 |
Термины и определения
|
|
|
|
В настоящем стандарте применены следующие термины с соответствующими определениями:
2.1 информационная безопасность: Защита конфиденциальности, целостности и доступности информации.
| Примечания 1 конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям. 2 целостность: Обеспечение достоверности и полноты информации и методов ее обработки. 3 доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости. |
2.2 оценка рисков: Оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения.
2.3 управление рисками: Процесс выявления, контроля и минимизации или устранения рисков безопасности, оказывающих влияние на информационные системы, в рамках допустимых затрат.
Политика безопасности
Политика информационной безопасности
Цель: обеспечение решения вопросов информационной безопасности и вовлечение высшего руководства организации в данный процесс.
Разработка и реализация политики информационной безопасности организации осуществляется высшим руководством путем выработки четкой позиции в решении вопросов информационной безопасности.
Документальное оформление
Политика информационной безопасности должна быть утверждена, издана и надлежащим образом доведена до сведения всех сотрудников организации. Она должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. Как минимум, политика должна включать следующее:
|
|
|
а) определение информационной безопасности, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;
б) изложение целей и принципов информационной безопасности, сформулированных руководством;
в) краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например:
1) соответствие законодательным требованиям и договорным обязательствам;
2) требования в отношении обучения вопросам безопасности;
3) предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;
4) управление непрерывностью бизнеса;
5) ответственность за нарушения политики безопасности;
г) определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;
д) ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.
Такая политика должна быть доведена до сведения всех сотрудников организации в доступной и понятной форме.
Пересмотр и оценка
Необходимо, чтобы в организации назначалось ответственное за политику безопасности должностное лицо, которое отвечало бы за ее реализацию и пересмотр в соответствии с установленной процедурой. Указанная процедура должна обеспечивать осуществление пересмотра политики информационной безопасности в соответствии с изменениями, влияющими на основу первоначальной оценки риска, например, путем выявления существенных инцидентов нарушения информационной безопасности, появление новых уязвимостей или изменения организационной или технологической инфраструктуры. Периодические пересмотры должны осуществляться в соответствии с установленным графиком и включать:
|
|
|
- проверку эффективности политики, исходя из характера, числа и последствий зарегистрированных инцидентов нарушения информационной безопасности;
- определение стоимости мероприятий по управлению информационной безопасностью и их влияние на эффективность бизнеса;
- оценку влияния изменений в технологиях.
4 Организационные вопросы безопасности
Организационная инфраструктура информационной безопасности
Цель: управление информационной безопасностью в организации.
Структуру управления следует создавать так, чтобы она способствовала инициации и осуществлению контроля за внедрением информационной безопасности в организации.
Следует создавать соответствующие управляющие советы с участием высшего руководства для утверждения политики информационной безопасности, назначения ответственных лиц в области информационной безопасности, а также осуществления координации внедрения мероприятий по управлению информационной безопасностью в организации. При необходимости следует предусмотреть наличие специалиста по вопросам информационной безопасности внутри организации, к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специалистами по безопасности для того, чтобы быть в курсе отраслевых тенденций, способов и методов ее оценки, а также с целью адекватного реагирования на инциденты нарушения информационной безопасности. Следует поощрять многопрофильный подход к информационной безопасности, например, путем налаживания сотрудничества между менеджерами, пользователями, администраторами, разработчиками приложений, аудиторами и сотрудниками безопасности, а также специалистами в области страхования и управления рисками.
Управляющий совет по вопросам информационной безопасности
Обеспечение информационной безопасности - это ответственность высшего руководства организации, разделяемая всеми ее членами. Поэтому при формировании совета по вопросам информационной безопасности должны обеспечиваться четкое управление и реальная поддержка со стороны руководства инициатив в области безопасности. Такой совет должен способствовать укреплению безопасности в организации путем непосредственного участия руководства и выделения необходимых ресурсов. Он может быть частью существующего органа управления. Как правило, такой совет выполняет следующие функции:
|
|
|
- утверждение и пересмотр политики информационной безопасности и соответствующих обязанностей по ее выполнению;
- отслеживание существенных изменений в воздействиях основных угроз информационным активам;
- анализ и мониторинг инцидентов нарушения информационной безопасности;
- утверждение основных проектов в области информационной безопасности.
Кроме этого, должен быть назначен руководитель, отвечающий за все вопросы, связанные с информационной безопасностью.
|
|
|
