Политика безопасности в организации представляет собой отдельный документ, который имеет четкую структуру и базируется на других документах, определяющих специализированные процедуры по защите данных. Основой построения политики в области информационной безопасности является анализ рисков, актуальных для конкретного предприятия, и определение количества ресурсов, которое руководство считает целесообразным использовать для обеспечения защиты. Периодически эти данные подвергаются пересмотру, чтобы обеспечить актуальность текущей программы защиты.
Для реализации политики безопасности выделяются специальные ресурсы, происходит распределение ролей и назначаются ответственные за ее выполнение лица. Сам документ должен быть относительно независим от каких-либо конкретных технологий. Это делается для того, чтобы не приходилось менять его особенно часто.
Вся информация, которая циркулирует в рамках конкретного предприятия и относится, например, к учету продаж или индивидуальных данных клиентов, имеет особенно важное значение. Внутри локальной сети происходит создание, хранение, передача и обработка специфичных документов, которые, как правило, используются совместно несколькими операторами. По этой причине каждый компьютер, включенный в локальную сеть организации, нуждается в повышенной защите. Важно с помощью документа политики безопасности донести до сотрудников большое значение сохранности данных. Регламентируется участие работников в защите информации вплоть до описания роли каждого пользователя, подрядчика и поставщика в компьютерной системе.
Глобальная цель – обеспечить актуальность, конфиденциальность и доступность данных, а также их целостность. Она реализуется с помощью:
Механизмы обеспечения информационной безопасности реализуются с участием сотрудников предприятия. Руководители подразделений следят за тем, чтобы до каждого работника была доведена актуальная информация. Администраторы отвечают за безопасность локальных сетей, непрерывную работу ее составляющих, обеспечение резервного копирования данных. В их обязанности входит защита компьютера от несанкционированного использования, анализ корректности выполнения процедур идентификации и аутентификации. Они также отвечают за поиск, обнаружение и ликвидацию вредоносного кода.
Администраторы сервисов управляют правами доступа пользователей к тем или иным видам документов, регулярно проводят проверку защитных механизмов. Конечные пользователи информационной системы обязаны знать и соблюдать правила работы с ней, работать исключительно с использованием своей личной учетной записи, сообщать руководству или администраторам любую информацию о подозрительных объектах в системе.
Нарушение политики безопасности может повлечь за собой катастрофические для бизнеса последствия, поэтому в документе должны быть отражены санкции, налагаемые на сотрудников. Дисциплинарные взыскания могут быть крайне серьезными, вплоть до принудительного увольнения.