Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий (с Поправкой)

     

     4 Цели, стратегии и политика


В качестве основы действенной безопасности ИТТ организации должны быть сформулированы цели, стратегии и политика безопасности организации. Они содействуют деятельности организации и обеспечивают согласованность всех защитных мер. Для того, чтобы обеспечить подобную согласованность, особенно важно, чтобы цели, стратегия и политика безопасности были интегрированы в программы обучения и повышения квалификации в области безопасности.

Цели (чего необходимо достичь), стратегии (способы достижения цели), политика (правила, которые следует соблюдать при реализации стратегий) и процедуры (методы осуществления политики) могут быть определены и раскрыты в соответствующих подразделениях и на соответствующих уровнях организации. Руководящие документы должны отражать организационные требования и учитывать организационные ограничения. Поскольку многие угрозы (например атаки хакеров, удаление файлов, пожар) являются распространенными, важна согласованность между соответствующими документами.

Более того, общие цели, стратегии и политика должны быть отражены и уточнены в детальных и специфических целях, политике и процедурах во всех сферах интереса организации, таких как управление финансами, персоналом и безопасностью. Далее безопасность подразделяют на составляющие (связанную с персоналом, физическую, информационную, ИТТ безопасность и т.д.). Иерархия документации должна поддерживаться и актуализироваться по результатам периодического анализа безопасности (например по результатам оценки рисков, внешнего и внутреннего аудита безопасности) и в связи с изменениями целей деятельности организации.

Цели, стратегии, политика и методы безопасности ИТТ должны отображать то, что ожидается от ИТТ в сфере безопасности. Как правило, их излагают на общепринятом языке, однако в некоторых случаях может возникнуть и потребность изложить их более формально с использованием специфической терминологии. Цели, стратегия, политика определяют уровень безопасности для организации и порог приемлемого риска.