Всем известно высказывание Станиславского «Театр начинается с вешалки». А вот то, что PR начинается не с проплаченной статьи, не с пресс-релиза и даже не с PR-менеджера, к сожалению, известно не многим. На самом деле в основе эффективного PR лежит продуманная информационная политика – система, определяющая, кто, когда и как должен рассказывать о компании и ее брендах широкой общественности.
Нанять PR-менеджера только потому, что «у конкурентов PR есть, а у нас нет», на сегодняшний день непозволительная роскошь. А расплачиваются за вчерашние ошибки руководителей простые PR-менеджеры, которые первыми попали в ряды сокращенных или отправленных в бессрочный отпуск за свой счет. Добро пожаловать в кризис! Наконец-то пришло время трезво взглянуть на ситуацию, оптимизировать организационную структуру и понять, нужен ли компании PR, зачем и какой. Хорошо бы услышать, что думает об этом собственник компании или генеральный менеджер, – иначе говоря, тот, кто формирует стратегию развития компании и философию ведения бизнеса.
Информационная политика
Если вы не пали духом, не сбежали в Доминикану или на Бали пережидать непростые дни, самое время разобраться с PR и построить ту дорогу, по которой ваша компания вырулит из кризиса с отличной репутацией и широкими рядами лояльных партнеров, сотрудников и потребителей.
Информационная политика: цели, задачи, принципы
С чего же начинается PR? С одной стороны, ответ на этот вопрос, как и на вопрос «С чего начинается Родина?», может быть запутанным, емким и многогранным. С другой стороны, все до банальности просто. PR начинается с руководителя и его понимания того, какими информационными смыслами и в каких целях компания готова обмениваться с внутренней и с внешней средой (рис. 1).
Поставьте на одну чашу весов ноу-хау, составляющие главное конкурентное преимущество вашей компании, а на другую – парадокс нынешней эры открытой информации: чем больше вы даете, тем больше получаете. Золотой точкой равновесия как раз и станут те принципы, на которых будет основываться дальнейшая PR-активность. Именно они задают вектор информационной политики компании, начиная с регламентации доступа сотрудников к конфиденциальной информации и заканчивая системой информационного взаимодействия со СМИ.
При этом необходимо понимать, что информационная политика обобщает принципы взаимодействия с разными целевыми аудиториями (рис. 2). Так, к ключевым группам влияния относят акционеров, сотрудников, партнеров, потребителей и общественность, среди которой работает компания. Для каждой из этих групп разрабатывают отдельное положение об информационном взаимодействии в рамках общей информационной политики.
Фактически сквозь призму каждой из групп влияния преломляется позиция компании относительно пяти основных постулатов информационной политики:
1. Защищенность корпоративной информации.
Необходимо выработать внутренний классификатор закрытости информации. Каждый сотрудник должен знать и понимать, какие сведения о компании и в каком объеме он может предоставлять как внешним, так и внутренним субъектам.
ЯЖПРЕПОД 76 — Информационная политика
Конечно, если компания небольшая, руководитель может и на пальцах объяснить, что составляет коммерческую тайну, а что нет, что и в каком ключе важно знать определенным аудиториям, а что – излишне. Но представьте офис, в котором даже не все лично знакомы друг с другом. Сотрудники должны понимать, какой корпоративной информацией и с какими целевыми аудиториями они могут обмениваться во благо, а не во вред предприятию. Иначе говоря, всем должны быть известны правила игры, согласно которым компания и ее представители ведут себя в информационном поле.
Важно очертить и круг людей, которые уполномочены давать официальные публичные комментарии. В большинстве случаев это топ-менеджеры и ключевые сотрудники коммерческой структуры, которые наделены харизмой, отличаются высоким уровнем профессионализма и компетенции. Главное в группе публичных спикеров – продвижение единой позиции, соответствующей корпоративной идеологии.
Зачастую спикерами становятся люди, проработавшие в компании не менее года. Ведь для достойного публичного выступления сотрудник должен не только иметь глубокие познания в своем профильном сегменте, но и четко ориентироваться в корпоративной идеологии, а также оперировать данными о разных сферах деятельности компании.
