Политики безопасности компании при работе в Интернет - Сергей Александрович Петренко

Скачать книгу

так как не хотят себя ограничивать в своих действиях. Другая причина в том, что каждый сотрудник имеет свое представление (не обязательно солидарное с принятой в компании политикой безопасности) о необходимости и способах организации режима информационной безопасности в компании. Например, сотрудники контура сбыта заинтересованы в оперативном исполнении своих обязанностей без каких-либо задержек, связанных с применением средств защиты информации. Персонал службы поддержки часто заинтересован только в простоте эксплуатации администрируемых ими информационных систем. ТОР-менеджмент компании заинтересован прежде всего в оптимизации затрат и уменьшении общей стоимости владения (ТСО) корпоративной системы защиты информации. Получить одобрение всех положений политики безопасности у перечисленных групп сотрудников компании – трудная и практически неосуществимая задача. Поэтому лучше всего попробовать достигнуть некоторого компромисса.

      1.4.3. Кто заинтересован в политиках безопасности?

      Политики безопасности затрагивают практически каждого сотрудника компании. Сотрудники службы поддержки будут осуществлять и поддерживать правила безопасности компании. Менеджеры заинтересованы в обеспечении безопасности информации для достижения своих целей. Юристы компании и аудиторы заинтересованы в поддержании репутации компании и предоставлении определенных гарантий безопасности клиентам и партнерам компании. Рядовых сотрудников компании политики безопасности затрагивают больше всего, поскольку правила безопасности накладывают ряд ограничений на поведение сотрудников и затрудняют выполнение работы.

      1.4.4. Состав группы по разработке политик безопасности

      Буклет SAGE «А Guide to Developing Computing Policy Documents» рекомендует следующий состав рабочей группы по разработке политик безопасности:

      • член совета директоров;

      • представитель руководства компании (СЕО, финансовый директор, директор по развитию);

      • СЮ (директор службы автоматизации);

      • CISO (директор по информационной безопасности);

      • аналитик службы безопасности;

      • аналитик ИТ-службы;

      • представитель юридического отдела;

      • представитель от пользователей;

      • технический писатель.

      Численность группы по разработке политик безопасности будет зависеть от широты и глубины проработки политик безопасности. Например, разработка политик безопасности для офисной сети в 40–50 узлов может занять один человекомесяц.

      1.4.5. Процесс разработки политик безопасности

      Если это возможно, то о том, что разрабатывается новая политика информационной безопасности компании, необходимо уведомить сотрудников заранее. До начала внедрения новой политики безопасности желательно предоставить сотрудникам текст политики на одну-две недели для ознакомления и внесения поправок и комментариев. Также надо учитывать, что без прав нет обязанностей, то есть сотрудники, на которых распространяются

Скачать книгу