Политика информационной безопасности: главный документ ИБ компании

Политика информационной безопасности (ИБ) — это внутренний документ компании, который описывает правила обращения с информацией, информационными системами и оборудованием: кто к чему имеет доступ, как создаются и хранятся пароли, как работать с конфиденциальными данными и что делать при инциденте. Это фундамент, на котором держатся все остальные меры защиты.

Зачем компании нужна политика ИБ

Без письменной политики безопасность держится «на честном слове» и на памяти отдельных людей. Один администратор раздаёт права «как привык», другой — иначе; кто-то ставит сложные пароли, кто-то клеит их на монитор; при инциденте никто не знает, кому звонить и что отключать. Когда правила нигде не записаны, их невозможно ни выполнять одинаково, ни проверять, ни требовать.

Политика ИБ решает три задачи. Во-первых, задаёт единые правила для всех — от стажёра до директора. Во-вторых, делает безопасность управляемой: есть документ, по которому можно обучать, проверять и наказывать за нарушения. В-третьих, во многих случаях это требование закона или контрагента: при обработке персональных данных, при работе с госзаказчиками и крупными клиентами наличие политики ИБ и сопутствующих документов нередко обязательно.

Что входит в политику ИБ

Объём зависит от размера компании, но смысловой костяк универсален:

• Цели и область действия. Что защищаем (какие данные, системы) и на кого распространяются правила (сотрудники, подрядчики, гостевой доступ).
• Классификация информации. Деление данных на категории (публичные, для внутреннего пользования, конфиденциальные, персональные) и правила обращения с каждой.
• Управление доступом. Принцип минимальных привилегий, порядок выдачи и отзыва прав, регулярный пересмотр, обязательная многофакторная аутентификация.
• Парольная политика. Требования к длине и сложности, запрет повторного использования, использование менеджеров паролей, обязательность второго фактора.
• Правила работы с устройствами и сетью. Можно ли использовать личные устройства, как подключаться удалённо, требования к обновлениям и антивирусу.
• Резервное копирование и восстановление. Что бэкапится, как часто, где хранится, как проверяется восстанавливаемость.
• Реагирование на инциденты. Кто за что отвечает, как сообщать об инциденте, порядок действий при утечке или взломе.
• Ответственность и обучение. Последствия нарушений и порядок ознакомления сотрудников с политикой под подпись.

Политика и сопутствующие документы

Политика ИБ — это вершина пирамиды. Сама по себе она формулирует принципы, а детали выносятся в отдельные документы и регламенты: парольный стандарт, регламент реагирования на инциденты, инструкцию по резервному копированию, регламент удалённого доступа, согласия на обработку персональных данных. Полный комплект ИБ- и ИТ-документов обычно ведётся как единый набор — об этом отдельная статья про Аудит и документация IT-инфраструктуры.

Важно, чтобы документы не были «мёртвыми»: политика, написанная один раз и положенная в папку, быстро устаревает. Её нужно пересматривать при изменениях в инфраструктуре, после инцидентов и аудитов, при появлении новых требований закона.

Как политика связана с реальной защитой

Документ не защищает сам по себе — он задаёт рамку, которую затем проверяют и реализуют технические и организационные меры. Соответствие реальной практики написанной политике проверяется в ходе аудита безопасности и ИТ-аудита. Контроль за тем, не утекают ли данные вопреки правилам, обеспечивают средства предотвращения утечек. То есть цепочка такая: политика задаёт правила → технические средства их исполняют → аудит проверяет соответствие → политика обновляется по итогам.

Поэтому начинать выстраивание ИБ логично именно с политики: пока не определены правила, любые технические внедрения будут точечными и несогласованными.

Связанные термины

• Ежеквартальный ИБ-аудит: регулярные проверки безопасности — аудит безопасности, проверка соответствия практики политике
• DLP — защита от утечек данных (Data Loss Prevention) — средства предотвращения утечек данных
• Аудит и документация IT-инфраструктуры — комплект ИТ- и ИБ-документов компании

Получить расчёт

Мы — ИТ-аутсорсер: разрабатываем политику ИБ и сопутствующие документы под конкретную компанию и затем сопровождаем их выполнение, а не отдаём шаблон «для галочки». Начать стоит с аудита текущего состояния. Почему людей важно защищать не только документом, но и обучением — в статье как защитить сотрудников от фишинга.