Подобный багаж знаний либо накапливается с опытом, либо черпается из специально разработанных в рамках информационной политики директив об общении с прессой (media guidelines). Хорошим подспорьем в планомерной актуализации media guidelines служит база вопросов и ответов, составленная в ходе подготовки спикеров к публичным выступлениям.
Не секрет, что лучший экспромт тот, который подготовлен заранее. Сотрудники пресс-служб и непубличные консультанты заблаговременно придумывают потенциально острые вопросы и ответы и прорабатывают их со спикерами (о том, как подготовить спикеров к публичному выступлению, читайте также в статье «Иллюзия успеха» на стр. 72). Подборка таких материалов за год или несколько лет может стать отличным учебником для публичной персоны.
Такая системность в публичных коммуникациях позволяет логично выстроить единый информационный посыл, продемонстрировать открытость компании и при этом свести к минимуму риск раскрытия активообразующей информации.
2. Достоверность информации. Этот постулат не подлежит обсуждению. Если уж компания обнародует какую-то информацию, она должна быть достоверной по определению. Другое дело, что всегда можно воспользоваться принципом «Не изменяй правде, изменяй правду», но его успех прямо пропорционален умению специалиста по PR формулировать информационные смыслы в выгодном для компании свете.
Во избежание искажения или предоставления ошибочной информации в положении об информационной политике необходимо предусмотреть процедуру контроля и согласования. Обычно основная ответственность за достоверность раскрываемой информации и соблюдение сроков ложится на плечи PR-директора и главы компании. Известны случаи, когда даже в крупных украинских организациях ни один корпоративный буклет или пресс-релиз не выходил в свет без визы собственника.
3. Полнота и сбалансированность. С кем бы вы ни общались – с акционерами посредством годового финансового отчета, с потребителями в корпоративном блоге или с журналистами на пресс-конференции, – всегда нужно помнить о принципе сбалансированности информации. Умение соблюсти разумный баланс прозрачности и открытости, с одной стороны, и конфиденциальности, с другой, – делает вашу информацию «вкусной» для целевой аудитории.
Если раскрыть все карты, публика будет вам аплодировать, но конкуренты этого не пропустят. К тому же излишний объем информации создает путаницу в головах и мешает акцентировать внимание на ключевых сообщениях. В то же время нехватка информации порождает домыслы и слухи. Опишите в информационной политике правила, по которым можно определить золотую середину и которые позволят эффектно и эффективно балансировать на грани.
Хорошим примером такой золотой середины могут служить договоренности между заказчиками и исполнителями различных маркетингово-рекламных услуг. Например, для event-агентства, специализирующегося на организации частных VIP-мероприятий, эти правила могут выглядеть так: «Разглашая информацию о проведенных событиях, сотрудники агентства имеют право без ведома клиента:
раскрывать концепцию мероприятия;
демонстрировать фотографии декора;
оглашать список субподрядчиков.
называть имена клиента и его гостей;
демонстрировать фото с мероприятия;
раскрывать информацию о бюджете мероприятия;
разглашать адрес локации, если она не является публичным заведением».
Формируя информационную политику, уместно также изложить позицию компании относительно тем, которым не следует уделять внимание или которых нужно избегать. Например, многие коммерческие структуры не комментируют в СМИ темы, не относящиеся к их ключевой компетенции. По их мнению, это отнимает время и силы, а пользы для развития бизнеса не приносит.
Другие компании, напротив, используют любую возможность побыть на виду, не брезгуя даже скандалами в желтой прессе. А многие коммерческие предприятия, особенно представительства международных компаний, категорически не затрагивают в своих информационных посылах политическую ситуацию и режим страны, в которой они работают. В общем, вариантов масса. Главное – понять, что важно для развития конкретного бизнеса и укрепления репутации той или иной компании.
4. Оперативность и регулярность. Стоит ли говорить, что для того чтобы занимать умы целевой аудитории, нужно постоянно с ней общаться? Человеческая память коротка: исчезнете из информационного поля – и о вас тут же забудут. Чтобы этого не случилось, нужно придерживаться системности и систематичности информационных посылов. Запланируйте ключевые виды PR-активности. Это могут быть годовая конференция для партнеров, квартальные прессклубы, потребительское тестирование продукции по мере выхода новых моделей, регулярные пресс-релизы о значимых событиях компании и т. п.
