Политика безопасности — набор правил и норм, определяющих, каким образом обеспечивается безопасность в организации. В этом документе также описываются основные риски и меры по их предотвращению, выявлению и нейтрализации. Политика безопасности утверждается руководством организации и доводится до сведения всех ее сотрудников, а также всех причастных сторон за пределами организации.
Термин «политика безопасности» также используется для обозначения системных правил и параметров, регулирующих доступ к устройствам, ПО и данным организации.
Зачем нужна политика безопасности
Политика безопасности решает следующие задачи.
- Устанавливает порядок работы с чувствительными данными и предоставления доступа к информационным активам, общие правила защиты от угроз и управления ресурсами организации, а также порядок действий и перечень ответственных лиц в случае возникновения инцидента. Это упрощает принятие решений, связанных с информационной безопасностью, и позволяет централизованно знакомить сотрудников с требованиями по безопасности.
- Обеспечивает соответствие организации требованиям регуляторов. В некоторых странах и отраслях требование к наличию этого документа закреплено на законодательном уровне. В таком случае внедрение и применение политики безопасности носит обязательный характер, а ее отсутствие может привести к возникновению юридической ответственности. Во всех остальных случаях в политике безопасности могут быть явно прописаны требования и нормативы, установленные регулятором.
Содержание политики безопасности
Как правило, корпоративная политика безопасности включает следующие составляющие.
- Определение, цели и принципы информационной безопасности в организации.
- Нормы и требования по различным направлениям обеспечения безопасности, таким как:
- управление доступами, в том числе организация удаленного доступа к корпоративной сети, допуск новых сотрудников и изъятие доступов при увольнении;
- использование компьютерного оборудования и информационных систем;
- управление инцидентами безопасности, включая все этапы реагирования на инцидент: подготовку, идентификацию, сдерживание, ликвидацию, возвращение к работе и улучшение реагирования;
- защита от вредоносного ПО;
- резервное копирование корпоративных данных;
- принципы создания и хранения паролей, например срок действия паролей, их рекомендованная длина, набор допустимых символов, списки запрещенных паролей и т. д.;
- обработка изменений в информационной системе организации, в том числе порядок и периодичность их реализации;
- обучение сотрудников.
- Меры и технологии, применяемые для соблюдения установленных норм.
- Полномочия и обязанности отделов и служб в сфере безопасности, включая определение персональной ответственности назначенных лиц, а также меры реагирования в отношении пользователей, не соблюдающих или не имеющих возможности соблюдать требования политики безопасности.
- Положения, касающиеся отклонений и исключений из изложенных правил.
Кроме того, в ряде случаев политика безопасности может включать информацию о мерах обеспечения физической безопасности объектов и сотрудников, в том числе правила прохода на территорию, требования техники безопасности и охраны труда, нормы обращения с оборудованием и др.