Точный
Статус документа
Статус документа

ГОСТ Р ИСО/ТО 13569-2007 Финансовые услуги. Рекомендации по информационной безопасности (с Поправкой)

     5.4 Иерархия документации

     

    5.4.1 Общий обзор

5.4.1.1 Общие положения

В настоящем стандарте приводятся три уровня документации программы обеспечения информационной безопасности. Эти три уровня состоят из документации политики, документации практических приемов обеспечения безопасности и документации операционных процедур обеспечения безопасности*. Иерархия документации и значение каждого уровня показаны на рисунке 1.

_______________

* Номенклатура и иерархия документации не являются фиксированными. Конкретные организации могут использовать большее число уровней иерархии и различную номенклатуру документации.


Рисунок 1 - Документация программы


В документах, относящихся к информационной безопасности, должны быть охвачены как высокоуровневые цели организации, так и конкретные, относящиеся к безопасности, настройке устройств, реализующих политику. Диапазон охвата целей лучше всего представить множественными уровнями документации. Число уровней должно быть сведено к минимуму, и настоящий стандарт рекомендует использование трех уровней: документация о политике, документация практических приемов обеспечения безопасности и документация операционных эксплуатационных процедур безопасности.

По мере внедрения в конкретной организации новой прогрессивной технологии потребуются дополнительные документы. В то время как документация политики обычно представляется на одной странице, документация процедур может состоять из нескольких многостраничных документов, представляющих отдельные специфические условия, организационные единицы и вопросы политики в организации. В некоторых случаях отдельная, вполне самостоятельная система может также иметь собственную документацию практических приемов. Все практические приемы и процедуры должны переходить с более высокого уровня на детальный уровень, поддерживая согласованность с оценками риска организации с общей политикой.

5.4.1.2 Политика информационной безопасности организации

Документ политики является наименьшим по объему из всех документов в иерархии документов программы обеспечения информационной безопасности. Обычно политика состоит из нескольких параграфов, объясняющих, что руководство рассматривает информацию в любой форме как ценный ресурс организации, который нуждается в защите. Политика должна быть широкой по масштабу и сформулированной как можно более просто и сжато и предоставлять конкретную информацию об активах, нуждающихся в защите, например данные о клиентах, сотрудниках, партнерские соглашения и процессы. Очень простой документ политика безопасности может содержать следующее единственное утверждение: "Конфиденциальность, доступность и целостность всех информационных активов организации должны быть обеспечены посредством соответствующих защитных мер".

Политика безопасности - это документ, всеобъемлющий по своему масштабу и являющийся наиболее важной частью программы информационной безопасности организации, которая влияет на ее работу. Должен существовать только единственный вариант документации политики в конкретный момент, который должен быть доведен до сведения всех сотрудников организации. Данный вариант должен быть подписан членами правления организаций, имеющими отношение к информационной безопасности, например, руководителем организации и руководителем службы информационной безопасности.

Документ политики безопасности должен быть открытым, широко распространенным и доступным всем заинтересованным сторонам организации. В документе необходимо подчеркнуть, что защита и обеспечение информационных активов являются обязанностью руководства и всех служащих и что обучение и обеспечение осведомленности в области безопасности поручено руководству на самом высоком уровне.

Всем заинтересованным сторонам должно быть ясно, что документ политики вступает в силу при согласовании и утверждении его соответствующими должностными лицами организации. Документ должен содержать заявление о намерении организации действовать согласованно с соответствующими местными и международными правовыми и нормативными структурами и основывать свою программу информационной безопасности на твердых принципах и практических приемах, признанных в национальных и международных стандартах по безопасности.

Документ политики безопасности должен быть практически неизменным. Его изменение должно быть обусловлено изменениями стратегических целей, воспринимаемого бизнес-риска или событиями, влияющими на нормативную и правовую обстановку, в которой функционирует организация. Должностные лица организации и персонал на уровне правления должны предписывать процедуры и параметры контроля за внесением изменений.

5.4.1.3 Представительство

В разработке политики должны принимать участие представители различных видов деятельности. Группа разработки должна включать в себя членов совета директоров, административных лиц, представителей юридической службы, членов комитета по менеджменту риска и аудиторского комитета. Формулируя политику, группа разработки должна получить данные от специалистов всего предприятия, например специалистов по финансам, физической безопасности и информационным технологиям.

5.4.1.4 Классификация информации

Одним из аспектов реализации политики является классификация информации ограниченного доступа. Во многом схожие с "совершенно секретными", "секретными" и "несекретными" военными системами финансовые учреждения обладают информацией различной степени. Результаты классификации информационных активов показывают, когда следует внедрять "хорошие", "лучшие" или "наилучшие" меры управления. Существует много типов системы классификации. Важным моментом для финансового учреждения является определение классификационных уровней и использование классификации информации при вынесении решений о принятии риска. Например, риск, являющийся приемлемым для общественной информации, вероятно, будет неприемлемым для "совершенно секретной" информации. Преимущество классификации информации заключается в обеспечении поддержки руководства в отношении того, как служащие должны обращаться с информацией. Если документ, файл или база данных содержат информацию, относящуюся к различным иерархическим уровням, с ними следует обращаться в соответствии с процедурами, установленными для наивысшего классификационного уровня содержащейся в них информации.

Важно отметить, что классификационный уровень информации может меняться в течение срока ее действия. Внесение изменения должно контролироваться согласно политике организации.

    5.4.2 Документы практики обеспечения безопасности

Документы практики обеспечения безопасности (далее - документы практики) основаны на содержании документации политики. Данные документы определяют общие стандарты безопасности, которым должна следовать организация. Документы практики отражают намерения и цели, установленные руководством самого высокого уровня при создании программы информационной безопасности, и документируют намерение реализовать политику независимым от технологии способом. Область действия документа практики значительно уже действия документа политики. В документ практики включают требования обеспечения безопасности организации и технологии выполнения работ по ее обеспечению. Объем документа практики является переменным и зависит от его содержания.

Число документов практики должно быть сведено к минимуму. Число необходимых документов зависит от величины организации и ее бизнес-потребностей, а также объема и сложности деятельности организации. Правовая и нормативная среды, оказывающие воздействие на организацию, могут также влиять на число необходимых документов практики.

Документ практики не является общедоступным*. По своему характеру этот документ общего назначения является технологически нейтральным. Он является менее абстрактным, чем документ политики и может оказывать меньшее влияние на всю организацию, поскольку применим только к некоторым аспектам деятельности организации. Например, очень простой документ практики может содержать следующее простое утверждение: "Аутентификация доступа к информационным активам организации должна осуществляться в соответствии с уровнем конфиденциальности активов". Аутентификация по двум факторам представляет собой минимально приемлемый уровень аутентификации; доступ к активам, классифицированным обладателем информации как "конфиденциальные" должен осуществляться только посредством аутентификации по трем параметрам**. Системы управления доступом по двум факторам (биометрии и паролях) должны следовать следующим положениям..."

_______________

* Возможны обстоятельства, при котором документ практики должен быть представлен регулирующим органам.