Развитие и рост предприятий тесно связан с ростом инфраструктуры информационных систем, а также с влиянием данных систем на бизнес-процессы предприятия. В связи с этим растут и требования, предъявляемые к защите ИТ-систем, что определяет необходимость постоянной корректировки и пересмотра правил, обеспечивающих функционирование системы информационной безопасности (ИБ).

Разработка концепции и политики ИБ позволяет определить правильное использование информационных ресурсов и является неотъемлемой частью совершенствования системы ИБ, которая включает в себя следующие задачи:

• Определение целей и задач системы ИБ.
• Определение основных угроз.
• Описание функциональной структуры системы ИБ.
• Определение путей достижения целей защиты.
• Разграничение зоны ответственности подразделений Компании за обеспечение ИБ.

Цели разработки концепции и политики ИБ

• Обеспечение конфиденциальности, целостности и доступности информационных ресурсов.
• Обеспечение защиты подсистем, задач и технологических процессов от угроз ИБ.
• Обеспечение защиты управляющей информации от угроз ИБ.
• Обеспечение защиты информации от угроз утечки по техническим каналам.

Этапы разработки концепции и политики ИБ

Разработка концепции и политики ИБ, как правило, происходит в несколько этапов и соответствует стадиям и этапам разработки остальной нормативно-методической и организационно-распорядительной документации:

1. Планирование и подготовка к проведению работ

• Разработка регламента взаимодействия Заказчика и Исполнителя.
• Формирование рабочей группы проекта.
• Разработка программы проведения работ.
• Определение границ работ.

2. Обследование корпоративной информационной системы

• Анализ существующих документов Компании.
• Выполнение работ по исследованию текущего состояния информационной среды и ИБ Компании.
• Заполнение опросных листов сотрудниками Заказчика и Исполнителя.

3. Систематизация и анализ собранных в ходе обследования исходных данных

• Анализ применяемых в Компании программно-технических средств.
• Анализ существующих концепции и политики ИБ на соответствие требованиям российских и зарубежных стандартов в области ИБ.
• Анализ рисков ИБ.

4. Разработка концепции и политики ИБ

• Разработка концепции ИБ с отражением основных требований к системе ИБ  и нормативному обеспечению системы ИБ Заказчика.
• Разработка политики ИБ с детализацией основных технических характеристик системы защиты информации и ее оптимизация под бизнес-процессы Заказчика.
• Корректировка концепции и политики ИБ при необходимости снижения затрат на реализацию.

Положительные эффекты от разработки концепции и политики ИБ

• Наличие четкого описания и регламентирования всех внутренних процессов, связанных с обеспечением ИБ Компании.
• Определение границ системы управления ИБ и детализация целей ее создания.
• Управление рисками, связанными с нарушением ИБ.
• Выбор контрмер, обеспечивающих режим ИБ.
• Соответствие документальной базы Компании и внедренных систем обеспечения ИБ определенным критериям (законодательство, стандарты, внутренние требования).