ГОСТ Р ИСО/МЭК 27002-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности
5.1 Руководящие указания в части информационной безопасности
Цель: Обеспечить управление и поддержку высшим руководством информационной безопасности в соответствии с требованиями бизнеса, соответствующими законами и нормативными актами. |
5.1.1 Политики информационной безопасности
Мера обеспечения ИБ
Совокупность политик ИБ должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон.
Руководство по применению
На высоком уровне организация должна определить "политику ИБ", которую утверждает руководство и в которой изложен подход организации к достижению целей ИБ.
Политики ИБ должны учитывать требования, порождаемые:
a) бизнес-стратегией;
b) нормативными актами, требованиями регуляторов, договорами;
c) текущей и прогнозируемой средой угроз ИБ.
Политика ИБ должна содержать положения, касающиеся:
a) определения ИБ, целей и принципов, которыми необходимо руководствоваться в рамках деятельности, связанной с ИБ;
b) определения ролей по менеджменту ИБ и распределения общих и конкретных обязанностей;
c) процессов обработки отклонений и исключений;
d) лиц, несущих ответственность за неисполнение политик ИБ.
На более низком уровне политику ИБ необходимо поддерживать политиками, относящимися к конкретным направлениям в обеспечении ИБ, которые далее предусматривают внедрение мер обеспечения ИБ и, как правило, структурируются для удовлетворения потребностей определенных групп в организации или для охвата определенных областей.
Примерами таких областей политик могут быть:
a) управление доступом (раздел 9);
b) категорирование и обработка информации (см. 8.2);
c) физическая безопасность и защита от воздействия окружающей среды (раздел 11);
d) области, ориентированные на конечного пользователя:
1) допустимое использование активов (см. 8.1.3);
2) "чистый стол" и "чистый экран" (см. 11.2.9);
3) передача информации (см. 13.2.1);
4) мобильные устройства и дистанционная работа (см. 6.2);
5) ограничения на установку и использование программного обеспечения (см. 12.6.2);