ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий

     7.2 Политика безопасности информационных технологий

Политика безопасности информационных технологий должна вырабатываться на основе содержания стратегии и целей создания системы обеспечения безопасности. Важно сформировать политику безопасности и затем проводить ее в соответствии с направленностью деятельности организации, состоянием обеспечения безопасности, содержанием политики в области информационных технологий, а также с учетом положений законодательства и нормативных документов в области обеспечения безопасности.

Как было показано в разделе 7.1, важным фактором, влияющим на содержание политики в области обеспечения безопасности информационных технологий, является то, как в организации используются эти технологии. Чем большей является необходимость их использования и чем шире организации приходится их применять, тем более практичной является потребность в обеспечении безопасности информационных технологий для достижения организацией своих деловых целей. При формировании в организации политики безопасности информационных технологий необходимо учитывать сложившуюся практику деловой деятельности, организацию и культуру ведения производства, поскольку они могут повлиять как на подход к обеспечению безопасности, так и на отдельные защитные меры, которые легко встраиваются в одни условия производственной деятельности и могут оказаться неприемлемыми в других.

Перечисленные в политике безопасности информационных технологий мероприятия, касающиеся проблем обеспечения безопасности информационных технологий, могут основываться на целях и стратегии организации, результатах проведенного ранее анализа риска систем безопасности и принципов управления, результатах проведения дополнительных мероприятий, таких как проверка действенности состояния реализованных защитных мер, результатах мониторинга и изучения процесса повседневного использования систем безопасности, а также на содержании отчетов об экстренных ситуациях, связанных с вопросами обеспечения безопасности.

Необходимо рассматривать любые случаи обнаружения серьезных угроз или уязвимостей в системе безопасности, а политика безопасности информационных технологий должна содержать описание общих методов подхода организации к решению указанных проблем обеспечения безопасности. Более подробно методы и действия по обеспечению безопасности систем информационных технологий описываются в политиках безопасности различных систем информационных технологий либо в других подобных документах, например, в инструкциях по обеспечению безопасности.

В разработке политики безопасности информационных технологий должны принимать участие:

- персонал служб аудита;

- персонал финансовых служб;

- персонал подразделений, обслуживающих информационные системы, и их пользователей;

- персонал служб, обеспечивающих функционирование вычислительной техники и инфраструктур (т.е. лиц, ответственных за состояние помещений и вспомогательного оборудования, электрооборудования и кондиционеров);

- личный состав;

- персонал служб безопасности;

- руководство организации.

В соответствии с целями безопасности и стратегией, принятой организацией для достижения этих целей, выбирается соответствующий уровень детализации политики обеспечения безопасности информационных технологий. Описание этой политики должно включать в себя, по меньшей мере, следующую информацию:

- сведения о целях и области ее применения;

- цели системы обеспечения безопасности и их соотношение с правовыми и нормативными обязательствами и деловыми целями организации;

- требования, предъявляемые к системе обеспечения безопасности информационных технологий с точки зрения обеспечения конфиденциальности, целостности, доступности, достоверности и надежности информации;

- сведения об управлении безопасностью, включающие в себя данные об ответственности и полномочиях как организации, так и отдельных лиц;

- вариант подхода к управлению риском, принятый организацией;

- пути и способы определения приоритетов при реализации защитных мер;

- сведения об общем уровне безопасности и остаточном риске, необходимых для осуществления управления;

- сведения о наличии общих правил контроля доступа (логический контроль доступа при одновременном контроле физического доступа лиц в здания, рабочие помещения, а также к системам и информации);

- сведения о доведении до персонала мер безопасности и обучении лиц, осуществляемом организацией;

- сведения об общих процедурах контроля и поддержания безопасности;

- общие проблемы обеспечения безопасности, касающиеся обслуживающего персонала;

- средства и способы доведения сути политики безопасности информационных технологий до всех заинтересованных лиц;

- обстоятельства, при которых может быть проведен пересмотр политики безопасности ИТ;

- методы контроля изменений, вносимых в политику безопасности информационных технологий организации.