Инвестирование в процесс управления рисками – с цельной структурой и определенными ролями и обязанностями – готовит организацию к определению приоритетов, планированию уменьшения угрозы и переходу к парированию или нейтрализации следующей угрозы или уязвимости. Для наилучшего управления рисками Corporate Security Group следует традиционному подходу по управлению рисками, состоящему из четырех этапов:

• оценка информационных рисков – выполнение методологии оценки риска для определения его величины;

• разработка политики безопасности – разработка политики безопасности по уменьшению, уклонению и предупреждению рисков;

• внедрение средств защиты – объединение сотрудников, процессов и технологий для уменьшения рисков, связанных с анализом соотношения «цена – качество»;

• аудит безопасности и измерение текущей защищенности – мониторинг, аудит безопасности и измерение защищенности информационных систем компании.

Как видно из рис. 2.5, разработка политики является одним из этапов по управлению информационными рисками.

Методология, используемая при разработке политики, базируется на стандарте ISO 17799:2005 (BS 7799).

Рекомендуемая компанией Microsoft политика безопасности включает в себя:

• определение целей безопасности;

• важность обеспечения безопасности;

• определение требуемого уровня безопасности;

• стандарты безопасности, включая стратегии их мониторинга и аудита;

• роли и ответственность по обеспечению безопасности;

• цели и задачи офицера по безопасности;

• определение процессов по защите индивидуальных компонентов архитектуры;

• определение программ обучения вопросам безопасности.

Примерами декларируемых целей безопасности являются:

• достижение максимально возможного уровня качества, надежности и конфиденциальности информации;

• сохранение репутации компании;

• недопущение повреждения или утери информации, процессов, собственности компании и обеспечение таким образом непрерывной работы компании;

• сохранение ценности информации, интеллектуальной собственности и технологических ресурсов.

Для разработки целей безопасности создается комитет по информационной безопасности. Комитет состоит из сотрудников с опытом работы в области безопасности, технических сотрудников и представителей других подразделений под руководством офицера по безопасности. Комитет решает следующие задачи:

• разработка и управление жизненным циклом политики безопасности;

• создание процессов, обеспечивающих достижение целей безопасности;

• создание процессов и планов по реализации стандартов, описанных в политике;

• помощь в организации программ ознакомления с вопросами безопасности;

• консультирование персонала по вопросам безопасности;

• определение бюджета и требуемых ресурсов по обеспечению безопасности.

Руководящие документы в области безопасности (политики, стандарты, процедуры и метрики безопасности), как полагают в Symatec, являются основой любой успешной программы обеспечения информационной безопасности компании (см. рис. 2.6).

Наглядно проявления различий политик, стандартов и процедур безопасности представлены на рис. 2.7.

Политика информационной безопасности определяет, почему компания защищает свою информацию. Стандарты – что компания намерена предпринимать для реализации и управления безопасностью информации. Процедуры описывают, как компания будет выполнять требования, описанные в высокоуровневых документах (политике и руководствах). Руководства представляют собой рекомендации, которым сотрудникам желательно следовать.

2.5.1. Описание политики безопасности

Основные этапы разработки политики безопасности. Компания Symantec выделяет следующие основные этапы разработки политики безопасности:

• определение и оценка информационных активов – какие активы необходимо защищать и как их защищать с учетом целей и задач бизнеса;

• определение угроз безопасности – выявление потенциальных источников проблем в области безопасности компании. Оценка вероятности реализации угрозы и оценка возможного ущерба. При этом выделяют внешние и внутренние угрозы безопасности;