Согласно RFC 2196 под политикой информационной безопасности компании понимается «формальное изложение правил поведения лиц, получающих доступ к конфиденциальным данным в корпоративной информационной системе». При этом различают общую стратегическую политику безопасности компании, взаимоувязанную со стратегией развития бизнеса и ИТ-стратегией компании, а также частные тактические политики безопасности, детально описывающие правила безопасности при работе с соответствующими ИТ-системами и службами компании.

В соответствии с этим определением и рекомендациями ведущих международных стандартов в области планирования информационной безопасности (ИБ) и управления ею (BS 7799-2:2002, ISO/IEC 17799:2005, ISO/IEC TR 13335, ISO/IEC 10181-7:1996, ISO/IEC 15288:2002, ISO/IEC TR 15443, BSI, CobiT, ITIL, ГОСТ P ИСО/МЭК 15408-2002) политики безопасности должны содержать следующее:

• предмет, основные цели и задачи политики безопасности;

• условия применения политики безопасности и возможные ограничения;

• описание позиции руководства компании в отношении выполнения политики безопасности и организации режима информационной безопасности компании в целом;

• права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности компании;

• порядок действия в чрезвычайных ситуациях в случае нарушения политики безопасности.

Актуальность разработки политик безопасности для отечественных компаний и организаций объясняется необходимостью формирования основ планирования информационной безопасности и управления ею на современном этапе. В настоящее время большинством российских компаний определены следующие приоритетные задачи развития и совершенствования своей деятельности:

• минимизация рисков бизнеса путем защиты своих интересов в информационной сфере;

• обеспечение безопасного, доверенного и адекватного управления предприятием;

• планирование и поддержка непрерывности бизнеса;

• повышение качества деятельности по обеспечению информационной безопасности;

• снижение издержек и повышение эффективности инвестиций в информационную безопасность;

Успешное выполнение перечисленных задач в условиях воздействия внутренних и внешних факторов, а также действий конкурентов и злоумышленников проблематично. Это связано с возрастающей необходимостью повышения уровня информационной безопасности и недостаточной проработанностью политик информационной безопасности в отечественных компаниях. При разработке политик безопасности важно иметь в виду:

• в разрабатываемых политиках безопасности отечественных компаний необходимо учитывать в равной мере нормативные, экономические, технологические, технические и организационно-управленческие аспекты планирования информационной безопасности и управления ею. Только в этом случае можно достигнуть разумного баланса между стоимостью и эффективностью разрабатываемых правил политик безопасности;

• политики безопасности российских компаний не должны противоречить отечественной нормативной базе в области защиты информации в автоматизированных системах на территории РФ, в том числе нормативно-правовым документам (федеральным законам, указам Президента, постановлениям Правительства) и нормативно-техническим документам (государственным стандартам, руководящим документам Гостехкомиссии (ФСТЭК) России, Министерства обороны РФ и ФСБ РФ);

• при создании политик безопасности желательно учесть текущие реформы действующей Государственной системы стандартизации (ГСС) согласно Федеральному закону № 184-ФЗ «О техническом регулировании», рекомендации ГОСТ Р ИСО/МЭК 15408-2002, рекомендации функционального стандарта ГОСТ Р 51583-2000, описывающего этапность построения защищенных информационных систем, рекомендации функционального стандарта – документа ФСТЭК, под названием СТР-К, для выработки требований по технической защите конфиденциальной информации;

• при отражении в политиках безопасности нормативного аспекта рекомендуется следовать требованиям новой российской национальной системы стандартизации, основанной на системе технического регулирования в соответствии с рекомендациями Федерального закона № 184-ФЗ «О техническом регулировании». Это отвечает последним веяниям формирования в Российской Федерации технического законодательства, обеспечивающего выполнение Соглашений Всемирной торговой организации (ВТО) по техническим барьерам в торговле (ТБТ) и санитарным и фитосанитарным мерам (СФС) с учетом принципов нового подхода к технической регламентации в Европейском союзе (ЕС). Следование данным требованиям позволит устранить существующие технические барьеры для отечественных компаний в торговле и обеспечении конкурентоспособности продукции;