Разработка собственных руководств организации

 

Настоящий стандарт должен расцениваться как отправная точка для разработки руководства под конкретные нужды организации. Не все инструкции и мероприятия, приведенные в настоящем стандарте, могут быть применимыми.

 

Более того, могут потребоваться дополнительные меры, не включенные в настоящий стандарт. В этом случае может быть полезным сохранение перекрестных ссылок, которые облегчат проверку соответствия, проводимую аудиторами и партнерами по бизнесу.

 

1 Область применения

 

Настоящий стандарт устанавливает рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации. Он предназначен для обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях между организациями. Рекомендации настоящего стандарта следует выбирать и использовать в соответствии с действующим законодательством.

 

2 Термины и определения

 

В настоящем стандарте применены следующие термины с соответствующими определениями:

 

2.1 информационная безопасность: Защита конфиденциальности, целостности и доступности информации.

 

Примечания   1 конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.   2 целостность: Обеспечение достоверности и полноты информации и методов ее обработки.   3 доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

 

 

2.2 оценка рисков: Оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения.

 

2.3 управление рисками: Процесс выявления, контроля и минимизации или устранения рисков безопасности, оказывающих влияние на информационные системы, в рамках допустимых затрат.

 

3 Политика безопасности

3.1 Политика информационной безопасности

 

Цель: обеспечение решения вопросов информационной безопасности и вовлечение высшего руководства организации в данный процесс.

 

Разработка и реализация политики информационной безопасности организации осуществляется высшим руководством путем выработки четкой позиции в решении вопросов информационной безопасности.

 

3.1.1 Документальное оформление

 

Политика информационной безопасности должна быть утверждена, издана и надлежащим образом доведена до сведения всех сотрудников организации. Она должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. Как минимум, политика должна включать следующее:

 

а) определение информационной безопасности, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;

 

б) изложение целей и принципов информационной безопасности, сформулированных руководством;

 

в) краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например:

 

1) соответствие законодательным требованиям и договорным обязательствам;

 

2) требования в отношении обучения вопросам безопасности;

 

3) предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;

 

4) управление непрерывностью бизнеса;

 

5) ответственность за нарушения политики безопасности;

 

г) определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;

 

д) ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.

 

Такая политика должна быть доведена до сведения всех сотрудников организации в доступной и понятной форме.

 

Пересмотр и оценка

 

Необходимо, чтобы в организации назначалось ответственное за политику безопасности должностное лицо, которое отвечало бы за ее реализацию и пересмотр в соответствии с установленной процедурой. Указанная процедура должна обеспечивать осуществление пересмотра политики информационной безопасности в соответствии с изменениями, влияющими на основу первоначальной оценки риска, например, путем выявления существенных инцидентов нарушения информационной безопасности, появление новых уязвимостей или изменения организационной или технологической инфраструктуры. Периодические пересмотры должны осуществляться в соответствии с установленным графиком и включать:

 

- проверку эффективности политики, исходя из характера, числа и последствий зарегистрированных инцидентов нарушения информационной безопасности;

 

- определение стоимости мероприятий по управлению информационной безопасностью и их влияние на эффективность бизнеса;

 

- оценку влияния изменений в технологиях.

 

4 Организационные вопросы безопасности

4.1 Организационная инфраструктура информационной безопасности

 

Цель: управление информационной безопасностью в организации.

 

Структуру управления следует создавать так, чтобы она способствовала инициации и осуществлению контроля за внедрением информационной безопасности в организации.

 

Следует создавать соответствующие управляющие советы с участием высшего руководства для утверждения политики информационной безопасности, назначения ответственных лиц в области информационной безопасности, а также осуществления координации внедрения мероприятий по управлению информационной безопасностью в организации. При необходимости следует предусмотреть наличие специалиста по вопросам информационной безопасности внутри организации, к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специалистами по безопасности для того, чтобы быть в курсе отраслевых тенденций, способов и методов ее оценки, а также с целью адекватного реагирования на инциденты нарушения информационной безопасности. Следует поощрять многопрофильный подход к информационной безопасности, например, путем налаживания сотрудничества между менеджерами, пользователями, администраторами, разработчиками приложений, аудиторами и сотрудниками безопасности, а также специалистами в области страхования и управления рисками.