# Бесплатная экспертная база знаний по управлению ИТ

Никакого пересказа ITIL, COBIT, ISO 20000, PRINCE2, TOGAF и прочего. Только сведения от консультантов и тренеров Cleverics. Включает ответы на **несколько тысяч вопросов** из **сотен источников**, а также детальный глоссарий с примерами, объяснениями и нюансами

# Политика информационной безопасности

[Политика](https://cleverics.ru/digital/kb-glossary/policy/), которая регулирует подход [организации](https://cleverics.ru/digital/kb-glossary/organization/) к [управлению информационной безопасностью](https://cleverics.ru/digital/kb-glossary/information-security-management-practice/).

Синонимы: политика ИБ

## Оригинальный английский термин

Information security policy

## Подробности

[Политика информационной безопасности](https://cleverics.ru/digital/kb-glossary/information-security-policy/) — это управленческий [документ](https://cleverics.ru/digital/kb-glossary/document/) верхнего уровня, который задаёт единый, обязательный для организации курс в области защиты информации и определяет, как именно должно осуществляться управление информационной безопасностью. Она фиксирует намерения и принципы: какие цели безопасности поддерживаются (например, [конфиденциальность](https://cleverics.ru/digital/kb-glossary/confidentiality/), [целостность](https://cleverics.ru/digital/kb-glossary/integrity/), [доступность](https://cleverics.ru/digital/kb-glossary/availability/)), как распределяется ответственность между [руководством](https://cleverics.ru/digital/kb-glossary/governance/), [владельцами услуг](https://cleverics.ru/digital/kb-glossary/service-owner/), [пользователями](https://cleverics.ru/digital/kb-glossary/user/) и [командами поддержки](https://cleverics.ru/digital/kb-glossary/support-team/), какие общие требования предъявляются к [управлению рисками](https://cleverics.ru/digital/kb-glossary/risk-management-practice/), [соответствию требованиям](https://cleverics.ru/digital/kb-glossary/compliance/), [контролю](https://cleverics.ru/digital/kb-glossary/control/) доступов, работе с [инцидентами](https://cleverics.ru/digital/kb-glossary/incident/) и [обращению](https://cleverics.ru/digital/kb-glossary/call/) с данными. В [ITSM](https://cleverics.ru/digital/kb-glossary/it-service-management/) политика используется как опорная точка для [проектирования](https://cleverics.ru/digital/kb-glossary/design/)[услуг](https://cleverics.ru/digital/kb-glossary/service/) и их [гарантий](https://cleverics.ru/digital/kb-glossary/warranty/), для настройки [практики управления информационной безопасностью](https://cleverics.ru/digital/kb-glossary/information-security-management-practice/), а также для определения обязательных правил, которые должны быть отражены в [процедурах](https://cleverics.ru/digital/kb-glossary/procedure/), [рабочих инструкциях](https://cleverics.ru/digital/kb-glossary/work-instruction/), требованиях к [поставщикам](https://cleverics.ru/digital/kb-glossary/supplier/) и [соглашениях об уровне услуг](https://cleverics.ru/digital/kb-glossary/service-level-agreement/). Вне области действия политики обычно остаются детальные технические настройки и конкретные реализации средств защиты (например, конкретные правила межсетевого экрана или [конфигурация](https://cleverics.ru/digital/kb-glossary/configuration/) шифрования) — это предмет [стандартов](https://cleverics.ru/digital/kb-glossary/standard/), [спецификаций](https://cleverics.ru/digital/kb-glossary/specification/) и рабочих инструкций, которые должны соответствовать политике.## Нюансы

Частая [ошибка](https://cleverics.ru/digital/kb-glossary/error/) — воспринимать Политику информационной безопасности как набор конкретных технических мер или пошаговую процедуру. Политика отвечает на вопрос «каким принципам и обязательствам мы следуем», а не «как именно настраивать [систему](https://cleverics.ru/digital/kb-glossary/system/)». Детализация в виде стандартов, процедур и рабочих инструкций должна логически вытекать из политики, но не подменять её. Ещё одно типичное заблуждение — считать политику формальным документом «для [аудита](https://cleverics.ru/digital/kb-glossary/audit/)»: в зрелом [управлении услугами](https://cleverics.ru/digital/kb-glossary/service-management/) политика служит механизмом руководства и принятия решений, влияя на проектирование услуг, приоритизацию улучшений и [оценку риска](https://cleverics.ru/digital/kb-glossary/risk-assessment/). Политику также часто путают с [требованиями гарантии](https://cleverics.ru/digital/kb-glossary/warranty-requirements/) конкретной услуги: политика задаёт общие требования для организации, тогда как требования гарантии уточняют ожидания к конкретной услуге и могут различаться по [уровню услуги](https://cleverics.ru/digital/kb-glossary/service-level/). Наконец, важно помнить, что политика не должна «жить отдельно» от [управления изменениями](https://cleverics.ru/digital/kb-glossary/change-management/) и [управления поставщиками](https://cleverics.ru/digital/kb-glossary/supplier-management-practice/): без встроенности в повседневные [практики](https://cleverics.ru/digital/kb-glossary/practice/) она не обеспечивает ни соответствия требованиям, ни снижения [риска](https://cleverics.ru/digital/kb-glossary/risk/), ни предсказуемости поведения пользователей и команд поддержки.## Примеры

- Требование классифицировать данные и применять к ним правила обработки и хранения в зависимости от класса
- Обязательство регистрировать и расследовать инциденты информационной безопасности, а также определять сроки уведомления заинтересованных сторон
- Правило предоставлять доступ по принципу минимально необходимых прав с регулярным пересмотром прав доступа
- Требование управлять рисками информационной безопасности при изменениях и при привлечении третьих сторон
- Обязательство обеспечивать обучение пользователей по вопросам информационной безопасности и подтверждение ознакомления с политикой

## Рекомендуемые продукты по этой теме

- [ITSM. Основы управления ИТ-услугами](https://edu.cleverics.ru/itsm-foundation?utm_source=knowledgebase&utm_medium=article&utm_content=banner&utm_term=ITFO4) — Учебный курс: интенсив с тренером. Самый популярный тренинг по управлению ИТ
- [Apollo 13 — ITSM на практике](https://edu.cleverics.ru/apollo?utm_source=knowledgebase&utm_medium=article&utm_content=banner&utm_term=APOLLO) — Деловая игра. Service Desk, управление инцидентами, проблемами, изменениями
- [Altevics](https://cleverics.ru/solutions/altevics?utm_source=knowledgebase&utm_medium=article&utm_content=banner&utm_term=altevics) — Современная ITSM/ESM-система