Политика ИБ обычно формализуется, то есть предстает в виде четкого регламента. Правила «на словах» не работают, поскольку не являются утвержденными требованиями.
Важный момент — разработанная политика должна соответствовать стандартам документации. Их формируют внешние специалисты, которые регламентируют правила работы организаций в определенных сферах.
Эффективная политика информационной безопасности компании включает документацию трех уровней:
Верхний уровень — это документы, содержащие перечень основных рисков и целей в сфере защиты конфиденциальной информации.
Основной (средний) уровень — это документы с перечнем информации, которая подлежит защите (реестр информационных активов или их категорий). Некоторые организации детализируют их, перечисляя все разрешенные действия с данными. Также в документацию среднего уровня включают положения об ответственности персонала за несоблюдение требований.
Технический уровень — это документы, определяющие меры по защите информации и обязанности конкретных сотрудников.
Второе правило корректной подачи политики — четкая формулировка каждого пункта. Соблюдение этого требования свидетельствует об ответственном отношении организации к вопросам обеспечения безопасности.
Отсутствие формализованной политики безопасности приводит не только к внутренним проблемам организации бизнес-процессов, но и негативно влияет на конкурентоспособность, деловую репутацию и ценность бизнеса для акционеров компании.