1. Политика ИБ

1.1. Руководящие положения для ИБ

Цель: Реализовать требования политики ИБ и обеспечить поддержку для ИБ в соответствии с требованиями бизнеса и действующим законодательством.

Политика ИБ предполагает следующие мероприятия:

– документирование;

– пересмотр.

Документирование

Меры и средства

Политика ИБ документируется оформлением, утверждением, публикованием и доведением до персонала и внешних заинтересованных сторон.

Рекомендации по реализации

В лучшем случае, политика ИБ должна устанавливать ответственность руководства, а также излагать подход организации к УИБ.

Политика ИБ должна содержать требования:

– стратегии бизнеса;

– законодательства и договорных обязательств;

– защиты от существующих и потенциальных угроз ИБ.

Политика ИБ должна содержать положения по:

– определению ИБ, ее целей и принципов для руководства действиями по обеспечению ИБ;

– определению ответственности разных ролей с учетом специфики управления ИБ;

– изложения намерений руководства, поддерживающих цели и принципы ИБ в соответствии со стратегией и целями бизнеса;

– процессов управления изменениями и исключениями.

В худшем случае, политика ИБ должна поддерживаться специализированными политиками, направленными на внедрение управления ИБ и созданными специально для целевых групп внутри организации или выполнения конкретных задач.

Примерами таких задач могут быть:

– управление доступом;

– классификация активов;

– физическая и экологическая безопасность;

– следующие требования к пользователям:

• использование активов;

• чистый стол и чистый экран;

• политика коммуникаций;

• мобильные устройства и удалённая работа;

• ограничения на установку ПО;

– передача информации;

– защита от вредоносного ПО;

– управление техническими уязвимостями;

– управление средствами криптографии;

– безопасность коммуникаций;

– защита персональных данных;

– взаимоотношения с поставщиками.

Эти политики должна быть доведены до сведения персонала в рамках всей организации и сторонних организаций в актуальной, доступной и понятной форме путем проведения инструктажей и тренингов.

Если какие-либо политики ИБ должны применяться за пределами организации, в них не должна содержаться конфиденциальная информация.

В качестве названий политик ИБ могут использоваться такие термины, как стандарт, руководство или правила.

Пересмотр

Меры и средства

Политика ИБ должны быть пересмотрены через запланированные промежутки времени или в случае изменений с целью обеспечения ее постоянной пригодности, адекватности и эффективности.

Рекомендации по реализации

Политика ИБ должна иметь владельца, который утвержден руководством в качестве ответственного за разработку, пересмотр и оценку. Пересмотр заключается в оценке возможностей по улучшению политики ИБ организации и подхода к УИБ в ответ на изменения организационной среды, обстоятельств бизнеса, правовых условий или технической среды.

При пересмотре политики ИБ следует учитывать результаты пересмотров методов управления, для чего должны существовать определенные процедуры, в том числе график или период пересмотра.