Головна  Карта сайту  Розміщення реклами на порталі

СПІЛЬНОТА КАДРОВИКІВ І ФАХІВЦІВ З УПРАВЛІННЯ ПЕРСОНАЛОМ
Ласкаво просимо
  Новини
  Бібліотека статей
  Нормативна база
  Зразки документів
  Виробничий календар
  Книжкова полиця
  Хто є хто
  Глосарій
  Розміщення реклами
  Наші партнери
  Форум
Нові матеріали
Підписатися на розсилку





Facebook
Реклама
Реклама
Как компании могут защитить себя от информационных угроз
Новини
07.08.2015
Как компании могут защитить себя от информационных угроз
 

Правильно построенная политика информационной безопасности может помочь подготовить надежный плацдарм для дальнейшей защиты от угроз. Чтобы обеспечить информационную безопасность (ИБ) компании необходимо определиться с тем, что именно нужно сделать, а затем — как. Без понимания этого любые приобретаемые и внедряемые системы окажутся не более чем напрасной тратой денег. Понять, что именно вам нужно сделать при обеспечении информационной безопасности, поможет вовремя разработанная политика информационной безопасности, к написанию которой необходимо отнестись со всей серьезностью.

Что такое политика информационной безопасности?

Исследования показывают, что немногим более трети компаний на постсоветском пространстве сегодня могут похвастаться профессионально разработанной политикой информационной безопасности. При этом десятая часть компаний вообще не удосуживается задаться вопросом, как и зачем им следует защищать свои данные. Из этой статистики следует простой вывод: разработка политики ИБ (и, само собой, ее реализация в практике работы компании) дает конкурентное преимущество организации.

Политикой информационной безопасности принято называть свод правил, охватывающих потенциальные информационные угрозы, с которыми может столкнуться компания, и меры по защите от этих угроз.

Главный принцип — максимальная точность и подробность

Не нужно опасаться составлять документ, в котором будет описана политика ИБ, в излишне подробной форме — ведь он нужен не в качестве средства инструктажа конкретных сотрудников, а как «свод законов» для специалистов. На основе этого документа персонал, ответственный за обеспечение ИБ, уже сможет разработать должностные инструкции для отдельных сотрудников, а также другие необходимые для реализации положений политики документы.

В корпоративной политике ИБ крайне необходимо определить все возможные пользовательские роли в рамках корпоративной информационной сети, чтобы затем на основании этих ролей определить классы защиты данных и допуски для конкретных категорий пользователей. Однако по природе своей работы бухгалтерии нужна одна информация, отделу продаж — другая, отделу маркетинга — третья. Все это обязательно должно найти свое отражение в корпоративной политике информационной безопасности.

Первый шаг: узнайте, кто какой информацией пользуется

Первое, что необходимо сделать, когда создается политика безопасности — это определить, какие виды информации какие из сотрудников могут использовать. Любое использование данных за рамками прописанных в политике информационной безопасности ролей и доступов должно быть возможным только с санкции отдела информационной безопасности, при обосновании пользователем необходимости такого доступа.

При этом часто роли и доступы приобретают вид сложной многоуровневой структуры. В этом нет ничего страшного, но чересчур увлекаться подобного рода классификацией даже в крупной организации не стоит, поскольку излишнее «дробление» ролей и рост числа уровней запутывает политику и делает ее трудно применимой в практике повседневного обеспечения ИБ.

Второй шаг: сформулируйте, кто и что угрожает данным

Угрозы в политике ИБ наиболее часто формулируются в виде рисков. Для этого предварительно рассчитывается на основании сертифицированных методик вероятность реализации той или иной угрозы, и затем на основании значимости ущерба и вероятности просчитывается значение риска. Для угроз, риск которых ниже порогового (он для каждой организации определяется индивидуально), предпринимать меры по защите не имеет смысла, поскольку защита будет стоить заметно дороже, чем произошедшие инциденты. Впрочем, для «режимных» предприятий пороговый уровень риска обычно настолько мал, что защищаться приходится даже от самых незначительных угроз.

Политика информационной безопасности также обязана иметь раздел, описывающий не только правила, но и технические решения, применяемые в случае реализации защиты от конкретных угроз. Безусловно, здесь тоже нет нужды конкретизировать все до описания конкретных версий тех или иных программных или программно-аппаратных решений, чтобы не проводить обновление политики ИБ чересчур часто. Но, тем не менее, общие требования к используемым техническим средствам обеспечения ИБ и классы подобных систем в политике информационной безопасности должны присутствовать.

Составляя политику информационной безопасности, необходимо помнить также и о том, что она в обязательном порядке должна охватывать не только обеспечение конфиденциальности информации, но также и обеспечение ее целостности, подлинности, доступности. В отдельных случаях это становится даже более важным, чем конфиденциальность, к примеру, в финансовой сфере, где подлинность документов является главной их характеристикой. А для обеспечения доступности данных стоит вспомнить и о резервном копировании, которое оказывается тоже неотъемлемой часть корпоративной политики информационной безопасности.

