ГОСТ Р ИСО/МЭК 27011-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002
6.1 Задачи, решаемые внутри организации
Цель: Осуществлять менеджмент информационной безопасности в рамках организации. |
Должна быть создана структура менеджмента для инициирования и контроля обеспечения информационной безопасности в организации. |
Высшее руководство должно утверждать политику информационной безопасности организации, назначать ответственных лиц в области политики информационной безопасности, а также координировать и анализировать внедрение информационной безопасности в организации. |
При необходимости следует предусмотреть наличие контактного лица, занимающегося вопросами информационной безопасности внутри организации и к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специалистами по безопасности или группами |
специалистов, включая соответствующие органы, чтобы находиться в курсе отраслевых тенденций, осуществлять мониторинг стандартов и методов оценки, и обеспечивать адекватные точки контакта при обработке инцидентов информационной безопасности. Следует поощрять многопрофильный подход к обеспечению информационной безопасности. |
6.1.1 Обязательства руководства по отношению к информационной безопасности
Применять пункт 6.1.1 ИСО/МЭК 27002.
6.1.2 Координация вопросов информационной безопасности
Применять пункт 6.1.2 ИСО/МЭК 27002.
6.1.3 Распределение обязанностей по обеспечению информационной безопасности
Применять пункт 6.1.3 ИСО/МЭК 27002.
6.1.4 Процесс получения разрешения на использование средств обработки информации
Применять пункт 6.1.4 ИСО/МЭК 27002.
6.1.5 Соглашения о конфиденциальности
Мера и средство контроля и управления
Требования в отношении соглашений о конфиденциальности или неразглашении, отражающие потребности организации в защите информации, должны определяться и регулярно пересматриваться.
Рекомендация по реализации
В соглашениях о конфиденциальности или неразглашении должно содержаться требование о защите конфиденциальной информации, выраженное юридическими терминами, имеющими исковую силу. Чтобы определить требования для соглашений о конфиденциальности или неразглашении, необходимо учесть следующие факторы:
a) определение информации, подлежащей защите (например, конфиденциальная информация);
b) предполагаемый срок действия соглашения, включая случаи, когда может возникнуть необходимость в неограниченной поддержке конфиденциальности;
c) необходимые действия при окончании срока действия соглашения;
d) обязанности и действия лиц, подписавших соглашение, с целью предотвращения несанкционированного разглашения информации (например, по принципу "необходимого знания");
e) владение информацией, коммерческие тайны и интеллектуальная собственность, и как это связано с защитой конфиденциальной информации;
f) разрешенное использование конфиденциальной информации и права лиц, подписавших соглашение, в отношении использования информации;
g) право подвергать аудиту и мониторингу деятельность, связанную с конфиденциальной информацией;
h) процедуру предупреждения и сообщения о несанкционированном разглашении или нарушениях, связанных с конфиденциальной информацией;
i) условия возврата или уничтожения информации в случае приостановления действия соглашения;
j) предполагаемые действия, которые должны быть предприняты в случае нарушения данного соглашения.
В зависимости от требований безопасности организации, могут потребоваться дополнительные элементы соглашения о конфиденциальности или неразглашении.
Соглашения о конфиденциальности и неразглашении должны соответствовать всем применимым законам и нормам, под юрисдикцию которых они подпадают (см. также пункт 15.1.1 ИСО/МЭК 27002).