Нужна помощь?
+7 867 228 96 32

Политика Безопасности

Политика информационной безопасности – это совокупность правил, процедур, практических методов и руководящих принципов в области ИБ, используемых организацией в своей деятельности. Согласно отечественному стандарту ГОСТ Р ИСО/МЭК 17799-2005, политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. В соответствии с указанным стандартом, необходимо, чтобы политика информационной безопасности предприятия как минимум включала: - определение информационной безопасности, её общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации - изложение целей и принципов информационной безопасности, сформулированных руководством - краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например, таких как: * соответствие законодательным требованиям и договорным обязательствам; * требования в отношении обучения вопросам безопасности; * предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения; * управление непрерывностью бизнеса; * ответственность за нарушения политики безопасности. - определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности - ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи. Политика информационной безопасности компании должна быть утверждена руководством, издана и доведена до сведения всех сотрудников в доступной и понятной форме. Для того чтобы политика информационной безопасности не оставалась только «на бумаге» необходимо, чтобы она была: - непротиворечивой – разные документы не должны по разному описывать подходы к одному и тому же процессу обработки информации - не запрещала необходимые действия – в таком случае неизбежные массовые нарушения приведут к дискредитации политики информационной безопасности среди пользователей - не налагала невыполнимых обязанностей и требований. В организации должно быть назначено лицо, ответственное за политику безопасности, отвечающее за её эффективную реализацию и регулярный пересмотр.