4.3. Элементы корпоративной политики безопасности информационных и коммуникационных технологий
Корпоративная политика безопасности информационных и коммуникационных технологий должна разрабатываться на основе принятых корпоративных целей и стратегии безопасности информационных и коммуникационных технологий. Необходимо установить и поддерживать корпоративную политику безопасности информационных и коммуникационных технологий, совместимую с политиками: законодательной, нормативной, корпоративного бизнеса, безопасности и информационных и коммуникационных технологий.
Чем больше организация полагается на информационные и коммуникационные технологии, тем более важной становится безопасность информационных и коммуникационных технологий, которая обеспечивает уверенность в том, что цели бизнеса будут достигнуты. При составлении корпоративной политики безопасности информационных и коммуникационных технологий должны учитываться характеристики культуры, среды и организации, поскольку они могут влиять на подход к безопасности.
┌───────────────────────────────┐
│Корпоративная политика бизнеса,│
│выведенная из целей и стратегии│
└───────────────┬───────────────┘
┌───────────────────┐ │
│ ┌─────────────────┴┐ │
└─┤(Другие политики) │ \/
│ ┌────────────────┴┐ ┌─────────────┐ ┌──────────────────────┐
└─┤ Корпоративная │ │Корпоративная│ │Корпоративная политика│
│ политика │ │ политика │ │ информационных │
│ маркетинга │ │безопасности │ │ и коммуникационных │
└────────┬────────┘ └──────┬──────┘ │ технологий │
│ │ └────────────┬─────────┘
│ \/ │
│ ┌───────────────────────┐ │
└─────>│Политика информационной│<─────────┘
│ безопасности │
└───────────────────────┘
┌─────────────────────┐
│ информационных │
│ и коммуникационных │
│ технологий │
└──────────┬──────────┘
│
\/
┌─────────────────────────────────┐
│информационных и коммуникационных│
│ технологий подразделений │
│ организации <*> │
└─────────────────┬───────────────┘
┌─────┼─────┐
│ │ \/
┌─┼─────┼─────────────┐
│ │ \/ │
┌─┴─┼─────────────────┐ │
┌─┴───────────────────┐ │
│Политика безопасности│
│ информационных │
│ и коммуникационных │
│ технологий │
└─────────────────────┘
--------------------------------
<*> Глубина иерархии (число уровней) зависит от ряда факторов, например, размера организации.
Например, некоторые защитные меры, которые легко могут быть приняты в одной среде, могут стать полностью неприемлемыми в другой среде. Деятельности по безопасности, описанные в корпоративной политике безопасности информационных и коммуникационных технологий, могут быть основаны на целях и стратегии организации, на результатах предшествующего оценивания рисков безопасности и на анализах менеджмента, а также на результатах предпринятых действий, таких, как проверка соответствия безопасности реализованных защитных мер, мониторинга аудита, анализа безопасности информационных и коммуникационных технологий при повседневном использовании и отчетов по инцидентам безопасности. Любая серьезная угроза или уязвимость, обнаруженная в процессе этих деятельностей, должна быть рассмотрена с помощью корпоративной политики безопасности информационных и коммуникационных технологий, описывающей общий подход организации к решению таких проблем безопасности. Подробные действия описываются в различных политиках безопасности систем информационных и коммуникационных технологий или в других поддерживающих документах, например, в операционных процедурах безопасности.
При разработке корпоративной политики безопасности информационных и коммуникационных технологий должны участвовать представители следующих служб организации:
- информационные системы (техники и пользователи);
- коммунальные услуги/инфраструктура (т.е. лица, ответственные за структуру зданий и мебель, электроснабжение и кондиционирование);
В соответствии с целями безопасности и стратегией, принятыми организацией для достижения своих целей, определен соответствующий уровень деталей для корпоративной политики безопасности информационных и коммуникационных технологий. Корпоративная политика безопасности информационных и коммуникационных технологий должна рассмотреть следующие общие области:
- сферу действия и назначение;
- цели безопасности относительно правовых и нормативных обязательств, а также цели бизнеса;
- требования безопасности информационных и коммуникационных технологий в терминах конфиденциальности, целостности, доступности, неотказуемости, учетности и аутентичности информации;
- ссылки к стандартам, на которых основывается политика;
- администрирование информационной безопасности, включая ответственности и полномочия, индивидуальные и организационные;
- подход менеджмента рисков, принятый организацией;
- способ определения приоритетов при реализации защитных мер;
- общий уровень безопасности и остаточного риска, найденный менеджментом;
- любые общие правила управления доступом (логический или физический доступ к зданиям, комнатам, системе и информации);
- подход к обучению и компетентности в вопросах безопасности в организации;
- общие процедуры, проверки и поддержки безопасности;
- общие вопросы безопасности персонала;
- способ ознакомления всех соответствующих лиц с политикой;
- обстоятельства, при которых политика должна пересматриваться или проходить аудит;
- метод контроля изменений в политике.
Организации должны оценивать свои требования, среду и культуру, чтобы определить специальные вопросы, которые наилучшим образом подходят для их обстоятельств. Такие вопросы могут включать:
- требования безопасности информационных и коммуникационных технологий, например в терминах конфиденциальности, целостности, доступности, неотказуемости, учетности, аутентичности и надежности, особенно с точки зрения собственных активов;
- инфраструктуру организации и распределение ответственностей;
- интеграцию безопасности в разработку и снабжение системы;
- определение методов классификации информации и классов;
- стратегии менеджмента рисков;
- планирование непрерывности бизнеса;
- вопросы персонала (особое внимание должно уделяться персоналу, требующему доверия, например, обслуживающему персоналу и системным администраторам);
- правовые и нормативные обязательства;
- менеджмент инцидентов информационной безопасности.
Как обсуждалось ранее в этом подразделе, результаты предыдущего анализа оценивания рисков, проверка соответствия безопасности и инциденты информационной безопасности могут влиять на корпоративную политику безопасности информационных и коммуникационных технологий. Это, в свою очередь, может потребовать, чтобы ранее определенные стратегия или политика были пересмотрены или уточнены. Чтобы обеспечить адекватную поддержку всех мер, относящихся к безопасности, корпоративная политика безопасности информационных и коммуникационных технологий должна быть одобрена руководством.
На основе корпоративной политики безопасности информационных и коммуникационных технологий должны быть разработаны указания, обязательные для выполнения всеми менеджерами и служащими. Это может потребовать подписи на документе от каждого служащего, который признает за собой ответственность за безопасность внутри организации. Далее должна быть разработана и реализована Программа компетентности и обучения безопасности, в которой указываются все эти ответственности.
Должен быть назначен ответственный за корпоративную политику безопасности информационных и коммуникационных технологий и за обеспечение того, что эта политика отражает требования и действующий статус организации. Этот ответственный обычно является официальным лицом корпоративной безопасности информационных и коммуникационных технологий, который, кроме прочего, должен отвечать и за последующую деятельность, которая включает проверку соответствия безопасности, повторные анализы и аудиты, обработку инцидентов и слабостей безопасности и любые изменения в корпоративной политике безопасности информационных и коммуникационных технологий, которые могут оказаться необходимыми в результате проведения этих действий.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей