Политика безопасности
Политика безопасности — это совокупность принципов, правил, процедур и практических мер, направленных на защиту активов организации, государства или отдельного лица от угроз различного характера. Политика безопасности определяет, как следует управлять рисками, предотвращать инциденты, реагировать на них и восстанавливать нормальное функционирование после нарушений. В зависимости от сферы применения различают государственную политику безопасности, корпоративную политику безопасности, политику информационной безопасности, политику физической безопасности и другие.
История
Концепция политики безопасности как формализованного документа возникла в середине XX века в связи с развитием крупных промышленных предприятий и государственных структур, нуждавшихся в системном подходе к защите информации и материальных ценностей. Первоначально политики безопасности разрабатывались в военной и атомной отраслях, где требования к секретности и физической защите были наиболее строгими.
В 1970-х годах, с распространением компьютерных систем, появилась необходимость в формализации правил доступа к данным. В 1985 году Министерство обороны США опубликовало «Оранжевую книгу» (Trusted Computer System Evaluation Criteria), которая заложила основы для разработки политик информационной безопасности. В 1990-х годах, с развитием интернета и электронной коммерции, политики безопасности стали обязательным элементом корпоративного управления.
В России системный подход к политике безопасности начал формироваться в 1990-е годы, а в 2000-х годах был закреплён рядом федеральных законов, в том числе Федеральным законом «О безопасности» (2010 год) и Федеральным законом «О персональных данных» (2006 год). В 2017 году вступил в силу ГОСТ Р ИСО/МЭК 27001-2017, регламентирующий требования к системам менеджмента информационной безопасности.
Классификация
Политики безопасности классифицируются по нескольким основаниям:
По уровню применения
- Государственная политика безопасности — разрабатывается на уровне федеральных органов власти, определяет стратегию защиты национальных интересов, суверенитета, территориальной целостности и конституционного строя. Включает военную, экономическую, информационную, экологическую и другие виды безопасности.
- Отраслевая политика безопасности — создаётся для конкретной отрасли (например, банковской, транспортной, энергетической) и учитывает специфические риски и требования регулирующих органов.
- Корпоративная политика безопасности — внутренний документ организации, регламентирующий правила защиты активов, информации, персонала и имущества.
- Индивидуальная политика безопасности — набор правил и мер, принимаемых частным лицом для защиты своих данных, имущества и здоровья.
По сфере защиты
- Политика информационной безопасности — определяет правила защиты конфиденциальности, целостности и доступности информации. Охватывает вопросы управления доступом, шифрования, антивирусной защиты, резервного копирования и реагирования на инциденты.
- Политика физической безопасности — регламентирует меры по защите зданий, сооружений, оборудования, материальных ценностей и персонала от несанкционированного доступа, краж, вандализма и природных катастроф.
- Политика кадровой безопасности — устанавливает правила проверки сотрудников, их обучения, допуска к конфиденциальной информации и контроля за их действиями.
- Политика экономической безопасности — направлена на защиту финансовых активов, предотвращение мошенничества, коррупции и утечки коммерческой тайны.
По степени формализации
- Формализованная политика — утверждённый письменный документ, содержащий чёткие правила, процедуры и ответственность.
- Неформальная политика — совокупность устных договорённостей, традиций и неписаных правил, характерная для небольших организаций или семейных предприятий.
- Автоматизированная политика — реализованная в виде программных настроек и конфигураций (например, политики групповых доменов в Windows, правила межсетевых экранов).
Структура и содержание
Типовая политика безопасности организации включает следующие разделы:
- Общие положения — цели, область действия, нормативные ссылки, термины и определения.
- Принципы безопасности — базовые установки, например: «доступ к информации предоставляется по принципу необходимости», «все инциденты подлежат регистрации и расследованию».
- Управление рисками — описание методики оценки рисков, критерии приемлемого уровня риска, порядок выбора мер защиты.
- Правила доступа — регламентация доступа к помещениям, системам, данным и ресурсам. Включает процедуры аутентификации, авторизации и аудита.
- Требования к персоналу — правила приёма на работу, обучения, допуска, увольнения, а также меры ответственности за нарушения.
- Меры защиты — перечень технических и организационных средств: антивирусы, межсетевые экраны, системы видеонаблюдения, пропускной режим, шифрование.
- Порядок реагирования на инциденты — алгоритм действий при обнаружении нарушения, процедуры оповещения, расследования, устранения последствий и восстановления.
- Порядок пересмотра и обновления — периодичность проверки актуальности политики, ответственные за внесение изменений.
Применение
Политика безопасности является обязательным элементом для организаций, работающих с государственной тайной, персональными данными, критической информационной инфраструктурой. В России требования к политике безопасности содержатся в:
- Федеральном законе «О персональных данных» (152-ФЗ) — для операторов персональных данных.
- Федеральном законе «О безопасности критической информационной инфраструктуры» (187-ФЗ) — для субъектов КИИ.
- Федеральном законе «О банках и банковской деятельности» — для кредитных организаций.
- Приказах ФСТЭК России и ФСБ России — для систем, обрабатывающих конфиденциальную информацию.
В коммерческих организациях политика безопасности разрабатывается на основе международных стандартов: ISO/IEC 27001 (информационная безопасность), ISO 22301 (непрерывность бизнеса), а также отраслевых стандартов, например PCI DSS (для компаний, обрабатывающих банковские карты).
Критика
Политика безопасности подвергается критике по нескольким причинам:
- Формальность и оторванность от реальности — во многих организациях политика существует только на бумаге, не внедряется на практике и не обновляется годами.
- Чрезмерная сложность — излишне детализированные и объёмные документы затрудняют их понимание и исполнение сотрудниками.
- Создание ложного чувства безопасности — наличие формального документа не гарантирует реальной защищённости, если не подкреплено техническими и организационными мерами.
- Конфликт с удобством работы — жёсткие ограничения могут снижать производительность труда и вызывать сопротивление персонала, что приводит к обходу правил.
Интересные факты
- Первая в мире формализованная политика безопасности была разработана в 1940-х годах для Манхэттенского проекта — программы создания ядерного оружия. Она регламентировала допуск к секретным материалам, физическую защиту объектов и процедуры проверки персонала.
- В 2018 году в России вступил в силу ГОСТ Р 57580.1-2017, который устанавливает требования к политике безопасности для кредитных организаций и операторов финансовых платформ.
- В 2022 году, после начала специальной военной операции на Украине, многие российские компании были вынуждены пересмотреть свои политики безопасности в связи с новыми киберугрозами и санкционными рисками.
Источники
- Федеральный закон «О безопасности» от 28.12.2010 № 390-ФЗ.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.
- Федеральный закон «О безопасности критической информационной инфраструктуры» от 26.07.2017 № 187-ФЗ.
- ГОСТ Р ИСО/МЭК 27001-2017 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
- ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
- Trusted Computer System Evaluation Criteria (Оранжевая книга), Министерство обороны США, 1985.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →