Политика информационной безопасности

24 December 2019

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы[73]:

  • Защита объектов информационной системы;
  • Защита процессов, процедур и программ обработки информации;
  • Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.), включая защиту информации в локальных сетях;
  • Подавление побочных электромагнитных излучений;
  • Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

  • Определение информационных и технических ресурсов, подлежащих защите;
  • Выявление полного множества потенциально возможных угроз и каналов утечки информации;
  • Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
  • Определение требований к системе защиты;
  • Осуществление выбора средств защиты информации и их характеристик;
  • Внедрение и организация использования выбранных мер, способов и средств защиты;
  • Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.