При разработке, внедрении, модернизации или доработке информационных систем и компонентов ИТ инфраструктуры должны учитываться требования но ИБ.
При разработке нормативных документов следует учитывать требования и рекомендации, изложенные в общепринятых международных стандартах в области ИБ, например: BS 7799, ISO 17799, BS ISO/IEC 27001:2005, AS/NZSNZ 4360:1999.
Определение ценности информационных активов и степени их конфиденциальности Компания возлагает на владельцев информации. Владельцы информации осуществляют общее управление предоставлен нем прав доступ а к информационным активами контролируют их актуальность.
Руководитель по ИБ осуществляет на систематической основе аудит ИБ силами внешних аудиторов и/или силами специалистов Компании.
Сотрудники сторонних организаций, имеющие доступ к корпоративным информационным активам, должны выполнять требования Компании в области ИБ.
Все вносимые в Политику ИБ изменения подлежат регистрации. Измененной Политике ИБ должен быть присвоен следующий по порядку номер версии.
Каждый случай нарушения принятых в Компании политик, процедур и стандартов, связанных с вопросами ИБ, подлежит рассмотрению подразделением, отвечающим за контроль соблюдения ИБ в Компании.
Ответственность за разработку и поддержание в актуальном состоянии нормативных документов в области ИБ возлагается па Руководителя по ИБ.
Базовые принципы и положения Политики ИБ развиваются и детализируются в отдельных документах: политики по отдельным направлениям деятельности, процедуры, стандарты, регламенты, инструкции. Эти нормативные документы должны создаваться с учетом российских и международных стандартов в области ИБ и соответствовать структуре, приведенной в Приложении 3.
В компетенцию Руководителя по ИБ входит согласование с соответствующими подразделениями и службами Компании разрабатываемых политик, процедур, стандартов, регламентов и инструкций, относящихся к сфере ИБ, их утверждение и внесение в них необходимых изменений.
Компания будет удовлетворять мотивированные запросы органов власти и управления Российской Федерации в отношении информации, хранящейся и обрабатываемой в Компании.
Компания намерена предпринимать экономически обоснованные меры для защиты информационных активов па основе управления ИТ рисками, руководствуясь следующими основными требованиями:
• информационные активы должны быть защищены адекватно имеющимся рискам;
• процесс оценки рисков должен проводиться как для действующих, так и для вновь вводимых в действие систем, для которых нарушение конфиденциальности, целостности и доступности информации может привести к ущербу уровня «Незначительный» или выше;
• результаты оценки рисков должны использоваться для определения приоритета необходимых контрмер;
• все дирекции Компании должны быть вовлечены в процесс управления ИТ рисками;
• оценка ИТ рисков должна включать оценку степени вероятности наступления нежелательных событий;
• все выявленные ИТ риски подлежат обязательной регистрации.
Руководитель по ИБ в рабочем порядке информирует Первого заместителя Генерального директора по развитию бизнеса о состоянии ИБ в Компании.
В случае обнаружения противоречия в нормативных документах в области ИБ, действующими считаются положения документа, предъявляющего более высокие
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.