политики информационной безопасности. При этом рекомендуется использовать международный стандарт ISO 17799:2005 и рассматривать политику безопасности компании как составную часть процесса управления информационными рисками (см. рис. 2.1). Считается, что разработка политики безопасности относится к стратегическим задачам менеджмента компании, который способен адекватно оценить стоимость ее информационных активов и принять обоснованные решения по защите информации с учетом целей и задач бизнеса.
Рис. 2.1. Процесс разработки политики безопасности компании
Компания IBM выделяет следующие основные этапы разработки политики безопасности:
• определение информационных рисков компании, способных нанести максимальный ущерб, для разработки в дальнейшем процедур и мер по предупреждению их возникновения;
• разработка политики безопасности, которая описывает меры защиты информационных активов, адекватные целям и задачам бизнеса;
• принятие планов действий в чрезвычайных ситуациях для уменьшения ущерба в случаях, когда выбранные меры защиты не смогли предотвратить инциденты в области безопасности;
• оценка остаточных информационных рисков и принятие решения о дополнительных инвестициях в средства и меры безопасности. Решение принимает руководство на основе анализа остаточных рисков.
2.1.1 Структура документов безопасности
Политика безопасности компании, с точки зрения IBM, должна содержать явный ответ на вопрос «Что требуется защитить?». Действительно, если руководство компании понимает, что необходимо защитить, какие информационные риски и угрозы информационным активам компании существуют, тогда можно приступать к созданию эффективной политики информационной безопасности. При этом политика безопасности является первым стратегическим документом, который необходимо создать и который содержит минимум технических деталей, будучи настолько статичным (неизменяемым), насколько возможно. Предполагается, что политика безопасности компании будет содержать:
• определение информационной безопасности с описанием позиции и намерений руководства компании по ее обеспечению;
• описание требований по безопасности, в которые входит:
– соответствие требованиям законодательства и контрактных обязательств;
– обучение вопросам информационной безопасности;
– предупреждение и обнаружение вирусных атак;
– планирование непрерывности бизнеса;
– определение ролей и обязанностей по различным аспектам общей программы информационной безопасности;
– описание требований и процесса отчетности по инцидентам, связанным с информационной безопасностью;
– описание процесса поддержки политики безопасности.
Компания IBM рекомендует выполнить следующие действия для разработки эффективной политики безопасности компании:
• анализ