Політика інформаційної безпеки та принципи її організації

У сучасному світі поняття «політика інформаційної безпеки» може трактуватися як в широкому, так і у вузькому сенсі. Що стосується першого, більш широкого значення, вона позначає комплексну систему рішень, які прийняті якоїсь організацією, документовані офіційно і спрямовані на забезпечення безпеки підприємства. У вузькому розумінні під цим поняттям криється документ місцевого значення, в якому обумовлені вимоги безпеки, система проведених заходів, відповідальність співробітників і механізм контролю.

Комплексна політика інформаційної безпеки є гарантією стабільного функціонування будь-якої компанії. Всебічність її полягає в продуманості та збалансованості ступені захисту, а також розробці правильних заходів і системи контролю в разі будь-яких порушень.

Всі організаційні методи грають важливу роль у створенні надійної схеми захисту інформації, тому що незаконне використання інформації є результатом злочинних дій, недбалості персоналу, а не технічних неполадок. Для досягнення хорошого результату потрібно комплексну взаємодію організаційно-правових та технічних заходів, які повинні виключати всі несанкціоновані проникнення в систему.

Інформаційна безпека - це гарантія спокійної роботи компанії та її стабільного розвитку. Однак в основі побудови якісної системи захисту повинні лежати відповіді на такі питання:

1. Яка система даних і який ступінь серйозності захисту буде потрібно?

2. 
   
   
   

   Хто в змозі завдати шкоди компанії за допомогою порушення функціонування інформаційної системи і хто може скористатися отриманими відомостями?

3. Як можна звести подібний ризик до мінімуму, не порушуючи при цьому злагоджену роботу організації?

Концепція інформаційної безпеки, таким чином, повинна розроблятися персонально для конкретного підприємства і згідно його інтересам. Основну роль в її якісних характеристиках грають організаційні заходи, до яких можна віднести:

1. 
   
   
   

   Організацію налагодженої системи пропускного режиму. Це робиться з метою виключення таємного і несанкціонованого проникнення на територію компанії сторонніх осіб, а також контроль над перебуванням персоналу організації в приміщенні і часом його відходу.

2. Робота зі співробітниками. Суть її полягає в організації взаємодії з персоналом, підборі кадрів. Ще важливо ознайомлення з ними, підготовка та навчання правилам роботи з інформацією, щоб співробітники знали рамки її секретності.

3. Політика інформаційної безпеки передбачає також структуроване використання технічних засобів, спрямованих на накопичення, збирання та зберігання інформації підвищеної конфіденційності.

4. Проведення робіт, спрямованих на контроль над персоналом з точки зору використання ним секретної інформації і розробці заходів, які повинні забезпечувати її захист.

Витрати на проведення такої політики не повинні перевищувати величину потенційного збитку, який буде отриманий в результаті її втрати.

Політика інформаційної безпеки повинна приділяти значну увагу обробці інформації автоматизованими системами: незалежно працюючими комп`ютерами і локальними мережами. Слід правильно визначити необхідний ступінь захисту серверів, шлюзів, а також правила використання змінних носіїв інформації.

Політика інформаційної безпеки та її ефективність багато в чому залежить від кількості пред`явлених до неї вимог з боку компанії, які дозволяють зменшити ступінь ризику до потрібної величини.