"Политика информационной безопасности корпорации машиностроительной отрасли"

Черных Н.Н.

Выпускник группы MBACSO-16

Школа IT-менеджмента

РАНХиГС при Президенте РФ

Быстрые темпы развития информационной и телекоммуникационной сферы зачастую опережают разработку законодательной базы РФ, регламентирующей данный вид деятельности. Таким образом, в целях выбора критериев и показателей защищенности, а также создания эффективной корпоративной системы защиты информации необходима разработка политики информационной безопасности корпоративного уровня для предприятий машиностроительной отрасли.

При написании политики информационной безопасности корпоративного уровня необходимо учитывать различный уровень экономического и технического развития предприятий, входящих в интегрированную структуру корпорации. Для этого в дополнение к требованиям законодательных актов, регулирующих область информационной безопасности целесообразно использовать другие методики и международные стандарты, такие как ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL,а также использовать методы управления рисками информационных ресурсов при обеспечении информационной безопасности предприятий, входящих в интегрированную структуру Корпорации.

Использование методов управления рисками информационной безопасности могут способствовать решению задач по перспективному развитию современного предприятия

Для этого необходимо:

- оценить существующий уровень информационной безопасности предприятия в количественном выражении, для чего необходимо установить риски на правовом, административном, технологическом и техническом уровнях обеспечения защиты информации;

- разработать концепцию развития информационной безопасности предприятия, планы развития корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании политику информационной безопасности;

- провести анализ рисков и на его основе рассчитать и обосноватьфинансовые инвестиции в обеспечение информационной безопасности, сопоставить расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения, для чего необходимо:

·        произвести идентификацию рисков информационной безопасности;

·        исходя из уровня реализации рисков ИБ, вероятности их возникновения, наступления негативных последствий произвести их оценку и классификацию;

·        произвести изучение наступления негативных последствий рисков;

·        определить приоритеты при обработке рисков;

·        определить очередность проведения мероприятий по снижению имеющих место рисков;

·        организовать взаимодействие подразделений пообработке рисков и поддержанию их информированности о состоянии менеджмента риска;

·        проведение на постоянной основе анализа состояния информационной безопасности, пересмотра системы менеджмента рисков информационной безопасности;

·        сбор и анализ информации для усовершенствования подхода к оценкам рисков;

·        обучение персонала необходимым действиям, уменьшающим вероятность реализации риска информационной безопасности;

–        разработать организационно-распорядительную документацию,определить функциональные обязанности подразделений и должностных лиц по обеспечению информационной безопасности корпорации;

–        произвести классификацию информационных ресурсов Корпорации (информационные, АСУ ТП и т.д).  Для каждого вида корпоративных ресурсов разработать организационно-распорядительную документацию, которая предусматривает меры по обеспечению информационной безопасности (программы развития, политики информационной безопасности, требования по технической защите информации и т.д);

–        обеспечение надежного функционирования действующих и внедряемых систем информационной безопасности на протяжении всего жизненного цикла.

Прогресс подарил человечеству великое множество достижений, но тот же прогресс породил и массу проблем. Человеческий разум, разрешая одни проблемы, непременно сталкивается при этом с другими, новыми. Вечная проблема - защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Частью решения этой проблемы является разработка основополагающих документов по защите информации на предприятиях, одним из таких документов является «Политика информационной безопасности верхнего уровня».