Главное в коммуникационном процессе – не останавливаться, постоянно и регулярно снабжать целевые аудитории интересной и актуальной информацией. И помните, что с течением времени ценность информации уменьшается, а соответственно, теряется интерес к ней (рис. 3). Как говорится, дорога ложка к обеду.
5. Доступность. Наконец, формируя информационную политику компании, необходимо продумать все возможные каналы коммуникации. Сведения, которыми вы готовы поделиться, должны быть доступными и в результате попасть в руки тем, для кого предназначались. Определите оптимальные и приоритетные каналы коммуникации для каждой из своих целевых групп.
Например, ими могут быть веб-сайт компании, специальные сообщества и группы в социальных сетях, а также СМИ. На взаимодействии с потребителями при помощи последних остановимся подробнее.
Источник: poisk-ru.ru
Информационная политика компании
Последние пять лет активного развития российского бизнеса доказали необходимость PR, однако до сих пор многие руководители компаний, не понимая действительной необходимости выстраивания информационной политики компании, привлекают к себе на работу PR-специалистов, исключительно отдавая дань моде. Тем временем ценность жестко выстроенной и четко работающей информационной политики давно доказана, а фраза, которой любят щеголять сотрудники PR-подразделений: «Мы зарабатываем репутацию» — уже не просто красивый речевой оборот.
Информационная политика компании — понятие многогранное и очень емкое. В широком смысле к нему можно отнести информирование всех сотрудников компании о ее текущем состоянии, поддержание корпоративной лояльности, регламентацию доступа различных сотрудников и подразделений к корпоративной информации (в том числе и представляющей коммерческую тайну), своевременное доведение приказов и распоряжений руководства. Но в том числе под информационной политикой подразумевают и внешнюю информационную работу компании, проще говоря — связи с общественностью, которые осуществляются в рамках строго регламентированной системы.
Еще несколько лет назад в подавляющем большинстве российских компаний словосочетание «информационная политика компании» в лучшем случае порождала недоуменные взгляды. Люди были больше озабочены развитием бизнеса, вложением в основные средства производства, а о таких вещах, как репутация, социальная ответственность и информационная прозрачность, никто особо не задумывался. Конечно, владельцы компаний всегда понимали необходимость паблисити, но по сравнению с другими задачами, как то сохранение и развитие производства — это все было второстепенным.
Многие специалисты сетовали на то, что PR в России превратился в грозное оружие соперничающих друг с другом бизнесменов и олигархов. В то время об «информационной политике» ничего не говорили, на слуху были более яркие термины — «черный PR», «информационная война», «слив»: летопись отечественных информационных войн помнит события вокруг Кочканарского ГОКа, группы «Гута», больших и маленьких банков. Общая атмосфера анархии, царившая не только в политике и экономике, но и в СМИ создавала ощущение неуправляемого хаоса, хотя, конечно же, это было не так: формирующаяся экономика для решения стоящих перед ней задач требовала своих инструментов, в том числе и информационных.
Прошло время, и вопросы корпоративной репутации, раскрытия информации, донесения до целевых аудиторий своей принципиальной позиции по многим вопросам (в том числе и через СМИ) стали определяющими для ведущих российских компаний. Сам термин «корпоративная информационная политика» появился где-то в конце 90-х — начале 2000-х годов. Впрочем, «на острие» как всегда оказались западные компании, открывавшие свои представительства в России и начавшие активную экспансию на российский рынок. «Западники» не изобретали ничего принципиально нового — они пользовались уже опробованными подходами, доказавшими свою эффективность на традиционных для этих компаний рынках.
Следуя лучшим зарубежным практикам, крупнейшие российские корпорации также озаботились созданием собственных пресс-служб, департаментов по связям с общественностью и привлечением PR-специалистов, основной задачей которых стало донесение публичной позиции компании до общественности. Однако очень быстро стало очевидным, что западные подходы не слишком хороши для российского рынка.
Прежде всего потому, что СМИ в России — пока еще не очень развитый сегмент. Объективно — российские качественные СМИ (основной канал для распространения корпоративной информации и корпоративной публичной позиции) — среди всего многообразия российских газет и журналов составляют ничтожную долю процента. Можно по пальцам пересчитать российские газеты и журналы, пользующиеся влиянием среди людей, принимающих решения. На более чем 12 000 российских газет и журналов приходится менее 0,5% деловых и, что самое печальное, значительная часть их сосредоточена в Москве.
