Объекты обеспечения информационной безопасности
Объекты обеспечения ИБ в контексте безопасности системы информационных технологий организации именуются активами.
Активы - все, что имеет ценность для организации. Актив системы информационных технологий является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации. Правильное управление активами является важнейшим фактором успешной деятельности организации и основной обязанностью всех уровней руководства.
Могут существовать следующие типы активов:
1. Информация/данные:
а) информация в форме сведений (сведения об участниках организации, о состоянии рынка, престиж (имидж) организации и доброе имя участников организации и т.п.);
б) информация в форме сообщений (информационные ресурсы -документы, закрепляющие права собственников организации на материальные и нематериальные активы, документация бухгалтерского учёта, налоговые декларации, договоры на выполнение работ и оказание услуг, документация на выпускаемые изделия и т.п.).
2. Информационная инфраструктура - ИТ, ИС, ИТКС (аппаратные средства (например, компьютеры, принтеры), программное обеспечение, включая прикладные программы (например, программы обработки текстов, программы целевого назначения), оборудование для обеспечения связи (например, телефоны, медные и оптоволоконные кабели), программно-аппаратные средства (например, гибкие магнитные диски, CD-ROM, программируемые ROM)).
3. Продукция организации.
4. Услуги (например, информационные, вычислительные услуги).
5. Конфиденциальность и доверие при оказании услуг (например, услуг по совершению платежей).
6. Персонал организации (его интересы по соблюдению режима персональных данных, права на объекты интеллектуальной собственности и на доступ к информации и т.п.).
7. Правовой статус организации как объекта информационной сферы - юридического лица (права на объекты интеллектуальной собственности, на коммерческую тайну, на выполнение работ и оказание услуг, на доступ к общедоступной информации государственных органов, и т.п., а также обязанности по предоставлению в уполномоченные государственные органы сведений о результатах экономической деятельности, по предоставлению заинтересованным лицам документов в случае направления заявки на участие в конкурсах и аукционах и т.п.).
Политика обеспечения информационной безопасности организации
В качестве основы действенной безопасности системы ИТ организации должны быть сформулированы цели, стратегии и политика безопасности организации. Они содействуют деятельности организации и обеспечивают согласованность всех защитных мер.
В пределах организации соблюдается иерархия политик безопасности от бизнес - политики организации в целом до политики безопасности конкретной ИТ.
Политика ИБ организации - это правила и процедуры (методы), которые следует соблюдать для достижения целей обеспечения ИБ.
Цель: обеспечить управление и поддержку высшим руководством ИБ в соответствии с целями деятельности организации (бизнеса), законами и нормативными актами.
Политика безопасности организации может состоять из принципов безопасности и директив для организации в целом. Политика безопасности организации должна отражать более широкий круг аспектов политики организации, включая аспекты, которые касаются прав личности, законодательных требований и стандартов. Должна быть оформлена документально.
Политика безопасности информационных (информационно - телекоммуникационных) технологий - правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационных (информационно-телекоммуникационных) технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Политика безопасности ИТ должна формироваться, исходя из согласованных целей и стратегий безопасности ИТ организации. Необходимо выработать и сохранять политику безопасности ИТ, соответствующую законодательству, требованиям регулирующих органов, политике в области бизнеса, безопасности и политике ИТ.