Как театр начинается с вешалки, так и построение системы информационной безопасности начинается составлением и утверждением политики информационной безопасности.
Основой для составления политики информационной безопасности, регламентов и инструкций являются множество стандартов, руководящих документов и лучших мировых практик. «В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами». Для обеспечения информационной безопасности должны быть сформулированы цели, задачи политики информационной безопасности. На основе сформулированных задач, выбираются и согласовываются все защитные меры и функции. Для полной согласованности необходимо помнить, что цели и задачи информационной безопасности должны лежать в одной плоскости с целями и задачами бизнеса.
Так как мы определили что, защите подлежать активы, то нормативно-правовые акты могут быть составлены по признаку защиты активов. Здесь уже вступает в силу иерархичность политики, так как из описания цели, мы приходим к реализации процедур и функций.
Принимать участие в политике информационной безопасности должны все заинтересованные личности или подразделения. Политика информационной безопасности должна соответствовать действующему законодательству, требованиям регулирующих органов, требованиям ведомственных структур, требованиям бизнеса.
Иерархическая структура документации согласно ГОСТ Р ИСО-МЭК 13569-2005.Финансовые услуги. Рекомендации по информационной безопасности состоит из трех уровнейДокументы 1-о уровня являются наименьшими по объему из всего множества документов. Стандарт ГОСТ Р ИСО/МЭК 27003 указывают, что политики могут иметь вид:
1. Краткое изложение политики – Общее описание из одного двух предложений.
2. Введение – краткое объяснение предмета.
3. Область действий – описывает части или действия организации, находящиеся под влиянием политики.
4. Цели – описание назначение политики.
5. Принципы – описание правил, касающихся действий и решений для достижения целей.
6. Сферы ответственности – кто отвечает за действия по выполнению требований политики.
7. Ключевые результаты – описание результатов, получаемых предприятием, если цели достигнуты.
8. Связанные политики – описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.
Документы второго уровня в большинстве своем, является документами ограниченного распространения, которые в общих чертах описывают механизмы системы защиты информации.
Например: «Для предотвращения несанкционированного доступа к информационным ресурсам компании, расположенным в локально-вычислительной сети организации должна применяться двухфакторная аутентификация»
Документы третьего уровня являются документами продолжающими вышестоящие документы, но описывающие процедуры и функции по защите информации. Такие документы часто называют документами операционного уровня. В них описываются действия и инструкции для всех субъектов участвующих в информационном обмене. Инструкции могут быть расписаны по ролям в бизнес-процессах компании, или основываться на штатном расписании. Например: «длина пароля не должна быть меньше 8 символов», или «после 3 неудачных попыток ввода пароля, учетная запись блокируется».
Комментариев нет:
Отправить комментарий