Открыть сервис

Политика безопасности

Политика безопасности — это совокупность принципов, правил, процедур и практических мер, направленных на защиту активов организации, государства или отдельного лица от угроз различного характера. Политика безопасности определяет, как следует управлять рисками, предотвращать инциденты, реагировать на них и восстанавливать нормальное функционирование после нарушений. В зависимости от сферы применения различают государственную политику безопасности, корпоративную политику безопасности, политику информационной безопасности, политику физической безопасности и другие.

История

Концепция политики безопасности как формализованного документа возникла в середине XX века в связи с развитием крупных промышленных предприятий и государственных структур, нуждавшихся в системном подходе к защите информации и материальных ценностей. Первоначально политики безопасности разрабатывались в военной и атомной отраслях, где требования к секретности и физической защите были наиболее строгими.

В 1970-х годах, с распространением компьютерных систем, появилась необходимость в формализации правил доступа к данным. В 1985 году Министерство обороны США опубликовало «Оранжевую книгу» (Trusted Computer System Evaluation Criteria), которая заложила основы для разработки политик информационной безопасности. В 1990-х годах, с развитием интернета и электронной коммерции, политики безопасности стали обязательным элементом корпоративного управления.

В России системный подход к политике безопасности начал формироваться в 1990-е годы, а в 2000-х годах был закреплён рядом федеральных законов, в том числе Федеральным законом «О безопасности» (2010 год) и Федеральным законом «О персональных данных» (2006 год). В 2017 году вступил в силу ГОСТ Р ИСО/МЭК 27001-2017, регламентирующий требования к системам менеджмента информационной безопасности.

Классификация

Политики безопасности классифицируются по нескольким основаниям:

По уровню применения

  • Государственная политика безопасности — разрабатывается на уровне федеральных органов власти, определяет стратегию защиты национальных интересов, суверенитета, территориальной целостности и конституционного строя. Включает военную, экономическую, информационную, экологическую и другие виды безопасности.
  • Отраслевая политика безопасности — создаётся для конкретной отрасли (например, банковской, транспортной, энергетической) и учитывает специфические риски и требования регулирующих органов.
  • Корпоративная политика безопасности — внутренний документ организации, регламентирующий правила защиты активов, информации, персонала и имущества.
  • Индивидуальная политика безопасности — набор правил и мер, принимаемых частным лицом для защиты своих данных, имущества и здоровья.

По сфере защиты

  • Политика информационной безопасности — определяет правила защиты конфиденциальности, целостности и доступности информации. Охватывает вопросы управления доступом, шифрования, антивирусной защиты, резервного копирования и реагирования на инциденты.
  • Политика физической безопасности — регламентирует меры по защите зданий, сооружений, оборудования, материальных ценностей и персонала от несанкционированного доступа, краж, вандализма и природных катастроф.
  • Политика кадровой безопасности — устанавливает правила проверки сотрудников, их обучения, допуска к конфиденциальной информации и контроля за их действиями.
  • Политика экономической безопасности — направлена на защиту финансовых активов, предотвращение мошенничества, коррупции и утечки коммерческой тайны.

По степени формализации

  • Формализованная политика — утверждённый письменный документ, содержащий чёткие правила, процедуры и ответственность.
  • Неформальная политика — совокупность устных договорённостей, традиций и неписаных правил, характерная для небольших организаций или семейных предприятий.
  • Автоматизированная политика — реализованная в виде программных настроек и конфигураций (например, политики групповых доменов в Windows, правила межсетевых экранов).

Структура и содержание

Типовая политика безопасности организации включает следующие разделы:

  1. Общие положения — цели, область действия, нормативные ссылки, термины и определения.
  2. Принципы безопасности — базовые установки, например: «доступ к информации предоставляется по принципу необходимости», «все инциденты подлежат регистрации и расследованию».
  3. Управление рисками — описание методики оценки рисков, критерии приемлемого уровня риска, порядок выбора мер защиты.
  4. Правила доступа — регламентация доступа к помещениям, системам, данным и ресурсам. Включает процедуры аутентификации, авторизации и аудита.
  5. Требования к персоналу — правила приёма на работу, обучения, допуска, увольнения, а также меры ответственности за нарушения.
  6. Меры защиты — перечень технических и организационных средств: антивирусы, межсетевые экраны, системы видеонаблюдения, пропускной режим, шифрование.
  7. Порядок реагирования на инциденты — алгоритм действий при обнаружении нарушения, процедуры оповещения, расследования, устранения последствий и восстановления.
  8. Порядок пересмотра и обновления — периодичность проверки актуальности политики, ответственные за внесение изменений.

Применение

Политика безопасности является обязательным элементом для организаций, работающих с государственной тайной, персональными данными, критической информационной инфраструктурой. В России требования к политике безопасности содержатся в:

  • Федеральном законе «О персональных данных» (152-ФЗ) — для операторов персональных данных.
  • Федеральном законе «О безопасности критической информационной инфраструктуры» (187-ФЗ) — для субъектов КИИ.
  • Федеральном законе «О банках и банковской деятельности» — для кредитных организаций.
  • Приказах ФСТЭК России и ФСБ России — для систем, обрабатывающих конфиденциальную информацию.

В коммерческих организациях политика безопасности разрабатывается на основе международных стандартов: ISO/IEC 27001 (информационная безопасность), ISO 22301 (непрерывность бизнеса), а также отраслевых стандартов, например PCI DSS (для компаний, обрабатывающих банковские карты).

Критика

Политика безопасности подвергается критике по нескольким причинам:

  • Формальность и оторванность от реальности — во многих организациях политика существует только на бумаге, не внедряется на практике и не обновляется годами.
  • Чрезмерная сложность — излишне детализированные и объёмные документы затрудняют их понимание и исполнение сотрудниками.
  • Создание ложного чувства безопасности — наличие формального документа не гарантирует реальной защищённости, если не подкреплено техническими и организационными мерами.
  • Конфликт с удобством работы — жёсткие ограничения могут снижать производительность труда и вызывать сопротивление персонала, что приводит к обходу правил.

Интересные факты

  • Первая в мире формализованная политика безопасности была разработана в 1940-х годах для Манхэттенского проекта — программы создания ядерного оружия. Она регламентировала допуск к секретным материалам, физическую защиту объектов и процедуры проверки персонала.
  • В 2018 году в России вступил в силу ГОСТ Р 57580.1-2017, который устанавливает требования к политике безопасности для кредитных организаций и операторов финансовых платформ.
  • В 2022 году, после начала специальной военной операции на Украине, многие российские компании были вынуждены пересмотреть свои политики безопасности в связи с новыми киберугрозами и санкционными рисками.

Источники

  • Федеральный закон «О безопасности» от 28.12.2010 № 390-ФЗ.
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.
  • Федеральный закон «О безопасности критической информационной инфраструктуры» от 26.07.2017 № 187-ФЗ.
  • ГОСТ Р ИСО/МЭК 27001-2017 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
  • ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
  • Trusted Computer System Evaluation Criteria (Оранжевая книга), Министерство обороны США, 1985.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →