Развитие и рост предприятий тесно связан с ростом инфраструктуры информационных систем, а также с влиянием данных систем на бизнес-процессы предприятия. В связи с этим растут и требования, предъявляемые к защите ИТ-систем, что определяет необходимость постоянной корректировки и пересмотра правил, обеспечивающих функционирование системы информационной безопасности (ИБ).
Разработка концепции и политики ИБ позволяет определить
правильное использование информационных ресурсов и является неотъемлемой частью совершенствования системы ИБ, которая включает в себя следующие задачи:
Определение целей и задач системы ИБ.
Определение основных угроз.
Описание функциональной структуры системы ИБ.
Определение путей достижения целей защиты.
Разграничение зоны ответственности подразделений Компании за обеспечение ИБ.
Цели разработки концепции и политики ИБ
Обеспечение конфиденциальности, целостности и доступности информационных ресурсов.
Обеспечение защиты подсистем, задач и технологических процессов от угроз ИБ.
Обеспечение защиты управляющей информации от угроз ИБ.
Обеспечение защиты информации от угроз утечки по техническим каналам.
Этапы разработки концепции и политики ИБ
Разработка концепции и политики ИБ, как правило, происходит в несколько этапов и соответствует стадиям и этапам разработки остальной нормативно-методической и организационно-распорядительной документации:
1. Планирование и подготовка к проведению работ
Разработка регламента взаимодействия Заказчика и Исполнителя.
Формирование рабочей группы проекта.
Разработка программы проведения работ.
Определение границ работ.
2. Обследование корпоративной информационной системы
Анализ существующих документов Компании.
Выполнение работ по исследованию текущего состояния информационной среды и ИБ Компании.
Заполнение опросных листов сотрудниками Заказчика и Исполнителя.
3. Систематизация и анализ собранных в ходеобследования исходных данных
4. Разработка концепции и политики ИБ
Разработка концепции ИБ с отражением основных требований к системе ИБ и нормативному обеспечению системы ИБ Заказчика.
Разработка политики ИБ с детализацией основных технических характеристик системы защиты информации и ее оптимизация под бизнес-процессы Заказчика.
Корректировка концепции и политики ИБ при необходимости снижения затрат на реализацию.
Положительные эффекты от разработки концепции и политики ИБ
Наличие четкого описания и регламентирования всех внутренних процессов, связанных с обеспечением ИБ Компании.
Определение границ системы управления ИБ и детализация целей ее создания.
Управление рисками, связанными с нарушением ИБ.
Выбор контрмер, обеспечивающих режим ИБ.
Соответствие документальной базы Компании и внедренных систем обеспечения ИБ определенным критериям (законодательство, стандарты, внутренние требования).