ПРИМЕР
требований международного стандарта ISO/IEC 13335-1 к структуре (иерархии)
и содержанию внутренних документов ИБ организации
В данном приложении приведен пример требований международного стандарта ISO/IEC 13335-1 к составу и содержанию внутренних документов ИБ организации, соответствующий подразделам 4.2 и 4.3 указанного международного стандарта.
4.2. Иерархия политик
Корпоративная политика безопасности может состоять из принципов безопасности и указаний для организации в целом. Корпоративные политики безопасности должны отражать более широкие политики, включая те, которые касаются прав личности, требований и стандартов закона.
Политика информационной безопасности может содержать принципы и указания, относящиеся к защите информации, которая является чувствительной или важной для организации. Принципы, содержащиеся в политике информационной безопасности, извлекаются из принципов корпоративной политики безопасности и, таким образом, согласованы с ними.
Корпоративная политика безопасности информационных и коммуникационных технологий должна отражать существенные принципы безопасности информационных и коммуникационных технологий и указания, применимые к корпоративной политике безопасности и политике информационной безопасности, а также общие положения использования систем информационных и коммуникационных технологий внутри организации.
Политика безопасности систем информационных и коммуникационных технологий должна отражать принципы безопасности и указания, содержащиеся в корпоративной политике безопасности информационных и коммуникационных технологий. Она должна также содержать детали конкретных требований безопасности и защитных мер, подлежащих реализации, и процедур для правильного использования защитных мер с целью обеспечения адекватной безопасности. Во всех случаях важно, чтобы выбранный подход был эффективным по отношению к потребностям бизнеса организации.
Там, где это целесообразно, корпоративная политика безопасности информационных и коммуникационных технологий может быть включена в спектр политик - технических политик и политик менеджмента, которые все вместе образуют базис для корпоративной политики информационных и коммуникационных технологий. Эта политика должна включать некоторые убедительные слова о важности безопасности, особенно если безопасность необходима для согласования с этой политикой. На рисунке 2 показан пример возможного иерархического отношения политик. Независимо от документации и организационной структуры важно, чтобы учитывались различные положения описанных политик и поддерживалась согласованность между ними.
Другие, более детальные политики безопасности информационных и коммуникационных технологий требуются для специальных систем и услуг или группы систем и услуг информационных и коммуникационных технологий. Они обычно называются политиками безопасности систем информационных и коммуникационных технологий. Важным аспектом менеджмента является то, чтобы сфера и границы таких политик были четко определены, а сами политики были основаны на технических требованиях и требованиях бизнеса.
4.3. Элементы корпоративной политики безопасности информационных
и коммуникационных технологий
Корпоративная политика безопасности информационных и коммуникационных технологий должна разрабатываться на основе принятых корпоративных целей и стратегии безопасности информационных и коммуникационных технологий. Необходимо установить и поддерживать корпоративную политику безопасности информационных и коммуникационных технологий, совместимую с политиками: законодательной, нормативной, корпоративного бизнеса, безопасности и информационных и коммуникационных технологий.
Чем больше организация полагается на информационные и коммуникационные технологии, тем более важной становится безопасность информационных и коммуникационных технологий, которая обеспечивает уверенность в том, что цели бизнеса будут достигнуты. При составлении корпоративной политики безопасности информационных и коммуникационных технологий должны учитываться характеристики культуры, среды и организации, поскольку они могут влиять на подход к безопасности.
Рисунок 2. Иерархия политик
________________
* Глубина иерархии (число уровней) зависит от ряда факторов, например, размера организации.
Например, некоторые защитные меры, которые легко могут быть приняты в одной среде, могут стать полностью неприемлемыми в другой среде. Деятельности по безопасности, описанные в корпоративной политике безопасности информационных и коммуникационных технологий, могут быть основаны на целях и стратегии организации, на результатах предшествующего оценивания рисков безопасности и на анализах менеджмента, а также на результатах предпринятых действий, таких, как проверка соответствия безопасности реализованных защитных мер, мониторинга аудита, анализа безопасности информационных и коммуникационных технологий при повседневном использовании и отчетов по инцидентам безопасности. Любая серьезная угроза или уязвимость, обнаруженная в процессе этих деятельностей, должна быть рассмотрена с помощью корпоративной политики безопасности информационных и коммуникационных технологий, описывающей общий подход организации к решению таких проблем безопасности. Подробные действия описываются в различных политиках безопасности систем информационных и коммуникационных технологий или в других поддерживающих документах, например, в операционных процедурах безопасности.
При разработке корпоративной политики безопасности информационных и коммуникационных технологий должны участвовать представители следующих служб организации:
- аудит;
- законодательство;
- финансы;
- информационные системы (техники и пользователи);
- коммунальные услуги/инфраструктура (т.е. лица, ответственные за структуру зданий и мебель, электроснабжение и кондиционирование);
- персонал;