Политика безопасности данных в компании

Политика безопасности данных является частью общей политики информационной безопасности (ИБ) организации. Политика информационной безопасности – ключевой механизм управления ИБ, она включает в себя различные аспекты обеспечения информационной и кибербезопасности, например, защита информационных активов, сетевая безопасность и т. д. Более конкретные требования содержатся в политиках низкого уровня: межсетевых экранов, систем обнаружения и предотвращения вторжений, систем предотвращения утечки данных, криптошлюзов, маршрутизаторов, коммутаторов и т. п. Они находят свое отражение в виде настроек программных и программно-аппаратных средств защиты.

При работе с конфиденциальными видами данных или информацией, защищаемой законом, предъявляются особые требования к обеспечению информационной безопасности. Большое значение при создании систем защиты информации в компании имеет первоначальный анализ рисков, их приоритизация, и создание на его основе политик безопасности данных в компании. Тут не может быть стандартного подхода и единых решений, потому что виды информации и работа с ней различается от компании к компании, а риски и их критичность отличны от случая к случаю. Это означает, что разработка политики безопасности данных для каждой организации должна быть индивидуальной.  

Что такое политика безопасности данных?

Политика безопасности данных – это совокупность правил, стандартов использования компьютерного оборудования, программ, информационных активов сотрудниками компании в процессе трудовых отношений. Политика безопасности данных в компании разрабатывается и внедряется службой безопасности организации с учетом потенциальных рисков и специфики работы с информацией. Обычно опирается на предварительный анализ рисков и угроз, их модели. Носит персональный характер для каждой организации. Может пополняться новыми условиями по мере развития и расширения деятельности компании.

Для чего нужны политики безопасности данных?

Политики тесно связаны с целями информационной безопасности в компании, которые устанавливает руководитель. Чаще всего политики направлены на решение следующих задач:

• Защита информационных активов компании. Ключевым моментом здесь является ограничение доступа к данным, реализуемое с помощью физических и технических средств.

• Проведение авторизации и аутентификации пользователей. Цель – проверка личности пользователя, предотвращение несанкционированного доступа к информации, противодействие взлому.

• Поддержание ключевых свойств информации, указывающих на ее защищенность. Речь идет про такие свойства как целостность, конфиденциальность, доступность.

• Проверка степени защищенности данных. С помощью аудита и инструментов контроля исполнения политик безопасности данных можно оценить, насколько хорошо защищена информация, какие проблемы присутствуют и требуют устранения.

Как разработать и внедрить политики безопасности в компании. Требования к политикам

Перед тем, как приступить к разработке и внедрению политик, необходимо тщательно изучить законодательную базу в области информационной безопасности, действующие стандарты, а также саму информационную систему, в отношении которой разрабатываются правила. Любые политики должны опираться на действующие международные или локальные стандарты, чтобы соответствовать минимальным требованиям и быть актуальными. Примерная схема разработки политик безопасности данных в компании для соответствия минимальным требованиям представлена ниже:

1. Создание концепции безопасности. Устанавливает цели, принципы защиты конфиденциальной информации. Выступает в роли базы, на основании которой проводятся все остальные мероприятия.

2. Добавление требований конкретных стандартов. На этом этапе происходит обогащение концепции такими параметрами, как цели, объекты, принципы защиты по отношению к отдельным компонентам информационной системы.

3. Добавление конкретных процедур и процессов. Включает разработку перечня действий или алгоритмов, указывающих, как работать с информацией.

4. Добавление инструкций. Этот этап предполагает детализацию: что конкретно и как нужно делать, чтобы обеспечить защиту данных.

Занимаясь разработкой политик и последующим их внедрением важно добиться того, чтобы они отличались целостностью, логичностью, не вызывали двусмысленностей на этапе использования. Также не стоит забывать про аварийные планы, которые могут пригодиться для восстановления информации после инцидентов.

Настройка политики безопасности данных в компании

Процесс настройки политики обеспечения безопасности данных организации носит непрерывный характер. Базовая настройка политики предполагает ответы на следующие вопросы:

• Какие категории данных используются в компании, какие из них необходимо защищать?

• Какие угрозы и риски характерны для этих данных, их приоритизация;

• Кто должен, и кто не должен иметь доступ к защищаемым данным?

• Какие действия с конфиденциальными данными являются легитимными, а какие – нет?

• Какие события должны последовать, если будет совершено нелегитимное действие (например, блокировка передачи документов с грифом «Коммерческая тайна»)?

Политика безопасности данных в компании – важная составляющая общей политики информационной безопасности. Конкретные требования к обеспечению безопасности данных прописываются в различных программных средствах защиты, в том числе в DLP-системах. В любую DLP-систему встроена так называемая типовая политика, которая в дальнейшем настраивается под требования конкретной организации. Процесс ее донастройки должен носить периодический характер, поскольку в деятельности любой компании постоянно происходят изменения – появляются новые данные, они изменяются, появляются новые инструменты и каналы передачи данных, меняются привилегии и права доступа сотрудников. В случае с DLP-системой Solar Dozor «тюнинг» типовой политики возможен с помощью аналитиков и специалистов по внедрению, которые помогают своим заказчикам добиться максимальной отдачи от политики DLP и минимизации ложноположительных срабатываний.