Разрабатывать самим или отдать на аутсорсинг?

Как видите, составление политики информационной безопасности компании — не такой уж простой и легкий процесс, поэтому логично всплывает вопрос о том, стоит ли заниматься этим самостоятельно, или лучше найти подрядчика, который сможет выполнить весь немалый объем работы по составлению политики в сжатые сроки и на высоком уровне. Вопрос этот достаточно сложный, потому что найти компанию, которая имела бы достаточный опыт именно в вашей отрасли и понимала всю специфику вашей работы, непросто. Кроме того, ее услуги вряд ли будут стоить дешево. С другой стороны, профессионалы смогут реализовать в политике ИБ какие-то важные моменты, которые другие могут просто-напросто упустить. Да и разработка политики силами своих сотрудников не будет бесплатной. Поэтому к решению о самостоятельной разработке политики ИБ или к аутсорсингу этой задачи стоит подходить, взвесив все «за» и «против».

В любом случае, кто бы ни разрабатывал политику безопасности для вашей компании, нужно помнить, что спешить здесь нужно осторожно, и что высокое качество документа в будущем окупится, поэтому нельзя жалеть ни сил, ни средств на выполнение этой задачи.

Роман Идов

UBR

Переглядів: 5645 Версія для друку
 
Дивіться також:
Чотириденний тиждень: результати експерименту
Феномен продуктивності українських команд в умовах війни: 8 висновків
Що означає поняття «психологічна безпека» на робочому місці?
6-годинний робочий день: підсумки експерименту в Швеції
Гібридний формат роботи під час воєнних подій
6 провідних компетенцій керівників майбутнього
Усталость от перемен: как стабилизировать команду
Як знайти підхід до складних колег на роботі?
Зворотний зв’язок: основні правила спілкування зі співробітниками
5 порад щодо внутрішньої комунікації під час війни
Как безболезненно внедрять изменения в компании
Все больше компаний в мире переходят на четырехдневную рабочую неделю
Почему переход на гибридную работу может навредить компании больше, чем полноценная удаленка
Пять ошибок, которые мешают руководить удаленной командой
Самоуправляемые организации: выгоды для собственников и сотрудников
Топ-10 книг об управлении талантами
Почему важно управлять изменениями в компании
9 ошибок менеджеров-джунов
Чому команда не стає зрілою та як це змінити: 5 пасток менеджера
Пять мифов о гибком графике, которые мешают наладить эффективную работу
Как следить за работой сотрудников этично
Как правильно сообщать сотрудникам о грядущих изменениях
4 видео о лидерстве от лидеров
Как критиковать работу сотрудников, чтобы не вызвать сопротивления?
Непродуманная стратегия работы из дома — риск для компании
Как распознать некомпетентного начальника
Выстраиваем работу в коллективе, чтобы не было авралов и простоев
Испания проведет эксперимент с четырехдневной рабочей неделей
Сотрудник уходит: как передать задачи
Как оставаться лидером, когда все работают из дома
В Европе работа из дома становится обязательной
Выход есть: как разработать антикризисный бизнес-план
Как бизнесу повысить эффективность в условиях кризиса
Как ставить задачи, или Почему кофе холодный
4 причини, чому працівники не спілкуються з керівниками
Закаленные карантином: пять сценариев поведения руководителей во время кризиса
17 советов за 17 минут. Мировые и украинские эксперты — о том, как делать бизнес во времена пандемии
Тест на прочность, или В какие офисы мы вернемся после пандемии
Европейцы отказываются работать в старом режиме даже после пандемии
Почему руководителям компаний важно работать с персональным брендом
Сотрудники назвали неуважение к ним главной причиной увольнения
Кто для вас сотрудники — люди или станки?
Слухи в компании: контролировать и использовать
7 шагов негативной обратной связи
Как правильно делегировать: лайфхаки для гендиректора
«Не молчи на меня», или Важность обратной связи
Что нужно делать новому руководителю, чтобы не упустить время
Вы даете обратную связь своим сотрудникам? А руководителям?
Рост компании опережает развитие: действия HR
Четыре типа кадровых решений, которые нужны вам сейчас
Всі новини
Реклама
Проекти для професіоналів
Оголошення
Шановні відвідувачі!
З усіх питань щодо роботи порталу звертайтесь до 
адміністратора
2024 © МЕДІА-ПРО
2024 © HR Liga

Copyright © 2005–2024 HR Liga
Використання матеріалів із журналів Групи компаній «МЕДІА-ПРО» лише за погодженням з редакцією (адміністрацією) порталу.
Редакція (адміністрація) залишає за собою право не розділяти думку авторів матеріалів, що розміщуються.
Редакція (адміністрація) порталу не несе відповідальності за збитки, які можуть бути завдані внаслідок використання, невикористання або неналежного використання інформації, що міститься на порталі.
Відповідальність за достовірність інформації та інших відомостей несуть автори публікацій.
З усіх питань пишіть на admin@hrliga.com