Основные понятия политики безопасности

Политика безопасности в организации представляет собой отдельный документ, который имеет четкую структуру и базируется на других документах, определяющих специализированные процедуры по защите данных. Основой постоения политики в области информационной безопасности является анализ рисков, реальных для конкретного предприятия, и определение количества ресурсов, которое руководство считает целесообразным. Периодически эти данные подвергаются пересмотру, чтобы обеспечить актуальность текущей программы защиты.

Для реализации политики безопасности выделяются специальные ресурсы, происходит распределение ролей и назначаются ответственные за ее выполнение лица. Сам документ должен быть относительно независим от каких-либо конкретных технологий. Это делается для того, чтобы не приходилось менять его особенно часто.

Вся информация, которая циркулирует в рамках конкретного предприятия и относится, например, к учету продаж или индивидуальных данных клиентов, имеет особенно важное значение. Внутри локальной сети происходит создание, хранение, передача и обработка специфичных документов, которые, как правило, используются совместно несколькими операторами. По этой причине каждый компьютер, включенный в локальную сеть организации, нуждается в повышенной защите. Важно с помощью документа политики безопасности донести до сотрудников большое значение сохранности данных. Регламентируется участие работников в защите информации вплоть до описания роли каждого пользователя, подрядчика и поставщика в компьютерной системе.

Глобальная цель – обеспечить актуальность, конфиденциальность и доступность данных, а также их целостность. Она реализуется с помощью:

  • анализа информации, которая поступает при регистрации пользователя;
  • обеспечения общей безопасности в локальной сети;
  • существования отчетности по всем действиям, которые пользователи системы производят с информацией;
  • обеспечения соответствия с законами о защите данных, которые существуют в Российской Федерации;
  • соблюдения правил, которые установлены локальными документами.

Механизмы обеспечения информационной безопасности реализуются с участием сотрудников предприятия. Руководители подразделений следят за тем, чтобы до каждого работника была доведена актуальная информация. Администраторы отвечают за безопасность локальных сетей, непрерывную работу ее составляющих, обеспечение резервного копирования данных. В их обязанности входит защита компьютера от несанкционированного использования, анализ корректности выполнения процедур идентификации и аутентификации. Они также отвечают за поиск, обнаружение и ликвидацию вредоносного кода.

Администраторы сервисов управляют правами доступа пользователей к тем или иным видам документов, регулярно проводят проверку защитных механизмов. Конечные пользователи информационной системы обязаны знать и соблюдать правила работы с ней, работать исключительно с использованием своей личной учетной записи, сообщать руководству или администраторам любую информацию о подозрительных объектах в системе.

Нарушение политики безопасности может повлечь за собой катастрофические для бизнеса последствия, поэтому в документе должны быть отражены санкции, налагаемые на сотрудников. Дисциплинарные взыскания могут быть крайне серьезными, вплоть до принудительного увольнения.