Информационная безопасность
Заключительный этап
По результатам анализа ценности информационного имущества ИТ специалисты определяют масштабы мероприятий по обеспечению информационной безопасности (). Как правило, оказывается, что организации требуется больший уровень защищенности по сравнению с тем, какой уже есть.
Ключевым моментом в проекте внедрения мероприятий по обеспечению информационной безопасности является принятие соответствующих документов.
Прежде всего, это документирование политики информационной безопасности. Одноименный документ является основным и отражает полномочия в сфере обеспечения безопасности, а также особенности проведения мероприятий и выделения бюджета на эти цели. С таким документом должен быть ознакомлен весь персонал.
Традиционно документ состоит из нескольких разделов: "Цель", "Определения", "Действия" и "Полномочия". Раздел "Цель" акцентирует важность нормальной циркуляции информационных потоков для функционирования организации и, соответственно, необходимость их надлежащей защиты.
Раздел "Определения" объясняет задания системы управления безопасностью. В разделе "Действия" обычно определяются масштабы реализуемых мероприятий, а также принципы оценки и управления риском, план действий в случае возникновения нарушения безопасности и особенности документирования инцидентов. Сюда же входит описание информационного обеспечения безопасности, включая требования по проведению специализированных тренингов для всех категорий персонала.
