5.4.1 Обзор
Политика - это свод основополагающих принципов и мер безопасности. Меры группируются по аспектам безопасности, которые привязаны к общепризнанным концепциям безопасности.
Меры, предлагаемые в соответствии с настоящей политикой, остаются базовыми и допускают масштабируемость, свободу выбора соответствующих доступных технологий и будущие усовершенствования.
Политика имеет иерархическую структуру в виде четырех уровней, как показано на рисунке 3. В центре внимания настоящего стандарта оперативная политика, которая в общем случае имеет характер методик. Оперативную политику следует понимать в рамках полной политики.
Рисунок 3 - Уровни политики
5.4.2 Руководящая политика безопасности
Политика на самом верхнем уровне организации санкционирует программу безопасности и обозначает направление. Она устанавливает общие цели безопасности организации.
Формулировка политики высшим руководством должна быть достаточно продумана и оставаться актуальной и точной при изменениях в структуре организации, в технологии системы и безопасности и в характере угроз безопасности. Будучи продуманной, политика может быть стабильной и будет нуждаться в переработке только в случае изменения исходной позиции организации в отношении безопасности. Однако формулировка политики является однозначной. Она четко определяет, что требуется.
Политика безопасности верхнего уровня организации определяет общие сферы ответственности и подотчетности для организационных сфер.
Примечание - Например, политика может определять взаимоотношения между руководством корпоративным IT-отделом и ICS и их соответствующие обязанности. Политика может разграничивать цели безопасности системы управления от целей безопасности корпоративной сети. Например, важнейшим аспектом безопасности корпоративной сети может быть сохранение конфиденциальности, в то время как важнейшим аспектом безопасности системы управления может быть обеспечение бесперебойной работы.
Кроме того, организационная политика безопасности может определять конкретные стандарты и нормы, применимые к организации в целом.
Руководству следует доводить политику безопасности до сведения всей организации, чтобы все сотрудники понимали эту политику, а также могли регистрировать последствия ее нарушений.
Политику безопасности этого уровня периодически пересматривают. Периодичность пересмотра может варьироваться в соответствии с требованиями руководства и быть чаще на первых этапах после внедрения.
Данный уровень политики безопасности ICS приведен в разделе 7.
5.4.3 Оперативная политика
Оперативные политики разрабатывают на нижних уровнях организации для определения того, как необходимо реализовывать положения корпоративной политики безопасности в соответствующих организационных сферах.
Эти политики определяют, что необходимо предпринять в отдельно взятой организационной сфере для достижения целей корпоративной политики. Они подчиняют себе регламенты безопасности, расположенные уровнем ниже.
Регламенты должны по возможности затрагивать все необходимые этапы жизненного цикла программы безопасности с точки зрения отдельно взятой организационной единицы:
- разработку системы;
- материально-техническое снабжение;
- технологический процесс;
- сопровождение системы;
- персонал;
- аудит.
В типичном случае политику на этом уровне пересматривают периодически и по определенным поводам, например, каждый раз при внедрении нового, корректировке существующего бизнес-процесса или его ликвидации.