Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий (с Поправкой)

     4.2 Иерархия политик


Политика безопасности организации может состоять из принципов безопасности и директив для организации в целом. Политика безопасности организации должна отражать более широкий круг аспектов политики организации, включая аспекты, которые касаются прав личности, законодательных требований и стандартов.

Политика информационной безопасности может содержать принципы и директивы, специфичные для защиты чувствительной и ценной или иной важной для организации информации. Содержащиеся в ней принципы строятся на основе принципов политики безопасности и, таким образом, согласованы с ними.

Политика безопасности ИТТ организации должна отражать существенные принципы безопасности ИТТ и директивы, применимые к политике безопасности и политике информационной безопасности, и порядок использования ИТТ в организации.

Политика безопасности ИТТ должна отражать принципы безопасности и директивы, содержащиеся в политике безопасности ИТТ организации. Она должна также содержать детали особых требований безопасности и защитных мер, подлежащих реализации, и процедуры правильного использования защитных мер для обеспечения адекватной безопасности. Во всех случаях важно, чтобы принятый подход был эффективен в отношении потребностей бизнеса организации.

В некоторых случаях политика безопасности ИТТ может быть включена в состав технической и управленческой политики организации, которые вместе составляют основу политики ИТТ. Эта политика должна содержать несколько убедительных положений важности безопасности, если она необходима для соблюдения данной политики. Пример иерархических отношений, которые могут возникать между политиками, показан на рисунке 3. Вне зависимости от организационной структуры или документации, принятой в организации, важно, чтобы учитывались различные стороны политики и поддерживалась их согласованность.

________________

* Глубина иерархии (число слов) зависит от нескольких факторов (например размера организации).

Рисунок 3 - Иерархия политик



Другие более детальные политики безопасности требуются для специфических систем и услуг или групп ИТТ и услуг. Эти политики обычно известны как политики безопасности ИТТ. С позиций управления очень важно, чтобы их предмет и границы были ясны и базировались одновременно на бизнес-требованиях и технических требованиях.