Політика інформаційної безпеки
Політика інформаційної безпеки — набір вимог, правил, обмежень, рекомендацій, які регламентують порядок інформаційної діяльності в організації і спрямовані на досягнення і підтримку стану інформаційної безпеки організації. Не варто плутати з політикою безпеки інформації — яка відноситься до безпеки інф. в інформаційно-телекомунікаційній системі. Політика безпеки інформації є частиною загальної політики безпеки організації і повинна успадковувати основні її принципи.
Необхідність впровадження
Головною причиною запровадження політики безпеки зазвичай є вимога наявності такого документа від регулятора — організації, що визначає правила роботи підприємств даної галузі. У цьому випадку відсутність політики може спричинити репресивні дії щодо підприємства або навіть повне припинення його діяльності. Крім того, певні вимоги (рекомендації) пред'являють галузеві або загальні, місцеві чи міжнародні стандарти. Зазвичай це виражається у вигляді зауважень зовнішніх аудиторів, які проводять перевірки діяльності підприємства. Відсутність політики викликає негативну оцінку, яка в свою чергу впливає на публічні показники підприємства — позиції в рейтингу, рівень надійності і т.д. Цікаво, що, згідно з дослідженням з безпеки, проведеного компанією Deloitte в 2006 році, підприємства, які мають формалізовані політики інформаційної безпеки, значно рідше піддаються злому. Це свідчить про те, що наявність політики є ознакою зрілості підприємства в питаннях інформаційної безпеки. Те, що підприємство виразно сформулювало свої принципи і підходи до забезпечення інформаційної безпеки означає, що в цьому напрямку була проведена серйозна робота.
Мета ПІБ
Метою ПІБ має бути впровадження та ефективне управління системою забезпечення інформаційної безпеки, спрямованої на:
- захист інформаційних активів організації
- забезпечення стабільної діяльності організації
- мінімізації ризиків інформаційної безпеки
- створення позитивних для організації інф. відносин з партнерами, клієнтами та всередині організації.
Основним завданням інформаційної безпеки є захист інформаційних активів від зовнішніх та внутрішніх навмисних та ненавмисних загроз.