Комплексная система защиты информации любой компании или организации не может быть создана путем разовых мер и технических решений.
Непрерывное совершенствование ИТ-инфраструктуры, финансовые и временные ограничения вынуждают растягивать построение системы защиты информации на некоторый период времени, в течение которого развёртываются её отдельные компоненты. Для того, чтобы эти компоненты сложились в единую систему, необходим единый замысел такой системы.
Решение проблем обеспечения ИБ неразрывно связано с кадровой работой, разработкой и внедрением технических решений, совершенствованием организационных и технологических процессов компании, контролем состояния защиты информации. Все эти направления работы также должны быть объединены едиными целями, сформулированными руководством организации. Таким образом, в компании должна быть выработана стратегическая линия, определяющая долгосрочные подходы к комплексному решению задач обеспечения информационной безопасности, увязанные со спецификой компании и прогнозами её развития. Формальным выражением решения этой задачи может стать разработка Политики информационной безопасности и сопряжённых с нею документов, формирующих основополагающий уровень локальных правовых актов Компании в сфере информационной безопасности.
Разработка полноценной нормативно-правовой базы не только обеспечит системное поступательное движение к цели снижения рисков компании, лежащих в сфере информационной безопасности, но и даст возможность задействовать, в случае необходимости, механизмы правовой защиты информации, установленные законодательством Российской Федерации. Политика информационной безопасности представляет собой имеющий юридическую силу нормативный документ, отражающий официально принятую в организации точку зрения на проблему обеспечения ИБ и направлений её решения. Политика ИБ определяет генеральную линию, излагает пути достижения поставленных целей информационной безопасности, которые должны реализовываться посредством продуманной и эшелонированной системы защиты — комплекса мер и средств, направленных на выявление, парирование и ликвидацию различных видов угроз безопасности информации. При этом Политика ИБ сама по себе не обеспечивает требуемого уровня информационной безопасности, но является методологической базой для его формирования на основе заданных целей, задач и возможных путей их решения.
Примерный перечень основополагающих документов:
— Политика информационной безопасности;
— Перечень информации ограниченного доступа компании;
— Положение по порядку использования ресурсов сети Интернет;
— Положение по внутриобъектовому и пропускному режиму компании;
— Положение по обеспечению непрерывной работы и обеспечению отказоустойчивости информационных систем.
Этот комплекс документов должен удовлетворять требованиям локализованных международных стандартов по информационной безопасности, законодательства РФ в области защиты коммерческой тайны, персональных данных и другой конфиденциальной информации, требованиям Роскомнадзора, нормативно-методических документов ФСТЭК России и ФСБ России.
Привлечение экспертов ООО «Лайтигард», работающих в указанном и смежном поле ИБ, и имеющих значительный опыт в разработке документов, позволит повысить качество, а отсюда и результативность указанных документов.