и руководителей предприятия.

Персональная информация – информация о сотрудниках, не подлежащая разглашению.

Информация для внутреннего использования – информация для использования внутри предприятия, нарушение конфиденциальности которой не может нанести вреда.

Прочая информация – открытая информация, конфиденциальность которой не имеет особого значения для деятельности предприятия.

Во всем объеме политик среднего уровня необходимо выделить два их основных вида.

Политики, относящиеся к определенным сферам деятельности предприятия и соответствующим информационным потокам (финансам, коммерческой деятельности и т.п.).

Политики, относящиеся к определенным аспектам использования информационных технологий, организации информационных потоков и организации работы персонала на всем предприятии – вне зависимости от той сферы, где используются эти технологии или занят персонал.

К политикам первого типа могут относиться:

- политики обращения с информацией, составляющей государственную тайну;

- политики обращения с результатами НИОКР, конструкторской и технологической документацией, составляющей "ноу-хау" предприятия или его партнеров и другие.

Политики безопасности такого типа уточняют и дополняют общие для всего предприятия правила, распространяющиеся на все остальные информационные системы и объекты, и, соответственно, имеют наибольший приоритет. Они, например, могут содержать:

- специальные требования к резервному копированию информации (такие как более высокая частота резервного копирование и использование более надежных носителей для этого);

- специальные требования к идентификации и аутентификации пользователей (такие как комбинирование биометрической идентификации и идентификации при помощи паролей);

- специальные требования к копировально-множительной технике, используемой для работы с конфиденциальной информацией;

- специальные требования к помещениям, в которых проводятся совещания по секретной тематике и обрабатывается соответствующая информация (толщина и материал стен, расположение помещений в зданиях, защищенность окон, надежность дверей и запоров, а также охранной и пожарной сигнализации, обследования на предмет выявления подслушивающих устройств и т.п.) и другие.

К политикам второго типа могут относиться:

- политика опубликования открытых информационных материалов, в том числе политика организации веб - сайта предприятия и его внутреннего информационного портала (в части предотвращения возможных утечек и искажений информации);

- политика использования сети Интернет (в части предотвращения возможных утечек информации);

- политики использования отдельных информационных и коммуникационных технологий, в том числе общие для всего предприятия правила использования мобильных компьютеров и КПК, удаленного доступа к корпоративными информационным системам, а также использования личных компьютеров сотрудников предприятия в служебных целях;

- классификации информационных систем, информационных ресурсов и объектов информации с точки зрения их значимости и усилий, которые необходимо предпринимать для их защиты;

- политика приобретения, установки, модификации и обновления программного обеспечения, а также аутсорсинга разработки и проектирования программного обеспечения;

- политика закупки аппаратных средств информационных систем, систем информационной безопасности;

- политика использования пользователями собственного программного обеспечения (т.е. ПО, самостоятельно разрабатываемого предприятием);

- общие для всего предприятия правила использования паролей и других средств персональной идентификации;

- политика использования электронно-цифровой подписи и инфраструктуры публичных ключей;

- политика (регламент) обеспечения внутри - объектового режима и физической защищенности информационных активов;

- политика доступа к внутренним информационным ресурсам сторонних пользователей (организаций);

- общий для всего предприятия порядок привлечения к ответственности за нарушение определенных правил информационной безопасности.