Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология (ИТ). Практические правила управления информационной безопасностью

     

     3.1 Политика информационной безопасности


Цель: обеспечение решения вопросов информационной безопасности и вовлечение высшего руководства организации в данный процесс.

Разработка и реализация политики информационной безопасности организации осуществляется высшим руководством путем выработки четкой позиции в решении вопросов информационной безопасности.

3.1.1 Документальное оформление

Политика информационной безопасности должна быть утверждена, издана и надлежащим образом доведена до сведения всех сотрудников организации. Она должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. Как минимум, политика должна включать следующее:

а) определение информационной безопасности, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;

б) изложение целей и принципов информационной безопасности, сформулированных руководством;

в) краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например:

1) соответствие законодательным требованиям и договорным обязательствам;

2) требования в отношении обучения вопросам безопасности;

3) предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;

4) управление непрерывностью бизнеса;

5) ответственность за нарушения политики безопасности;

г) определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;

д) ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.

Такая политика должна быть доведена до сведения всех сотрудников организации в доступной и понятной форме.

3.1.2 Пересмотр и оценка

Необходимо, чтобы в организации назначалось ответственное за политику безопасности должностное лицо, которое отвечало бы за ее реализацию и пересмотр в соответствии с установленной процедурой. Указанная процедура должна обеспечивать осуществление пересмотра политики информационной безопасности в соответствии с изменениями, влияющими на основу первоначальной оценки риска, например, путем выявления существенных инцидентов нарушения информационной безопасности, появление новых уязвимостей или изменения организационной или технологической инфраструктуры. Периодические пересмотры должны осуществляться в соответствии с установленным графиком и включать:

- проверку эффективности политики, исходя из характера, числа и последствий зарегистрированных инцидентов нарушения информационной безопасности;

- определение стоимости мероприятий по управлению информационной безопасностью и их влияние на эффективность бизнеса;

- оценку влияния изменений в технологиях.