12 элементов политики информационной безопасности

Politica de securitate informațioală

Что такое политика информационной безопасности?

Угрозы безопасности постоянно развиваются, а требования к соответствию нормативным требованиям становятся все более сложными. Организациям необходимо разработать комплексную политику информационной безопасности, чтобы решить обе эти задачи. Политика информационной безопасности позволяет координировать и обеспечивать выполнение программы безопасности, а также информировать о мерах безопасности третьи стороны и внешних аудиторов.

Чтобы быть эффективной, политика информационной безопасности должна:

  • Охватывать сквозные процессы безопасности в организации.
  • Быть выполнимой и практичной.
  • Регулярно обновляться в соответствии с потребностями бизнеса и меняющимися угрозами.
  • Быть ориентированной на бизнес-цели вашей организации.

Политики информационной безопасности могут принести организации следующие преимущества:

Обеспечение целостности, доступности и конфиденциальности данных — эффективные политики информационной безопасности стандартизируют правила и процессы, которые защищают от векторов, угрожающих целостности, доступности и конфиденциальности данных.

Защита конфиденциальных данных — политики информационной безопасности уделяют приоритетное внимание защите интеллектуальной собственности и конфиденциальных данных, таких как персональная информация.

Минимизация риска инцидентов безопасности — политика информационной безопасности помогает организациям определить процедуры для выявления и смягчения уязвимостей и рисков. В ней также подробно описаны быстрые ответные меры, позволяющие минимизировать ущерб в случае инцидента безопасности.

Реализация программ безопасности в масштабах организации — политики информационной безопасности обеспечивают основу для внедрения процедур.

Предоставляет партнерам четкое заявление о безопасности — политики информационной безопасности обобщают позицию организации в области безопасности и объясняют, как организация защищает ИТ-ресурсы и активы. Они способствуют быстрому реагированию на запросы информации от третьих сторон, клиентов, партнеров и аудиторов.

Помогает соответствовать нормативным требованиям — Создание политики информационной безопасности может помочь организациям выявить пробелы в безопасности, связанные с нормативными требованиями, и устранить их. Политика безопасности может быть настолько широкой, насколько вы захотите, охватывать все — от ИТ-безопасности до безопасности связанных с ней физических активов, но применима ко всем сферам деятельности. В следующем списке приведены некоторые важные соображения при разработке политики информационной безопасности.

Цель

Сначала укажите цель политики, которая может быть следующей:

Создать общий подход к информационной безопасности, особенно в части стандартов, требований безопасности и лучших практик, принятых в организации.
Выявление и предотвращение нарушений информационной безопасности, таких как неправомерное использование сетей, данных, приложений и информационных систем.
Поддерживать репутацию организации и соблюдать этические, юридические нормы и применимые правила.
Уважать права сотрудников и клиентов, в том числе отвечать на вопросы и жалобы о несоблюдении требований.

1. Аудитория

  • Определите аудиторию, к которой применяется политика информационной безопасности. Вы также можете указать, какие сегменты общества не входят в сферу действия политики (например, персонал другого подразделения, который отдельно управляет безопасностью, может не входить в сферу действия политики).

2. Цели информационной безопасности

Под руководством руководства компании согласуйте четко сформулированные цели стратегии и безопасности. Информационная безопасность направлена на достижение трех основных целей:

  • Конфиденциальность — только аутентифицированные и авторизованные лица могут получить доступ к данным и информационным активам.
  • Целостность — данные должны быть неповрежденными, точными и полными, а ИТ-системы должны поддерживаться в рабочем состоянии.
  • Доступность — пользователи должны иметь возможность получить доступ к информации или системам, когда это необходимо.

3. Полномочия и политика управления доступом

  • Иерархическая модель — старший менеджер может иметь полномочия решать, какими данными можно делиться и с кем. В политике безопасности могут быть разные условия для старшего менеджера и младшего сотрудника или подрядчика. Политика должна определять уровень полномочий в отношении данных и ИТ-систем для каждой организационной роли.
  • Политика сетевой безопасности — утверждение и применение критических патчей и других мер по снижению угроз. Пользователи могут получать доступ к сетям и серверам компании только через уникальные логины, требующие аутентификации, включая пароли, биометрические данные, идентификационные карты или маркеры. Необходимо контролировать все системы и регистрировать все попытки входа в систему.