В то же время на Западе, в частности в США, информационное поле не ограничивается только лишь газетами «Washington Post», «New York Times» и «The Wall Street Journal». Помимо огромного количества деловых ежедневников, выходящих во всех крупнейших городах, существует масса журналов, посвященных вопросам политики и экономики, огромное количество специализированных журналов, веб-сайты, порталы. Перечислять можно бесконечно долго. А, кроме того, развитое поле СМИ позволяет журналистам и корпоративным специалистам по связям с общественностью вести равноправный диалог — журналисты ищут материал, PR-службы дают им возможность получать информацию «из первых рук».
В России ситуация ровно противоположная: совершенно очевидно, что при узости российского медиа-рынка за внимание крупнейших газет сражаются пресс-службы сотен компаний и сотрудники десятков PR-агентств. Поле для конкуренции более чем жесткое. А значит, необходимо быть более изобретательным в подходах к распространению информации.
Последние пять лет активного развития российского бизнеса доказали необходимость PR, однако до сих пор многие руководители компаний, не понимая действительной необходимости выстраивания информационной политики компании, привлекают к себе на работу PR-специалистов, исключительно отдавая дань моде. Тем временем ценность жестко выстроенной и четко работающей информационной политики давно доказана. Фраза, которой любят щеголять сотрудники PR-подразделений: «Мы зарабатываем репутацию» — уже не просто красивый речевой оборот.
При этом необходимо понимать, что «информационная политика» — это не просто «связи с общественностью». Это целый комплекс действий, мероприятий и регламентов, позволяющий управлять не только процессом распространения корпоративной информации, но и процессом восприятия образа компании в целевых аудиториях. Правильнее относить «информационную политику» к стратегии развития связей с общественностью, где основным является обращение (напрямую или посредством информационных каналов) к избранным представителям целевой аудитории — клиентам, партнерам, лидерам мнений.
Есть еще один, более общий, термин — «коммуникационная стратегия», которым иногда подменяют понятие «информационная политика». Это, на мой взгляд, ошибка -«коммуникационная стратегия» — это, скорее, совокупность средств продвижения компании на рынке (маркетинг, PR и реклама) и особенности их использования.
Генеральные направления информационной политики (и не важно, какого размера компания — транснациональный газовый гигант или же средних размеров торговая сеть) должно определять руководство компании, то есть те люди, которые принимают в компании стратегические решения, влияют на развитие бизнеса, определяют инвестиционную политику и т.д. Именно руководству необходимо четко сформулировать те цели, достижению которых должна отвечать корпоративная информационная политика. А уже специалисты компании, отвечающие за связи с общественностью, определяют средства, с помощью которых будут достигнуты поставленные руководством цели. Именно внимание руководства к информационной политике и ставит современный бизнес-PR на одну планку с другими направлениями работы любой компании — продажами, бюджетным планированием, подбором персонала.
Те же специалисты, ответственные за подготовку информационной политики, разработанную с учетом стратегических целей, определенных руководством, и занимаются ее реализацией: проводят специальные мероприятия, готовят информационные сообщения, доводят эти сообщения до целевых аудиторий, используя различные информационные каналы — от средств массовой коммуникации до личных встреч.
Впрочем, зачастую крупные корпорации для разработки своей информационной политики приглашают специалистов из консалтинговых или PR-агентств. В некоторых случаях это оправдано, в других такое решение — порочная практика.
Приглашение сторонних специалистов необходимо тогда, когда компания выходит на новые рынки и ей необходимо пересмотреть свою информационную политику, адаптировать принципы распространения информации для других, преимущественно зарубежных аудиторий. Целесообразность же приглашения специалистов из PR-агентств для разработки информационной политики «с нуля» — спорна.
PR-специалист, который давно работает в компании, взаимодействует со всеми подразделениями, пользуется доверием руководителей всех уровней, четко понимает цели, обозначенные корпоративным руководством, учитывая при этом рекомендации остальных подразделений компании, гораздо более эффективен, чем сторонний консультант. Пусть даже и обладающий доступом к целому спектру «кейсов». Другое дело, когда консультанта привлекают для решения каких-то задач, связанных с аудитом информационной политики, повышением эффективности информационной стратегии. В этом случае консультант играет роль «свежей головы» и может квалифицированно оценить, как оптимизировать корпоративную информационную политику, сделать ее более лояльной рынку.
