Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология (ИТ). Практические правила управления информационной безопасностью

     4.1 Организационная инфраструктура информационной безопасности


Цель: управление информационной безопасностью в организации.

Структуру управления следует создавать так, чтобы она способствовала инициации и осуществлению контроля за внедрением информационной безопасности в организации.

Следует создавать соответствующие управляющие советы с участием высшего руководства для утверждения политики информационной безопасности, назначения ответственных лиц в области информационной безопасности, а также осуществления координации внедрения мероприятий по управлению информационной безопасностью в организации. При необходимости следует предусмотреть наличие специалиста по вопросам информационной безопасности внутри организации, к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специалистами по безопасности для того, чтобы быть в курсе отраслевых тенденций, способов и методов ее оценки, а также с целью адекватного реагирования на инциденты нарушения информационной безопасности. Следует поощрять многопрофильный подход к информационной безопасности, например, путем налаживания сотрудничества между менеджерами, пользователями, администраторами, разработчиками приложений, аудиторами и сотрудниками безопасности, а также специалистами в области страхования и управления рисками.

4.1.1 Управляющий совет по вопросам информационной безопасности

Обеспечение информационной безопасности - это ответственность высшего руководства организации, разделяемая всеми ее членами. Поэтому при формировании совета по вопросам информационной безопасности должны обеспечиваться четкое управление и реальная поддержка со стороны руководства инициатив в области безопасности. Такой совет должен способствовать укреплению безопасности в организации путем непосредственного участия руководства и выделения необходимых ресурсов. Он может быть частью существующего органа управления. Как правило, такой совет выполняет следующие функции:

- утверждение и пересмотр политики информационной безопасности и соответствующих обязанностей по ее выполнению;

- отслеживание существенных изменений в воздействиях основных угроз информационным активам;

- анализ и мониторинг инцидентов нарушения информационной безопасности;

- утверждение основных проектов в области информационной безопасности.

Кроме этого, должен быть назначен руководитель, отвечающий за все вопросы, связанные с информационной безопасностью.

4.1.2 Координация вопросов информационной безопасности

Для координации внедрения мероприятий по управлению информационной безопасностью в большой организации может потребоваться создание комитета, включающего представителей руководства заинтересованных подразделений организации.

Как правило, такой комитет:

- согласовывает конкретные функции и обязанности в области информационной безопасности в рамках всей организации;

- согласовывает конкретные методики и процедуры информационной безопасности, например, такие как оценка рисков, классификация информации с точки зрения требований безопасности;

- согласовывает и обеспечивает поддержку инициатив и проектов в области информационной безопасности в рамках всей организации, например, таких как разработка программы повышения осведомленности сотрудников в области безопасности;

- обеспечивает учет включения требований безопасности во все проекты, связанные с обработкой и использованием информации;

- оценивает адекватность и координирует внедрение конкретных мероприятий по управлению информационной безопасностью для новых систем или услуг;

- проводит анализ инцидентов нарушения информационной безопасности;

- способствует демонстрации поддержки информационной безопасности со стороны высшего руководства организации.

4.1.3 Распределение обязанностей по обеспечению информационной безопасности

Следует определить обязанности по защите отдельных активов и по выполнению конкретных процедур, связанных с информационной безопасностью.

Политика информационной безопасности (раздел 3) должна устанавливать общие принципы и правила распределения функций и обязанностей, связанных с обеспечением информационной безопасности в организации. Политику следует дополнить, где необходимо, более детальными руководствами для конкретных областей, систем или услуг. Кроме этого, должна быть четко определена конкретная ответственность в отношении отдельных материальных и информационных активов и процессов, связанных с информационной безопасностью, например, таких как планирование непрерывности бизнеса.

Во многих организациях на руководителя службы информационной безопасности возлагается общая ответственность за разработку и внедрение системы информационной безопасности, а также за оказание содействия в определении мероприятий по управлению информационной безопасностью.

В то же время ответственность за определение подлежащих защите ресурсов и реализацию мероприятий по управлению информационной безопасностью в большинстве случаев возлагается на руководителей среднего звена. Общепринятой практикой является назначение ответственного лица (администратора) для каждого информационного актива, в чьи повседневные обязанности входит обеспечение безопасности данного актива.

Администратор информационных активов может передавать свои полномочия по обеспечению безопасности какому-либо руководителю среднего звена или поставщикам услуг. Тем не менее, администратор остается ответственным за обеспечение безопасности актива и должен быть в состоянии определить, что любые переданные полномочия реализуются должным образом.

Следует устанавливать границы ответственности каждого руководителя и выполнять следующие правила:

- различные активы и процессы (процедуры) безопасности, связанные с каждой отдельной системой, должны быть выделены и четко определены;