Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников
положения по:
– определению ИБ, ее целей и принципов для руководства действиями по обеспечению ИБ;
– определению ответственности разных ролей с учетом специфики управления ИБ;
– изложения намерений руководства, поддерживающих цели и принципы ИБ в соответствии со стратегией и целями бизнеса;
– процессов управления изменениями и исключениями.
В худшем случае, политика ИБ должна поддерживаться специализированными политиками, направленными на внедрение управления ИБ и созданными специально для целевых групп внутри организации или выполнения конкретных задач.
Примерами таких задач могут быть:
– управление доступом;
– классификация активов;
– физическая и экологическая безопасность;
– следующие требования к пользователям:
• использование активов;
• чистый стол и чистый экран;
• политика коммуникаций;
• мобильные устройства и удалённая работа;
• ограничения на установку ПО;
– передача информации;
– защита от вредоносного ПО;
– управление техническими уязвимостями;
– управление средствами криптографии;
– безопасность коммуникаций;
– защита персональных данных;
– взаимоотношения с поставщиками.
Эти политики должна быть доведены до сведения персонала в рамках всей организации и сторонних организаций в актуальной, доступной и понятной форме путем проведения инструктажей и тренингов.
Если какие-либо политики ИБ должны применяться за пределами организации, в них не должна содержаться конфиденциальная информация.
В качестве названий политик ИБ могут использоваться такие термины, как стандарт, руководство или правила.
Пересмотр
Меры и средства
Политика ИБ должны быть пересмотрены через запланированные промежутки времени или в случае изменений с целью обеспечения ее постоянной пригодности, адекватности и эффективности.
Рекомендации по реализации
Политика ИБ должна иметь владельца, который утвержден руководством в качестве ответственного за разработку, пересмотр и оценку. Пересмотр заключается в оценке возможностей по улучшению политики ИБ организации и подхода к УИБ в ответ на изменения организационной среды, обстоятельств бизнеса, правовых условий или технической среды.
При пересмотре политики ИБ следует учитывать результаты пересмотров методов управления, для чего должны существовать определенные процедуры, в том числе график или период пересмотра.
2. Организация ИБ
Организацию ИБ определяют следующие составляющие:
– внутренняя организация;
– мобильные устройства и удалённая работа.
2.1. Внутренняя организация
Цель: Создать структуру управления для инициирования и управления внедрением и обеспечением ИБ в организации.
Внутренняя организация сферы ИБ предполагает следующие мероприятия:
– определение