"Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в...

4.3. Элементы корпоративной политики безопасности информационных и коммуникационных технологий

Корпоративная политика безопасности информационных и коммуникационных технологий должна разрабатываться на основе принятых корпоративных целей и стратегии безопасности информационных и коммуникационных технологий. Необходимо установить и поддерживать корпоративную политику безопасности информационных и коммуникационных технологий, совместимую с политиками: законодательной, нормативной, корпоративного бизнеса, безопасности и информационных и коммуникационных технологий.

Чем больше организация полагается на информационные и коммуникационные технологии, тем более важной становится безопасность информационных и коммуникационных технологий, которая обеспечивает уверенность в том, что цели бизнеса будут достигнуты. При составлении корпоративной политики безопасности информационных и коммуникационных технологий должны учитываться характеристики культуры, среды и организации, поскольку они могут влиять на подход к безопасности.

Рисунок 2. Иерархия политик

┌───────────────────────────────┐

│Корпоративная политика бизнеса,│

│выведенная из целей и стратегии│

└───────────────┬───────────────┘

┌───────────────────┐ │

│ ┌─────────────────┴┐ │

└─┤(Другие политики) │ \/

│ ┌────────────────┴┐ ┌─────────────┐ ┌──────────────────────┐

└─┤ Корпоративная │ │Корпоративная│ │Корпоративная политика│

│ политика │ │ политика │ │ информационных │

│ маркетинга │ │безопасности │ │ и коммуникационных │

└────────┬────────┘ └──────┬──────┘ │ технологий │

│ │ └────────────┬─────────┘

│ \/ │

│ ┌───────────────────────┐ │

└─────>│Политика информационной│<─────────┘

│ безопасности │

└───────────────────────┘

┌─────────────────────┐

│Политика безопасности│

│ информационных │

│ и коммуникационных │

│ технологий │

└──────────┬──────────┘

\/

┌─────────────────────────────────┐

│ Политика безопасности │

│информационных и коммуникационных│

│ технологий подразделений │

│ организации <*>

└─────────────────┬───────────────┘

┌─────┼─────┐

│ │ \/

┌─┼─────┼─────────────┐

│ │ \/ │

┌─┴─┼─────────────────┐ │

│ \/Система В ├─┘

┌─┴───────────────────┐ │

│ Система А ├─┘

│Политика безопасности│

│ информационных │

│ и коммуникационных │

│ технологий │

└─────────────────────┘

--------------------------------

<*> Глубина иерархии (число уровней) зависит от ряда факторов, например, размера организации.

Например, некоторые защитные меры, которые легко могут быть приняты в одной среде, могут стать полностью неприемлемыми в другой среде. Деятельности по безопасности, описанные в корпоративной политике безопасности информационных и коммуникационных технологий, могут быть основаны на целях и стратегии организации, на результатах предшествующего оценивания рисков безопасности и на анализах менеджмента, а также на результатах предпринятых действий, таких, как проверка соответствия безопасности реализованных защитных мер, мониторинга аудита, анализа безопасности информационных и коммуникационных технологий при повседневном использовании и отчетов по инцидентам безопасности. Любая серьезная угроза или уязвимость, обнаруженная в процессе этих деятельностей, должна быть рассмотрена с помощью корпоративной политики безопасности информационных и коммуникационных технологий, описывающей общий подход организации к решению таких проблем безопасности. Подробные действия описываются в различных политиках безопасности систем информационных и коммуникационных технологий или в других поддерживающих документах, например, в операционных процедурах безопасности.

При разработке корпоративной политики безопасности информационных и коммуникационных технологий должны участвовать представители следующих служб организации:

- аудит;

- законодательство;

- финансы;

- информационные системы (техники и пользователи);

- коммунальные услуги/инфраструктура (т.е. лица, ответственные за структуру зданий и мебель, электроснабжение и кондиционирование);

- персонал;

- безопасность;

- менеджмент бизнеса.

В соответствии с целями безопасности и стратегией, принятыми организацией для достижения своих целей, определен соответствующий уровень деталей для корпоративной политики безопасности информационных и коммуникационных технологий. Корпоративная политика безопасности информационных и коммуникационных технологий должна рассмотреть следующие общие области:

- сферу действия и назначение;

- цели безопасности относительно правовых и нормативных обязательств, а также цели бизнеса;

- требования безопасности информационных и коммуникационных технологий в терминах конфиденциальности, целостности, доступности, неотказуемости, учетности и аутентичности информации;

- ссылки к стандартам, на которых основывается политика;

- администрирование информационной безопасности, включая ответственности и полномочия, индивидуальные и организационные;

- подход менеджмента рисков, принятый организацией;

- способ определения приоритетов при реализации защитных мер;

- общий уровень безопасности и остаточного риска, найденный менеджментом;

- любые общие правила управления доступом (логический или физический доступ к зданиям, комнатам, системе и информации);

- подход к обучению и компетентности в вопросах безопасности в организации;

- общие процедуры, проверки и поддержки безопасности;

- общие вопросы безопасности персонала;

- способ ознакомления всех соответствующих лиц с политикой;

- обстоятельства, при которых политика должна пересматриваться или проходить аудит;

- метод контроля изменений в политике.

Организации должны оценивать свои требования, среду и культуру, чтобы определить специальные вопросы, которые наилучшим образом подходят для их обстоятельств. Такие вопросы могут включать:

- требования безопасности информационных и коммуникационных технологий, например в терминах конфиденциальности, целостности, доступности, неотказуемости, учетности, аутентичности и надежности, особенно с точки зрения собственных активов;

- инфраструктуру организации и распределение ответственностей;

- интеграцию безопасности в разработку и снабжение системы;

- определение методов классификации информации и классов;

- стратегии менеджмента рисков;

- планирование непрерывности бизнеса;

- вопросы персонала (особое внимание должно уделяться персоналу, требующему доверия, например, обслуживающему персоналу и системным администраторам);

- компетентность и обучение;

- правовые и нормативные обязательства;

- менеджмент аутсорсинга;

- менеджмент инцидентов информационной безопасности.

Как обсуждалось ранее в этом подразделе, результаты предыдущего анализа оценивания рисков, проверка соответствия безопасности и инциденты информационной безопасности могут влиять на корпоративную политику безопасности информационных и коммуникационных технологий. Это, в свою очередь, может потребовать, чтобы ранее определенные стратегия или политика были пересмотрены или уточнены. Чтобы обеспечить адекватную поддержку всех мер, относящихся к безопасности, корпоративная политика безопасности информационных и коммуникационных технологий должна быть одобрена руководством.

На основе корпоративной политики безопасности информационных и коммуникационных технологий должны быть разработаны указания, обязательные для выполнения всеми менеджерами и служащими. Это может потребовать подписи на документе от каждого служащего, который признает за собой ответственность за безопасность внутри организации. Далее должна быть разработана и реализована Программа компетентности и обучения безопасности, в которой указываются все эти ответственности.

Должен быть назначен ответственный за корпоративную политику безопасности информационных и коммуникационных технологий и за обеспечение того, что эта политика отражает требования и действующий статус организации. Этот ответственный обычно является официальным лицом корпоративной безопасности информационных и коммуникационных технологий, который, кроме прочего, должен отвечать и за последующую деятельность, которая включает проверку соответствия безопасности, повторные анализы и аудиты, обработку инцидентов и слабостей безопасности и любые изменения в корпоративной политике безопасности информационных и коммуникационных технологий, которые могут оказаться необходимыми в результате проведения этих действий.

4.2. Иерархия политик Приложение Б. Пример состава документов по обеспечению информационной безопасности