Читаем Политики безопасности компании при работе в Интернет полностью

Доверие – основа всех деклараций безопасности компании. Для доверия нужно понимать и принимать основные положения политики безопасности и обладать уверенностью в том, что они отвечают заявленным ожиданиям руководства компании.

Принципы безопасности. Формулирование принципов обеспечения информационной безопасности является первым важным шагом при разработке политики безопасности, так как они определяют сущность организации режима информационной безопасности компании. К ним относятся принципы:

•  ответственности – ответственность за обеспечение безопасности информационных систем компании должна быть явно определена;

•  ознакомления – собственники информации, пользователи информационных систем, а также клиенты и партнеры по бизнесу должны быть проинформированы о правилах утвержденной политики безопасности компании, а также о степени ответственности при работе с конфиденциальной информацией компании;

•  этики – обеспечение информационной безопасности компании должно осуществляться в соответствии со стандартами этики, применимыми к деятельности компании;

•  комплексности – политики, стандарты, практики и процедуры безопасности должны охватывать все уровни обеспечения безопасности: нормативно-методический, экономический, технологический, технический и организационно-управленческий;

•  экономической оправданности – обеспечение безопасности компании должно быть экономически оправданным;

•  интеграции – политики, стандарты, практики и процедуры безопасности должны быть скоординированы и интегрированы между собой;

•  своевременности – обеспечение безопасности компании должно позволять своевременно реагировать на угрозы безопасности и парировать их;

•  пересмотра – регулирующие документы в области безопасности компании должны периодически пересматриваться и дополняться;

•  демократичности – обеспечение безопасности информационных активов компании должно осуществляться в соответствии с принятыми нормами демократии;

•  сертификации и аккредитации – информационные системы компании и компания в целом должны быть сертифицированы на соответствие требованиям безопасности. Сотрудники компании, ответственные за организацию режима информационной безопасности, должны быть сертифицированы и внутренними приказами руководства компании допущены к исполнению своих должностных обязанностей;

•  парирования злоумышленника – стратегии и тактики обеспечения безопасности, а также соответствующие технические решения должны быть адекватны уровню нападения различного рода злоумышленников;

•  наименьших привилегий – сотрудникам компании должны быть предоставлены привилегии, необходимые для выполнения служебных обязанностей, и не более того;

•  разделения привилегий – привилегии сотрудников компании должны быть распределены таким образом, чтобы предупредить возможность нанесения ими умышленного или непреднамеренного ущерба критически важным информационным системам компании;

•  непрерывности – должна быть обеспечена требуемая непрерывность бизнеса компании в случае чрезвычайных ситуаций;