Читаем Политики безопасности компании при работе в Интернет полностью

Стандарты детализируют различия по настройке безопасности в отдельных операционных системах, приложениях и базах данных.

Руководства представляют из себя рекомендуемые, необязательные к выполнению действия по предупреждению проблем, связанных с различными аспектами информационной безопасности.

Процедуры – детальные пошаговые инструкции, которые сотрудники обязаны неукоснительно выполнять.

При разработке политик очень важным является корректное распределение ролей и обязанностей. Очень важно соблюдать принцип наименьших привилегий, принцип «знать только то, что необходимо для выполнения служебных обязанностей» и использовать разделение обязанностей на критичных системах.

Различают следующие типы политик безопасности:

•  направленные на решение конкретной проблемы – примерами таких политик могут служить политика по найму персонала, политика использования паролей, политика использования Интернета;

•  программные – высокоуровневые политики, определяющие общий подход компании к обеспечению режима информационной безопасности. Эти политики определяют направление разработки других политик и соответствие с требованиями законодательства и отраслевых стандартов;

•  применяемые к конкретной среде – например, каждая операционная система требует отдельного стандарта по ее настройке.

Рекомендуемые компоненты политики безопасности:

• цель,

• область действия,

• утверждение политики,

• история документа,

• необходимость политики,

• какие политики отменяет,

• действия по выполнению политики,

• ответственность,

• исключения,