В настоящее время сформировалась так называемая лучшая практика (best practices) политик информационной безопасности. Это прежде всего практика разработки политик, процедур, стандартов и руководств безопасности таких признанных технологических лидеров, как IBM, Sun Microsystems, Cisco Systems, Microsoft, Symantec, SANS и пр. Насколько эти практики и рекомендации могут быть полезны для разработки политик безопасности в отечественных компаниях? В данной главе мы попробуем разобраться в этом.

По мнению специалистов IBM, разработка корпоративных руководящих документов в области безопасности должна начинаться с создания политики информационной безопасности. При этом рекомендуется использовать международный стандарт ISO 17799:2005 и рассматривать политику безопасности компании как составную часть процесса управления информационными рисками (см. рис. 2.1). Считается, что разработка политики безопасности относится к стратегическим задачам менеджмента компании, который способен адекватно оценить стоимость ее информационных активов и принять обоснованные решения по защите информации с учетом целей и задач бизнеса.

Компания IBM выделяет следующие основные этапы разработки политики безопасности:

• определение информационных рисков компании, способных нанести максимальный ущерб, для разработки в дальнейшем процедур и мер по предупреждению их возникновения;

• разработка политики безопасности, которая описывает меры защиты информационных активов, адекватные целям и задачам бизнеса;

• принятие планов действий в чрезвычайных ситуациях для уменьшения ущерба в случаях, когда выбранные меры защиты не смогли предотвратить инциденты в области безопасности;

• оценка остаточных информационных рисков и принятие решения о дополнительных инвестициях в средства и меры безопасности. Решение принимает руководство на основе анализа остаточных рисков.

2.1.1 Структура документов безопасности

Политика безопасности компании, с точки зрения IBM, должна содержать явный ответ на вопрос «Что требуется защитить?». Действительно, если руководство компании понимает, что необходимо защитить, какие информационные риски и угрозы информационным активам компании существуют, тогда можно приступать к созданию эффективной политики информационной безопасности. При этом политика безопасности является первым стратегическим документом, который необходимо создать и который содержит минимум технических деталей, будучи настолько статичным (неизменяемым), насколько возможно. Предполагается, что политика безопасности компании будет содержать:

• определение информационной безопасности с описанием позиции и намерений руководства компании по ее обеспечению;

• описание требований по безопасности, в которые входит:

– соответствие требованиям законодательства и контрактных обязательств;

– обучение вопросам информационной безопасности;

– предупреждение и обнаружение вирусных атак;

– планирование непрерывности бизнеса;

– определение ролей и обязанностей по различным аспектам общей программы информационной безопасности;

– описание требований и процесса отчетности по инцидентам, связанным с информационной безопасностью;

– описание процесса поддержки политики безопасности.

Компания IBM рекомендует выполнить следующие действия для разработки эффективной политики безопасности компании:

• анализ бизнес-стратегии компании и определение требований по информационной безопасности;

• анализ ИТ-стратегии, текущих проблем информационной безопасности и определение требований по информационной безопасности;