Три типа политик безопасности
Политики безопасности могут различаться по масштабу, применимости и сложности в зависимости от потребностей разных организаций. Хотя универсальной модели политик безопасности...
Опубликовано в Среду, 6-го Июля, 2022.
Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту и оставлять свои комментарии в конце статьи.
Политика безопасности (также называемая политикой информационной безопасности или политикой ИТ-безопасности) — это документ, в котором излагаются правила, ожидания и общий подход, используемый организацией для обеспечения конфиденциальности, целостности и доступности своих данных. Политики безопасности существуют на многих различных уровнях: от структур высокого уровня, описывающих общие цели и принципы безопасности предприятия, до документов, посвященных конкретным вопросам, таким как удаленный доступ или использование Wi-Fi.
Политика безопасности часто используется в сочетании с другими типами документации, такими как стандартные рабочие процедуры. Эти документы работают вместе, чтобы помочь компании достичь своих целей в области безопасности. Политика определяет общую стратегию и позицию в области безопасности, а другие документы помогают построить структуру вокруг этой практики. Вы можете думать о политике безопасности как об ответе на вопросы «что» и «почему», тогда как процедуры, стандарты и рекомендации отвечают на вопрос «как».
Политики безопасности могут показаться просто еще одним слоем бюрократии, но на самом деле они являются жизненно важным компонентом любой программы информационной безопасности. Некоторые из преимуществ хорошо разработанной и реализованной политики безопасности включают в себя:
1. Руководит внедрением технических средств контроля
Политика безопасности не содержит конкретных технических указаний низкого уровня, но в ней излагаются намерения и ожидания высшего руководства в отношении безопасности. Затем специалисты по безопасности или ИТ должны воплотить эти намерения в конкретные технические действия.
Например, в политике может быть указано, что только авторизованным пользователям должен быть предоставлен доступ к конфиденциальной информации компании. Конкретные системы аутентификации и правила управления доступом, используемые для реализации этой политики, могут меняться со временем, но общий смысл остается прежним. Без отправной точки специалисты по безопасности или ИТ могут только догадываться о желаниях высшего руководства. Это может привести к несогласованному применению средств управления безопасностью в разных группах и бизнес-объектах.
2. Устанавливает четкие ожидания
Без политики безопасности каждый сотрудник или пользователь будет предоставлен своему собственному суждению в решении того, что уместно, а что нет. Это может привести к катастрофе, когда разные сотрудники применяют разные стандарты.
Уместно ли использовать корпоративное устройство в личных целях? Может ли менеджер делиться паролями со своими непосредственными подчиненными ради удобства? Как насчет установки неутвержденного программного обеспечения? Без четких политик разные сотрудники могут отвечать на эти вопросы по-разному. В политике безопасности также должно быть четко указано, как отслеживается и обеспечивается соответствие требованиям.
3. Помогает соответствовать нормативным требованиям и требованиям соответствия
Документированные политики безопасности являются требованием законодательства, такого как HIPAA и закон Сарбейнса-Оксли, а также правил и стандартов, таких как PCI-DSS, ISO 27001 и SOC2. Даже если это не требуется явно, политика безопасности часто является практической необходимостью при разработке стратегии, отвечающей все более строгим требованиям безопасности и конфиденциальности данных.
4. Повышает организационную эффективность и помогает достичь бизнес-целей
Хорошая политика безопасности может повысить эффективность организации. Его политики объединяют всех на одной странице, избегают дублирования усилий и обеспечивают согласованность в мониторинге и обеспечении соблюдения требований. Политики безопасности также должны содержать четкие указания относительно того, когда и кем предоставляются исключения из политики.
Для достижения этих преимуществ, в дополнение к реализации и соблюдению, политика также должна быть согласована с бизнес-целями и культурой организации.
Автор Виктория Кромова
«Моя газета»