Необходимо учитывать, что любая корпоративная информационная служба, обеспечивая интересы компании, работает на несколько целевых аудиторий, одномоментно используя целую систему каналов коммуникаций. Если говорить о таких динамично развивающихся секторах экономики, как связь и телекоммуникации, страхование, банковские услуги, сбытовые сети, то в задачи информационной службы входит взаимодействие с такими разнородными целевыми аудиториями как конечные потребители, бизнес-клиенты, партнеры, существующие и потенциальные инвесторы, акционеры. И на каждую из этих аудиторий работает свой информационный канал.
В связи с этим при реализации корпоративной информационной политики возникает еще одна проблема: как правильно распределить информационные потоки таким образом, чтобы у целевых аудиторий не произошло «смешения» и каждый потребитель, журналист, аналитик или инвестор получал именно ту информацию, которая ему необходима. Дело в том, что информационные поводы в крупных компаниях порой настолько разнородны, что не имеет смысла доводить до всех целевых аудиторий новости о социальных или просветительских инициативах одновременно с обнародованием финансовых итогов полугодия.
Еще один большой соблазн, которого стоит избегать при реализации информационной политики, — рассказывать все и всем, распространяя информацию по каждому значимому и незначимому событию, комментируя самые незначительные события в своей и смежных отраслях. Политика по раскрытию и распространению информации не должна ставить своей целью «максимальный охват рынка». В погоне за рейтинговыми показателями есть риск из качества перейти в количество, а в этом случае аудитории просто перестанут обращать внимание на события, о которых сообщает компания. Реакцией в лучшем случае будет безразличие — «они опять об этом?». И компания рискует заработать имидж структуры, где «никогда ничего не происходит».
В то же время быть ньюсмейкером 365 дней в году невозможно. А потому в информационной политике необходимо соблюдать разумный баланс: поддерживать информационный фон, рассказывая о текущей деятельности компании; и с определенной, четко установленной периодичностью, распространять информацию, влияющую не только на образ компании в глазах целевых аудиторий, но и на «баланс сил» на тех рынках, где работает компания.
Естественно, что для последовательного осуществления информационной политики необходим целый набор регулирующих документов. Они должны не только прописывать основные положения информационной политики, сферу ответственности каждого из тех, кто ответственен за ее реализацию, но и определять направления, в которых эта информационная политика должна развиваться, и четко регламентировать информационные цели, задачи и средства, которые способствуют их решению, а также описывать «правила игры», согласно которым компания и ее отдельные представители действуют в информационном поле.
Кроме того, информационная политика обязана быть прозрачной. Потребители корпоративной информации должны знать, каких новостных поводов (и главное — когда) ждать от компании, четко понимать, как будет компания реагировать на те или иные события как в своей жизни, так и в жизни рынка. Такая системность в работе позволит не только логично выстроить информационный поток, но и продемонстрировать информационную открытость и лояльность основным целевым аудиториям, а также удержать свои позиции в конкурентной борьбе за внимание СМИ, которые, как ни крути, являются одним из главных объектов информационной политики.
Принимая во внимание тот факт, что многие российские компании сейчас озаботились не только выходом на международные рынки, но и привлечением иностранного капитала, торгуясь на международных площадках, проведение взвешенной и понятной рынку информационной политики для них более чем актуально. Ведь это — неотъемлемая часть их капитализации.
Источник: www.km.ru
Политика информационной безопасности — опыт разработки и рекомендации
В данном топике я попытаюсь составить манул по разработке нормативной документации в области информационной безопасности для коммерческой структуры, опираясь на личный опыт и материалы из сети.
- для чего нужна политика информационной безопасности;
- как ее составить;
- как ее использовать.
Необходимость наличия политики ИБ
В этом разделе описана необходимость внедрения политики ИБ и сопутствующих ей документов не на красивом языке учебников и стандартов, а на примерах из личного опыта.
