Вначале необходимо провести аудит информационных процессов фирмы, выявить критически важную информацию, которую необходимо защищать. Аудит информационных процессов включает в себя также определение перечня конфиденциальной информации предприятия, участков, где эта информация обращается, допущенных к ней лиц, а также последствий утраты (искажения) этой информации. После этого становится ясно, что, где и от кого защищать. А также, различным угрозам безопасности можно присвоить вероятности их реализации.
ПБ – это документ "верхнего" уровня, в котором должно быть указано:
Таким образом, ПБ – это организационно-правовой и технический документ одновременно. При ее составлении надо всегда опираться на принцип разумной достаточности и не терять здравого смысла.
Значительное внимание в ПБ уделяется вопросам обеспечения безопасности информации при ее обработке в автоматизированных системах: автономно работающих компьютерах и локальных сетях.
Рекомендации:
Крайне внимательно надо отнестись к подключению своих информационных ресурсов к Интернету. В ПБ этот вопрос должен быть выделен в отдельный раздел.
С точки зрения безопасности возможно следующие решения – выделение для Интернета автономного компьютера, на котором ни в коем случае не должна храниться конфиденциальная информация. На компьютере должны быть обязательно установлены антивирусные средства защиты с актуальной базой, а также правильно настроенный Firewall. При этом особый контроль надо уделить работе на этом компьютере со сменными носителями информации.
В ПБ должны быть обязательно предусмотрены меры ликвидации этих последствий, восстановления нормальной работоспособности фирмы, минимизации ущерба. Применение средств резервирования электропитания, вычислительных средств, данных, а также правильная организация документооборота.
Политика безопасности должна включать:
Жизненный цикл политики безопасности: