Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Разработка высокоуровневой политики информационной безопасности

Общая и публичная политика постулирующая позицию компании по вопросам информационной безопасности.
В заметке к защитной мере приведен пример высокоуровневой Политики информационной безопасности

Рекомендации к заполнению карточки:
  • Описать в карточке меры политику компании или привести ссылку на документ
  • Создать шаблон регулярной задачи на пересмотр политики
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Направленные на организацию деятельности пользователей, включают выпуск документации.
Удерживающая ? Удерживающие (сдерживающие) меры Отговоривают злоумышленников атаковать, заставляют злоумышленника дважды подумать о своих злонамеренных намерениях.
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
7.3
 7.3 Осведомленность 
Лица, выполняющие работу под контролем организации, должны быть осведомлены: 
а) о политике информационной безопасности организации; 
b) их вкладе в обеспечение результативности системы менеджмента информационной безопасности, включая пользу от улучшения деятельности по обеспечению информационной безопасности; 
с) последствиях несоблюдения требований системы менеджмента информационной безопасности.
5.1
 5.1 Лидерство и приверженность 
Высшее руководство организации должно демонстрировать свое лидерство и приверженность в отношении системы менеджмента информационной безопасности: 
а) установлением политики и целей информационной безопасности, совместимых со стратегическим направлением развития организации; 
b) интеграцией требований системы менеджмента информационной безопасности в процессы организации; 
с) доступностью ресурсов, необходимых для системы менеджмента информационной безопасности; 
d) декларированием важности обеспечения эффективного менеджмента информационной безопасностью и соответствия требованиям системы менеджмента информационной безопасности; 
е) достижением системой менеджмента информационной безопасности ожидаемых результатов; 
f) направляя и поддерживая лиц, способствующих повышению результативности системы менеджмента информационной безопасности; 
g) постоянным улучшением системы менеджмента информационной безопасности; 
h) поддержкой других руководителей в реализации их ведущих ролей в рамках зон их ответственности. 
5.2
 5.2 Политика
 Высшее руководство организации должно установить политику информационной безопасности, которая: 
а) соответствует целям деятельности организации; 
b) содержит цели информационной безопасности (см. 6.2) или обеспечивает основу для их установления; 
с) содержит обязательство соответствовать применимым требованиям, относящимся к информационной безопасности; 
d) содержит обязательство постоянно улучшать систему менеджмента информационной безопасности.
 Политика информационной безопасности должна быть: 
е) доступна в виде документированной информации; 
f) доведена до сведения работников организации;
g) доступна заинтересованным сторонам. 
6.2
 6.2 Цели информационной безопасности и планы по их достижению 
В организации должны быть установлены цели обеспечения информационной безопасности применительно к соответствующим функциям и уровням управления организацией. 
 Цели информационной безопасности должны: 
а) быть согласованы с политикой информационной безопасности; 
b) быть измеримыми (если это практически возможно); 
с) учитывать применимые требования информационной безопасности и результаты оценки и обработки рисков информационной безопасности; 
d) быть доведены до сведения всех заинтересованных сторон; 
е) обновляться по мере необходимости. 
Организация должна хранить документированную информацию о целях информационной безопасности. 
При планировании способов достижения своих целей информационной безопасности организация должна определить: 
f) что должно быть сделано; 
д) какие ресурсы потребуются; 
h) кто будет нести ответственность; 
i) когда планируемое мероприятие будет завершено; 
j) как будут оцениваться результаты. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.5.1.1
A.5.1.1 Политики информационной безопасности 
Мера обеспечения информационной безопасности: Совокупность политик информационной безопасности должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон 
NIST Cybersecurity Framework (EN):
ID.GV-1 ID.GV-1: Organizational cybersecurity policy is established and communicated

Связанные риски

Ничего не найдено

Комментарии 1

1 год назад
Пример одностраничной политики информационной безопасности в соответствии с требованиями ISO 27001
Политика информационной безопасности ООО «Наша компания»
Целью политики информационной безопасности является создание единой системы взглядов и понимания целей и принципов обеспечения информационной безопасности ООО «Наша компания» (далее – Компания).
Политика соответствует назначению и стратегии развития Компании, поддерживается высшим руководством.
Информация и информационные технологии являются одним из важнейших активов Компании, обеспечивающих возможность успешной [цель/область деятельности компании]. Компания уделяет большое внимание обеспечению информационной безопасности и обязуется соответствовать действующим требованиям в области информационной безопасности. 
Цели Компании в области информационной безопасности: 
  • Конфиденциальность ценной для Компании и ее контрагентов информации;
  • Целостность информационных активов;
  • Доступность информации пользователям;
  • Защита информационных активов от несанкционированного доступа и воздействия;
  • Исполнение нормативных и законодательных требований, договорных обязательств;
  • Компетентность и осведомленность пользователей;
  • Выявление, расследование и предотвращение инцидентов безопасности;
  • Неотказуемость нарушителей от совершаемых действий.
При реализации целей в области информационной безопасности Компания руководствуется следующими принципами:
  • Простота использования;
  • Ответственность всех участников информационного взаимодействия;
  • Минимальная достаточность прав, полномочий и доступа;
  • Многоуровневая защита;
  • Снижение поверхности возможных атак;
  • Контроль над всеми операциями с информационными активами.
Информационная безопасность в Компании обеспечивается путем создания, поддержания и непрерывного улучшения системы менеджмента информационной безопасности. 
Вкладом каждого сотрудника Компании в результативность системы менеджмента информационной безопасности и его обязанностью является: 
  • Надлежащее исполнение установленных правил и процедур обеспечения информационной безопасности;
  • Бдительность и предосторожность при использовании информационных активов;
  • Незамедлительное информирование руководства об инцидентах безопасности и любых выявленных недостатках, влияющих на безопасность Компании.
Любые преднамеренные действия или халатность, ставящие под угрозу информационную безопасность Компании, а также безопасность партнеров, поставщиков и клиентов Компании, влекут уголовную, административную, гражданско-правовую и дисциплинарную ответственность в соответствии с законодательством Российской Федерации. 
Закрываются требования ISO 27001 5.1 a), 5.2 a), 5.2 b), 5.2 c), 5.2 d), 6.2, 7.3 b), 7.3 c)