Понимание целей и задач подразделения информационной безопасности
Прежде всего политика необходима для того, чтобы донести до бизнеса цели и задачи информационной безопасности компании. Бизнес должен понимать, что безопасник это не только инструмент для расследования фактов утечек данных, но и помощник в минимизации рисков компании, а следовательно — в повышении прибыльности компании.
Требования политики — основание для внедрения защитных мер
Политика ИБ необходима для обоснования введения защитных мер в компании. Политика должна быть утверждена высшим административным органом компании (генеральный директор, совет директоров и т.п.)
Любая защитная мера есть компромисс между снижением рисков и удобством работы пользователя. Когда безопасник говорит, что процесс не должен происходить каким-либо образом по причине появления некоторых рисков, ему всегда задают резонный вопрос: «А как он должен происходить?» Безопаснику необходимо предложить модель процесса, в которой эти риски снижены в какой-то мере, удовлетворительной для бизнеса.
- почему я должен работать по вашей придуманной схеме, а не тем простым способом, который я использовал всегда
- кто это все придумал
данная мера введена для исполнения требований политики информационной безопасности компании, которая утверждена высшим административным органом компании
Как правило после энергия большинства пользователей сходит на нет. Оставшимся же можно предложить написать служебную записку в этот самый высший административный орган компании. Здесь отсеиваются остальные. Потому что даже если записка туда уйдет, то мы всегда сможем доказать необходимость принятых мер перед руководством. Мы ведь не зря свой хлеб едим, да?
Рекомендации по разработке политики ИБ
При разработке политики следует помнить о двух моментах.
- Целевая аудитория политики ИБ — конечные пользователи и топ-менеджмент компании, которые не понимают сложных технических выражений, однако должны быть ознакомлены с положениями политики.
- Не нужно пытаться впихнуть невпихуемое включить в этот документ все, что можно! Здесь должны быть только цели ИБ, методы их достижения и ответственность! Никаких технических подробностей, если они требуют специфических знаний. Это все — материалы для инструкций и регламентов.
Конечный документ должен удовлетворять следующим требованиям:
- лаконичность — большой объем документа отпугнет любого пользователя, ваш документ никто никогда не прочитает (а вы не раз будете употреблять фразу: «это нарушение политики информационной безопасности, с которой вас ознакомили»)
- доступность простому обывателю — конечный пользователь должен понимать, ЧТО написано в политике (он никогда не прочитает и не запомнит слова и словосочетания «журналирование», «модель нарушителя», «инцидент информационной безопасности», «информационная инфраструктура», «техногенный», «антропогенный», «риск-фактор» и т.п.)
Каким образом этого добиться?
На самом деле все очень просто: политика ИБ должна быть документом первого уровня, ее должны расширять и дополнять другие документы (положения и инструкции), котрые уже будут описывать что-то конкретное.
Можно провести аналогию с государством: документом первого уровня является конституция, а существующие в государстве доктрины, концепции, законы и прочие нормативные акты лишь дополняют и регламентируют исполнение ее положений. Примерная схема представлена на рисунке.
Чтобы не размазывать кашу по тарелке, давайте просто посмотрим примеры политик ИБ, которые можно найти на просторах интернета.
Анализ политик ИБ существующих компаний
| ОАО „Газпромбанк“ | 11 | Очень высокая | Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит |
| АО „Фонд развития предпринимательства “Даму» | 14 | Высокая | Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит |
| АО НК «КазМунайГаз» | 3 | Низкая | Простой для понимания документ, не перегруженный техническими терминами |
| ОАО «Радиотехнический институт имени академика А. Л. Минца» | 42 | Очень высокая | Сложный документ для вдумчивого чтения, обыватель не станет читать — слишком много страниц |
* Полезным я называю количество страниц без оглавления, титульного листа и других страниц, не несущих конкретной информации
Политика ИБ должна умещаться в несколько страниц, быть легкой для понимания обывателя, описывать в общем виде цели ИБ, методы их достижения и ответственность сотрудников.
