[1]
Политики безопасности [2] могут различаться по масштабу, применимости и сложности в зависимости от потребностей разных организаций. Хотя универсальной модели политик безопасности не существует, Национальный институт стандартов и технологий (NIST) выделяет в Специальной публикации (SP) 800-12 три различных типа:
1. Политика программы
Политики программы — это стратегические схемы высокого уровня, которыми руководствуется программа информационной безопасности организации. В них изложены цель и объем программы, а также определены роли, обязанности и механизмы соблюдения. Эти документы, также известные как основные или организационные политики, разрабатываются при активном участии высшего руководства и, как правило, не зависят от технологий. Это наименее часто обновляемый тип политик, поскольку они должны быть написаны на достаточно высоком уровне, чтобы оставаться актуальными даже при технических и организационных изменениях.
2. Политика по конкретным вопросам
Политики для конкретных проблем основываются на общей политике безопасности и предоставляют более конкретные рекомендации по определенным вопросам, относящимся к рабочей силе организации. Общие примеры могут включать политику сетевой безопасности, политику использования собственных устройств (BYOD), политику социальных сетей или политику удаленной работы. Они могут относиться к конкретным технологическим областям, но обычно носят более общий характер. В политике удаленного доступа может быть указано, что удаленный доступ возможен только через утвержденную и поддерживаемую компанией сеть VPN, но эта политика, вероятно, не будет называть конкретного клиента VPN. Таким образом, компания может менять поставщиков без серьезных обновлений.
3. Системная политика
Системная политика — это наиболее детализированный тип политики ИТ-безопасности, ориентированный на определенный тип системы, такой как брандмауэр или веб-сервер, или даже на отдельный компьютер. В отличие от политик, ориентированных на конкретные проблемы, системные политики могут иметь самое непосредственное отношение к техническому персоналу, который их поддерживает. NIST утверждает, что системные политики должны состоять как из цели безопасности, так и из операционных правил. ИТ-подразделения и службы безопасности активно участвуют в создании, внедрении и обеспечении соблюдения системных политик, но ключевые решения и правила по-прежнему принимаются высшим руководством.
Автор Виктория Кромова
«Моя газета»