X-PDF

Политика системы менеджмента информационной безопасности

Поделиться статьей

Политика (или, если больше нравится – правила) системы менеджмента информационной безопасности определяет основные подходы к организации системы обеспечения информационной безопасности как объекта менеджмента (управления) и, таким образом, должна содержать модель объекта управления и принципы, обеспечивающие его управляемость.

«Моделирование» объекта управления, в основном, заключается в определении области приложения и границы действия СМИБ, описывающее в терминах и с учетом процессов деловой активности организации структуру, взаимосвязь и местоположение активов и технологий. Как правило, это – перечень информационных активов, имеющих (по определению!) ценность для организации, а также – объектов инфраструктуры, обеспечивающие их «работоспособность» и/или «сохранность». В рамках Политики данные объекты могут быть определены достаточно укрупненно, детальный же перечень – область ответственности процедуры «А.7. Менеджмент активов».

Здесь же должны быть определены с детальным описанием и обоснованием любые исключения из области действия СМИБ в случае, если риски по соответствующим активам и связанным с ними объектам обработаны так, что они не влияют на способность и/или обязанность организации обеспечить уровень защиты информации, удовлетворяющий требованиям внутренних и внешних нормативов. Сюда, например, могут попасть внешние по отношению к организации центры обработки данных или «облачные» услуги, взаимоотношение с поставщиками которых определено договорами и соглашениями об уровнях обслуживания (SLA), а остаточные риски «покрыты», например, страховкой. Хотя, если организация в этом случае приняла все перечисленные меры, то можно сказать, что риски, связанные с данными активами она обработала и это часть ее Политики СМИБ.

«Контур управления» СМИБ определяется задачами СМИБ и формулируется в виде Концепции обеспечения ИБ, включающей цели, основные направления и принципы действий в этой сфере. Концепция принимает во внимание требования деловых процессов, нормативную базу общественной среды, в которой функционирует организация, а также договорные обязательства по защите информации. Основой организации СМИБ концепция должна утверждать принципы управления рисками ИБ, принятые в организации.

Согласно Стандарту 27001, политика СМИБ рассматривается как расширенная политика информационной безопасности, причем политика СМИБ, по сути, имеет приоритет перед политикой ИБ.

Политика СМИБ и/или Политика ИБ должны быть закреплены документально в соответствующей форме и утверждены высшим руководством организации.

Стандарт допускает, что Политики СМИБ и ИБ могут быть изложены в одном документе. Однако также принято считать, что Политика ИБ должна быть изложена кратко и четко, а также направлена на публичную сферу, вплоть до публикации на сайте организации или в СМИ. Концепция ИБ, а значит и основные положения Политики СМИБ, может носить более развернутый, но и более закрытый характер и быть документом исключительно внутреннего использования (например, ДСП). В этом случае, разумнее оформлять их в виде разных документов.

Например, политика СМИБ банка может звучать примерно так:

— присоединяемся к Стандарту СТО БР ИББС и создаем систему обеспечения информационной безопасности на его основе .

— цель защиты информации – обеспечение работоспособности организации в условиях умеренных угроз, безопасность сотрудников и клиентов, защищенность операций .

Представленная информация была полезной?
ДА
59.36%
НЕТ
40.64%
Проголосовало: 753

— для обеспечения ИБ организуем подразделение с собственным бюджетом, курируемое тем же зампредом, что курирует службу экономической безопасности .

— о результатах деятельности служба оперативно отчитывается перед куратором, раз в полгода – перед правлением .

—область действия СМИБ распространяется на все подразделения и службы, кроме тех, что предоставляются владельцем арендуемого здания (пожарная охрана, телефонная связь, охрана внешнего периметра здания), но вопросы ИБ дополнительно прописываются в договорах с арендодателем .

— необходимо разработать систему документальной поддержки СМИБ и разработать соответствующие документы . ответственные – служба ИБ .

— риски ИБ обрабатывать как операционные риски, периодически проводя анализ рисков ИБ . ответственные – управление рисками, служба ИБ, служба ИТ, ответственные за направления бизнеса .

— контроль за деятельностью службы ИБ осуществляет служба внутреннего контроля.

Т.е. политика СМИБ формулирует основные задачи и подходы обеспечения ИБ в организации, которые в дальнейшем должны быть развиты и воплощены в документы, процедуры и конкретные меры обеспечения ИБ.

В процедурах СМИБ должно быть предусмотрено, что политика СМИБ может и должна периодически и/или событийно пересматриваться и уточняться, с учетом того что её положения определяют стратегию функционирования и развития СМИБ в организации. Как правило, к событиям, требующим смены концепции СМИБ, можно отнести слияния и поглощения организаций, существенные изменения в архитектуре информационных систем, передача большой части сервисов и служб на аутсорсинг и т.п. события стратегического уровня.


Поделиться статьей
Автор статьи
Анастасия
Анастасия
Задать вопрос
Эксперт
Представленная информация была полезной?
ДА
59.36%
НЕТ
40.64%
Проголосовало: 753

или напишите нам прямо сейчас:

Написать в WhatsApp Написать в Telegram

ОБРАЗЦЫ ВОПРОСОВ ДЛЯ ТУРНИРА ЧГК

Поделиться статьей

Поделиться статьей(Выдержка из Чемпионата Днепропетровской области по «Что? Где? Когда?» среди юношей (09.11.2008) Редакторы: Оксана Балазанова, Александр Чижов) [Указания ведущим:


Поделиться статьей

ЛИТЕЙНЫЕ ДЕФЕКТЫ

Поделиться статьей

Поделиться статьейЛитейные дефекты — понятие относительное. Строго говоря, де­фект отливки следует рассматривать лишь как отступление от заданных требований. Например, одни


Поделиться статьей

Введение. Псковская Судная грамота – крупнейший памятник феодального права эпохи феодальной раздробленности на Руси

Поделиться статьей

Поделиться статьей1. Псковская Судная грамота – крупнейший памятник феодального права эпохи феодальной раздробленности на Руси. Специфика периода феодальной раздробленности –


Поделиться статьей

Нравственные проблемы современной биологии

Поделиться статьей

Поделиться статьейЭтические проблемы современной науки являются чрезвычайно актуальными и значимыми. В связи с экспоненциальным ростом той силы, которая попадает в


Поделиться статьей

Семейство Первоцветные — Primulaceae

Поделиться статьей

Поделиться статьейВключает 30 родов, около 1000 видов. Распространение: горные и умеренные области Северного полушария . многие виды произрастают в горах


Поделиться статьей

Вопрос 1. Понятие цены, функции и виды. Порядок ценообразования

Поделиться статьей

Поделиться статьейЦенообразование является важнейшим рычагом экономического управления. Цена как экономическая категория отражает общественно необходимые затраты на производство и реализацию туристского


Поделиться статьей

или напишите нам прямо сейчас:

Написать в WhatsApp Написать в Telegram
Заявка
на расчет