4. Категоризация данных

Политика должна распределять данные по категориям, среди которых могут быть «совершенно секретные», «секретные», «конфиденциальные» и «общедоступные». Целями категоризации данных являются:

  • Понять, какие системы, какие операции и приложения касаются наиболее чувствительных и контролируемых данных, чтобы правильно разработать средства контроля безопасности для этого оборудования и программного обеспечения (см. 6.).
  • Обеспечить, чтобы к конфиденциальным данным не могли получить доступ люди с более низким уровнем полномочий.
  • Защищать чрезвычайно важные данные и избегать ненужных мер безопасности для неважных данных.

6. Носители данных и операции с ними

  • Системы, в которых хранятся персональные или другие конфиденциальные данные, должны быть защищены в соответствии с организационными стандартами, передовой практикой, отраслевыми стандартами соответствия и соответствующими нормативными актами. Большинство стандартов безопасности требуют, как минимум, шифрования, брандмауэра и защиты от вредоносного ПО.
  • Резервное копирование данных — шифруйте резервные копии данных в соответствии с лучшими отраслевыми практиками, как в движении, так и в состоянии покоя.
  • Надежно храните носители резервных копий или переносите их в защищенное облачное хранилище.
  • Перемещение данных — передача данных только по защищенным протоколам. Шифруйте любые данные, скопированные на портативные устройства или переданные по общедоступной сети.

7. Осведомленность о безопасности и поведение

  • Ознакомьте сотрудников с политикой ИТ-безопасности Проводите тренинги, чтобы ознакомить сотрудников с процедурами и механизмами безопасности, включая меры по защите данных, гарантии доступа и классификацию конфиденциальных данных.
  • Социальная инженерия — сделайте особый акцент на опасности атак, связанных с социальной инженерией (например, фишинговые электронные письма или вымогательство информации с помощью телефонных звонков). Возложите на всех сотрудников ответственность за наблюдение, предотвращение и сообщение о таких атаках.
  • Политика «чистого стола» — защищайте ноутбуки с помощью тросового замка. Измельчайте конфиденциальные документы, которые больше не нужны. Держите принтеры в чистоте, чтобы документы не попали в чужие руки.
  • Совместно с отделом кадров определите, как должен быть ограничен доступ в интернет как на рабочем месте, так и для удаленных сотрудников, использующих активы организации. Разрешить использование YouTube, социальных сетей и т. д.? Блокируйте нежелательные сайты с помощью прокси.

8. Политика шифрования

  • Шифрование подразумевает шифрование данных, чтобы сделать их недоступными или скрытыми от неавторизованных лиц. Оно помогает защитить данные, хранящиеся в состоянии покоя или перемещаемые между местами, и гарантирует, что конфиденциальные, частные и служебные данные останутся конфиденциальными. Оно также может повысить безопасность связи между клиентом и сервером. Политика шифрования помогает организациям определить:
  • Устройства и среды, которые организация должна шифровать.
  • Когда шифрование является обязательным.
  • Минимальные стандарты, применимые к выбранному программному обеспечению для шифрования.

9. Политика резервного копирования данных

  • Политика резервного копирования данных определяет правила и процедуры резервного копирования данных. Она является неотъемлемым компонентом общей стратегии защиты данных, обеспечения непрерывности бизнеса и аварийного восстановления. Вот основные функции политики резервного копирования данных:
  • Определяет всю информацию, которую организация должна резервировать.
  • Определяет частоту резервного копирования, например, когда выполнять первоначальное полное резервное копирование, а когда — инкрементное.
  • Определяет место хранения данных резервного копирования.
  • Перечисляет все роли, ответственные за процессы резервного копирования, например, администратор резервного копирования и члены ИТ-команды.

10. Ответственность, права и обязанности сотрудников

  • Назначьте сотрудников для проведения анализа доступа пользователей, обучения, управления изменениями, управления инцидентами, внедрения и регулярного обновления политики безопасности. Обязанности должны быть четко определены в рамках политики безопасности.

11. Контрольные показатели для усиления системы

  • Политика информационной безопасности должна содержать ссылки на контрольные показатели безопасности, которые организация будет использовать для укрепления критически важных систем, например, контрольные показатели Центра информационной безопасности (CIS) для Linux, Windows Server, AWS и Kubernetes.

12. Ссылки на нормативные акты и стандарты соответствия

  • Политика информационной безопасности должна содержать ссылки на нормативные акты и стандарты соответствия, влияющие на деятельность организации, такие как General Data Protection Regulation (GDPR), Payment Card Industry Data Security Standard (PCI DSS) и т. д.