• Главная
  • Направления деятельности
    • Аудит (экспертиза) ИБ
    • Персональные данные
    • Кибергигиена
    • Подготовка специалистов ИБ
    • Кибербезопасность
    • Разработка политики ИБ
    • IT безопасность
  • Новости
  • Партнеры
    • Symantec
    • Digital Security
    • Qualys
    • Blue Coat
    • Check Point
    • Kerio
    • Forcepoint
    • Cisco
    • Entensys
  • Персонал
    • Компетенции
  • О компании
  • Проекты
  • Контакты

Краткая памятка по самостоятельной разработке политики ИБ

Created: 09 February 2018

Основным рабочим документом администратора информационной безопасности является политика информационной безопасности. Почти все госорганы уже озаботились её разработкой и все находятся в разной стадии готовности. От постановки задачи до согласования готового документа. Сегодня мы в немногих словах расскажем о типичных проблемах на этом сложном пути.
1. Если нет возможности пригласить опытных специалистов, то разработать политику можно и самим. Проще всего начать анализировать ежедневную работу и возникающие проблемы, описывать принимаемые решения. На выходе получится набор инструкций по самым насущным проблемам. Рекомендуем быть осторожными с готовыми шаблонами из интернета, их нужно воспринимать именно как шаблон. Мы же не дарим близким людям первую попавшуюся открытку или стишок из интернета, если и берём что-то оттуда, то дорабатываем, «настраиваем» под себя.
2. Обычно, в течение года с начала работы набирается уже приличная база знаний в письменном виде, можно обобщать её в виде документа. Лучше, если удастся подключить к работе специалиста, постоянно связанного с разработкой документов - методиста, юриста, специалиста нормоконтроля или СМК. Вместе можно будет «причесать» документ, упорядочить разделы.
3. Попытаться согласовать и ввести в действие разработанный проект политики. Для госорганов Узбекистана эта процедура описана такими словами «Разработанный проект политики в установленном порядке направляется на согласование в Министерство по развитию информационных технологий и коммуникаций Республики Узбекистан и уполномоченным органам». Не указано (но многим понятно), с какими именно ещё, кроме Мининфокома, уполномоченными органами согласовывается проект политики. По нашей практике именно согласование с уполномоченными органами занимает очень много времени - от полугода и больше. За это время могут произойти серьезные изменения в структуре организации, которые отразятся в тексте политики, а значит, её нужно будет согласовывать заново.
4. Чтобы во всё время согласования политики в организации был какой-то руководящий документ по ИБ, мы предлагаем утвердить политику хотя бы на уровне руководства самой организации как «временную инструкцию», «временный порядок». Даже такой промежуточный статус позволит предприятию (особенно отделу ИБ) работать в рамках правового поля, зафиксированного документально.
5. Постоянно дорабатывать политику. Не реже раза в год нужно пересматривать политику, даже если никаких значительных изменений не произошло. Например, почти у всех организаций появились группы и каналы в Telegram. Обеспечение ИБ при работе в этом сервисе нужно тоже включить в политику.

Что почитать ещё:
1. Совместную статью нашего специалиста с экспертом Росатома «С чего начинается информационная безопасность на предприятии? Кадры решают всё.»
2. Государственный стандарт O'z DSt ISO/IEC 27002:2016 «Информационная технология. Методы обеспечения безопасности. Практические правила управления информационной безопасностью» целиком и его 5-й раздел особенно.
3. Методические пособия по разработке политики информационной безопасности на территории Республики Узбекистан. Для госорганов этот документ обязателен к руководству, для всех остальных - к сведению.

Copyright © 2011 © IT-TEAM SERVICE 2024 All rights reserved. Custom Design by Youjoomla.com
Новости