РС БР ИББС-2.0-2007 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0
4.1. Документы первого уровня
4.1.1. Корпоративная политика ИБ определяет на высоком (общем) уровне цели и задачи обеспечения ИБ организации БС РФ, включая способы контроля реализации требований политики ИБ организации БС РФ. Корпоративная политика ИБ организации БС РФ определяет содержание, назначение и требования к деятельности по обеспечению ИБ организации БС РФ без указания специфических деталей.
4.1.2. В корпоративной политике ИБ организации БС РФ рекомендуется определять высокоуровневые правила и требования к деятельности по управлению рисками, в том числе по анализу и выработке позиций в отношении рисков.
4.1.3. Корпоративная политика ИБ организации БС РФ может быть представлена как в виде комплекта документов, так и в виде единого обобщающего документа.
________________
В названии политики ИБ должно быть указано название организации, которой принадлежит политика.
4.1.4. В корпоративную политику ИБ организации БС РФ рекомендуется включать следующие положения:
- определение ИБ в терминах деятельности данной организации БС РФ, области действия политики, целей, задач и принципов обеспечения ИБ организации БС РФ;
- изложение намерения обеспечения ИБ, направленного на достижение указанных целей и на реализацию принципов обеспечения ИБ;
- общие сведения об активах, подлежащих защите, их классификацию;
- модели угроз и нарушителей (внутреннего и внешнего) в соответствии с требованиями раздела 7 СТО БР ИББС-1.0, на противодействие которым ориентирована корпоративная политика ИБ;
- высокоуровневое изложение правил и требований в области ИБ, представляющих особую важность для организации БС РФ, например:
- обеспечение соответствия законодательным актам, нормативным документам Российской Федерации в области обеспечения ИБ и нормативным актам Банка России;
- требования к управлению ИБ;
- требования по предотвращению и обнаружению компьютерных вирусов и другого вредоносного программного обеспечения;
- требования по управлению непрерывностью бизнеса;
- санкции и последствия нарушений политики безопасности;
- определение общих ролей и обязанностей, связанных с обеспечением ИБ, включая информирование об инцидентах ИБ;
- перечень частных политик ИБ, развивающих и детализирующих положения корпоративной политики ИБ, а также указание подразделений организации БС РФ, ответственных за их соблюдение и/или реализацию;
- положения по контролю реализации корпоративной политики информационной безопасности организации БС РФ;
- ответственность за реализацию и поддержку документа;
- условия пересмотра (выпуска новой редакции) документа.
4.1.5. К разработке и согласованию корпоративной политики ИБ рекомендуется привлекать представителей следующих служб организации БС РФ, связанных с ее информационной сферой:
- руководство организации БС РФ;
- профильные подразделения;
- служба информатизации;
- служба безопасности (информационной безопасности).
4.1.6. Корпоративная политика ИБ должна быть утверждена руководителем организации БС РФ (например, председателем, генеральным директором, президентом, руководителем филиала).