ГОСТ Р ИСО/МЭК 18028-1-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности

     8 Рассмотрение требований корпоративной политики информационной безопасности

Корпоративная политика информационной безопасности организации может включать формулировки необходимости обеспечения конфиденциальности, целостности, доступности, неотказуемости, подотчетности, подлинности и достоверности, а также определения видов угроз и требования контроля, которые непосредственно связаны с сетевыми соединениями.

Например, такая политика может утверждать, что:

- главная задача - доступность определенных видов информации или услуг;

- все соединения через коммутируемые линии запрещены;

- все соединения с Интернетом следует осуществлять через шлюз безопасности;

- следует использовать определенный вид шлюза безопасности;

- любое платежное поручение (предписание) недействительно без цифровой подписи.

Такие формулировки, определения и требования, будучи применимыми в масштабах организации или сообщества, следует учитывать при определении видов рисков безопасности (см. раздел 12) и определении потенциальных сфер контроля для сетевых соединений (см. раздел 13). Если существуют любые подобные требования безопасности, они должны быть изложены в предварительном (черновом) списке потенциальных сфер контроля и при необходимости отражены в вариантах архитектуры безопасности. Рекомендации по статусу документации корпоративной политики информационной безопасности в части подхода организации к обеспечению информационной безопасности и по ее содержанию и взаимосвязи с другой документацией по безопасности установлены в стандартах ИСО/МЭК 13335-1 и ИСО/МЭК 17799.