Читать книгу Политики безопасности компании при работе в Интернет - Группа авторов - Страница 38

По мнению специалистов IBM, разработка корпоративных руководящих документов в области безопасности должна начинаться с создания политики информационной безопасности. При этом рекомендуется использовать международный стандарт ISO 17799:2005 и рассматривать политику безопасности компании как составную часть процесса управления информационными рисками (см. рис. 2.1). Считается, что разработка политики безопасности относится к стратегическим задачам менеджмента компании, который способен адекватно оценить стоимость ее информационных активов и принять обоснованные решения по защите информации с учетом целей и задач бизнеса.

Рис. 2.1. Процесс разработки политики безопасности компании

Компания IBM выделяет следующие основные этапы разработки политики безопасности:

• определение информационных рисков компании, способных нанести максимальный ущерб, для разработки в дальнейшем процедур и мер по предупреждению их возникновения;

• разработка политики безопасности, которая описывает меры защиты информационных активов, адекватные целям и задачам бизнеса;

• принятие планов действий в чрезвычайных ситуациях для уменьшения ущерба в случаях, когда выбранные меры защиты не смогли предотвратить инциденты в области безопасности;

• оценка остаточных информационных рисков и принятие решения о дополнительных инвестициях в средства и меры безопасности. Решение принимает руководство на основе анализа остаточных рисков.