Внедрение и использование политики ИБ
- ознакомить с политикой всех уже работающих сотрудников;
- ознакамливать с политикой всех новых сотрудников (как это лучше делать — тема отдельного разговора, у нас для новичков есть вводный курс, на котором я выступаю с разъяснениями);
- проанализировать существующие бизнес-процессы с целью выявления и минимизации рисков;
- принимать участие в создании новых бизнес-процессов, чтобы впоследствии не бежать за поездом;
- разработать положения, процедуры, инструкции и прочие документы, дополняющие политику (инструкция по предоставлению доступа к сети интернет, инструкция по предоставлению доступа в помещения с ограниченным доступом, инструкции по работе с информационными системами компании и т.п.);
- не реже, чем раз в квартал пересматривать политику ИБ и прочие документы по ИБ с целью их актуализации.
По вопросам и предложениям добро пожаловать в комментарии и личку.
UPD001: после опубликования топика произошел интересный диалог с хабраюзером (публикую с согласия пользователя).
Вопрос %username%
Что касается политики, то начальству не нравится, что я хочу простыми словами. Мне говорят: «У нас тут кроме меня и тебя и еще 10 ИТ-сотрудников, которые сами все знают и понимают, есть 2 сотни ничего в этом не понимающих, половина вообще пенсионеры».
Я пошел по пути, средней краткости описаний, например, правила антивирусной защиты, а ниже пишу типа есть политика антивирусной защиты и т.д. Но не пойму если за политику пользователь расписывается, но опять ему надо читать кучу других документов, вроде сократил политику, а вроде бы и нет.
Я бы здесь пошел по пути именно анализа процессов.
Допустим, антивирусная защита. По логике долно быть так.
Какие риски несут нам вирусы? Нарушение целостности (повреждение) информации, нарушение доступности (простой серверов или ПК) информации. При правильной организации сети, пользователь не должен иметь прав локального администратора в системе, то есть он не должен иметь прав установки ПО (а следовательно, и вирусов) в систему. Таким образом, пенсионеры отваливаются, так как они тут дел не делают.
Кто может снизить риски, связанные с вирусами? Пользователи с правами админа домена. Админ домена — роль щепетильная, выдается сотрудникам ИТ-отделов и т.п. Соответственно, и устанавливать антивирусы должны они. Получается, что за деятельность антивирусной системы несут ответственность тоже они.
Соответственно, и подписывать инструкцию об организации антивирусной защиты должны они. Собственно, эту ответственность необходимо прописать в инструкции. Например, безопасник рулит, админы исполняют.
Вопрос %username%
Тогда вопрос, а что в инструкцию Антивирусной ЗИ не должна включаться ответственность за создание и использование вирусов(или есть статья и можно не упоминать)? Или что они обязаны сообщить о вирусе или странном поведении ПК в Help Desk или ИТишникам?
Опять же, я бы смотрел со стороны управления рисками. Здесь попахивает, так сказать, ГОСТом 18044-2007.
В вашем случае «странное поведение» это еще необязательно вирус. Это может быть тормоз системы или гпошек и т.п. Соответственно, это не инцидент, а событие ИБ. Опять же, согласно ГОСТу, заявить о событии может любой человек, а вот понять инцидент это или нет можно только после анализа.
Таким образом, этот ваш вопрос выливается уже не в политику ИБ, а в управление инцидентами. Вот в политике у вас должно быть прописано, что в компании должна присутствовать система обработки инцидентов.
Идем дальше. Обрабатывать инциденты будут уже безопасники, админы и т.п. Опять же уходим в ответственность админов и безопасников.
То есть, как видите, административное исполнение политики возлагается, в основном, на админов и безопасников. Пользователям же остается пользовательское.
Следовательно, вам необходимо составить некий «Порядок использования СВТ в компании», где вы должны указать обязанности пользователей. Этот документ должен кореллировать с политикой ИБ и быть ее, так сказать, разъяснением для пользователя.
В данном документе можно указать, что пользователь обязан уведомлять о ненормальной активности компьютера соответствующую инстанцию. Ну и все остальное пользовательское вы можете туда добавить.
- политикой ИБ (чтобы он понимал, что и зачем делается, не рыпался, не ругался при внедрении новых систем контроля и т.п.)
- этим «Порядком использования СВТ в компании» (чтобы он понимал, что конкретно делать в конкретных ситуациях)
Соответственно, при внедрении новой системы, вы просто добавляете что-то в «Порядок» и уведомляете сотрудников об этом посредством рассылки порядка по электропочте (либо через СЭД, если таковая имеется).
- информационная безопасность
- управление рисками
- политика безопасности
Источник: habr.com
