• Пользователи
• Компания
• Руководитель по ИТ
• Руководитель по ИБ
7. Требования к нормативным документам Р1Б
8. Контроль соблюдения ИБ
9. Соответствие законодательству
10. Исключения
11. История изменений
12. Приложения
В первом разделе приводятся определения и разъяснение в отношении терминов, которые используются в документе (например. Владелец информации - ..., Информационная безопасность - ... и пр.). Это облегчает восприятие материала документа и повышает общую культуру специалиста, который не на «ты» с вопросами ИБ и ИТ.
Во введении объясняется причина, по которой компания обращается к решению вопросов обеспечения информационной безопасности.
В третьем разделе формулируется цель, ради которой создастся документ. Кроме того, формулируется те подцели, которые должны быть достигнуты на основе Политики ИБ, при разработке документарного обеспечения безопасности, внедрении защитных мер и средств и принятии управленческих решений.
Область действия Политики устанавливает границы действия ее принципов и положений. Например, она может внедряться централизованно во всех подразделениях головной компании, офисах и дочерних структурах, или может действовать только в управляющей компании, или допускать некоторые исключения для дочерних структур, что должно быть оговорено особо.
Пятый раздел документа наиболее объемен и содержит те основополагающие утверждения, которые являются для компании руководством к действию в вопросе обеспечения ИБ. Формулируется принципиальная позиция руководства компании в отношении безопасности. Конкретизируется должность руководителя, который песет ответственность за информационную безопасность в целом. Формулируется ответственность за физическую безопасность, которая является неотъемлемой составляющей безопасности информационной. Определяется, что информационная безопасность действует не только в отношении электронной формы представления данных, но и документов на твердых носителях. Специальный пункт этого раздела
Политики указывает, на какой основе принимаются решения о необходимых и экономически целесообразных мерах обеспечения безопасности. В ряде положений формулируются в общем виде роли и ответственность за ИБ руководителей компании, подразделений и сотрудников. Подчеркивается необходимость обеспечения безопасности в течение всего жизненного цикла информации от момента возникновения до этапа ее уничтожения. Выделяется роль владельцев информационных активов в процессе определения их ценности для компании. Формулируется ряд требований, которых должна придерживаться компания, принимая меры по защите информационных активов на основе анализа ИТ рисков.
В шестом разделе специально подчеркиваются роли и ответственность в вопросах обеспечения ИБ компании руководителей соответствующих подразделений и пользователей.
Седьмой раздел документа оговаривает роль, назначение и требования, которым должна удовлетворять нормативная документация по ИБ.
Раздел 8 персонифицирует на должностном уровне ответственность за контроль соблюдения установленного в компании режима ИБ.
В девятом разделе формулируются основополагающие принципы отношения компании к требованиям законодательства в сфере ИБ и сотрудничества в этой области с государственными органами.
Раздел 10 формулирует отношение компании к тому, что следует предпринять, если возникнет необходимость сделать какое-либо исключение из принципов и положений Политики ИБ.
Последний, одиннадцатый раздел представляет правило, согласно которому в Политику ИБ должны вноситься любые изменения.
В Приложения к Политике ИБ выносятся основные положения материалов, которые являются руководящими для компании при классификации информационных активов (данных) по степени конфиденциальности, принятой в компании шкале значений ИТ рисков и потенциального ущерба при проведении анализа рисков, перечень основных правовых документов, регулирующих вопросы информационной безопасности, положения которых учитываются компанией.
3.4 Внедрение Политики ИБ
Внедрение Политики ИБ в деятельность компании сопряжено с рядом трудностей. Часто сотрудники не хотят ограничивать свободу своих действий в корпоративной сети, как того от них требуют безопасность. Вторая причина в том, что
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.