Подписаться на рассылку новых сообщений в блоге

Постоянные читатели

понедельник, 4 июня 2012 г.

Политика ИБ

Как театр начинается с вешалки, так и построение системы информационной безопасности начинается составлением и утверждением политики информационной безопасности.
Основой для составления политики информационной безопасности, регламентов и инструкций являются множество стандартов, руководящих документов и лучших мировых практик. «В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами». Для обеспечения информационной безопасности должны быть сформулированы цели, задачи политики информационной безопасности. На основе сформулированных задач, выбираются и согласовываются все защитные меры и функции. Для полной согласованности необходимо помнить, что цели и задачи информационной безопасности должны лежать в одной плоскости с целями и задачами бизнеса.
Так как мы определили что, защите подлежать активы, то нормативно-правовые акты могут быть составлены по признаку защиты активов. Здесь уже вступает в силу иерархичность политики, так как из описания цели, мы приходим к реализации процедур и функций.
Принимать участие в политике информационной безопасности должны все заинтересованные личности или подразделения. Политика информационной безопасности должна соответствовать действующему законодательству, требованиям регулирующих органов, требованиям ведомственных структур, требованиям бизнеса. 
Иерархическая структура документации согласно ГОСТ Р ИСО-МЭК 13569-2005.Финансовые услуги. Рекомендации по информационной безопасности состоит из трех уровней


Документы 1-о уровня являются наименьшими по объему из всего множества документов. Стандарт ГОСТ Р ИСО/МЭК 27003 указывают, что политики могут иметь вид:
1.     Краткое изложение политики – Общее описание из одного двух предложений.
2.     Введение –   краткое объяснение предмета.
3.     Область действий – описывает части или действия организации, находящиеся под влиянием политики.
4.     Цели – описание назначение политики.
5.     Принципы – описание правил, касающихся действий и решений для достижения целей.
6.     Сферы ответственности – кто отвечает за действия по выполнению требований политики.
7.     Ключевые  результаты – описание результатов, получаемых предприятием, если цели достигнуты.
8.     Связанные политики – описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.
Документы второго уровня в большинстве своем, является документами ограниченного распространения, которые в общих чертах описывают механизмы системы защиты информации.
Например: «Для предотвращения несанкционированного доступа к информационным ресурсам компании, расположенным в локально-вычислительной сети организации должна применяться двухфакторная аутентификация»
Документы третьего уровня являются документами продолжающими вышестоящие документы, но описывающие процедуры и функции по защите информации. Такие документы часто называют документами операционного уровня. В них описываются действия и инструкции для всех субъектов участвующих в информационном обмене. Инструкции могут быть расписаны по ролям в бизнес-процессах компании, или основываться на штатном расписании. Например: «длина пароля не должна быть меньше 8 символов», или  «после 3 неудачных попыток ввода пароля, учетная запись блокируется».  

Комментариев нет:

Отправить комментарий