Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Разработка высокоуровневой политики информационной безопасности

Общая и публичная политика постулирующая позицию компании по вопросам информационной безопасности.
В заметке к защитной мере приведен пример высокоуровневой Политики информационной безопасности

Рекомендации к заполнению карточки:
  • Описать в карточке меры политику компании или привести ссылку на документ
  • Создать шаблон регулярной задачи на пересмотр политики
Область действия: Вся организация
Классификация
Тип
Организационная ?
Удерживающая ?
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено

Исполнение требований

Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6
6. Кредитные организации должны разработать во внутренних документах и выполнять требования к операционной надежности, которые включают в себя:
  • требования к порядку определения значений целевых показателей операционной надежности и обеспечению контроля за их соблюдением;
  • требования к идентификации состава элементов, указанных в подпункте 6.1 настоящего пункта;
  • требования к управлению изменениями элементов, указанных в подпункте 6.1 настоящего пункта;
  • требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов с учетом установленных главой 7 Положения Банка России N 716-П требований к выявлению событий риска информационной безопасности, порядку реагирования на выявленные события риска информационной безопасности и восстановлению деятельности кредитной организации в случае реализации таких событий;
  • требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов (далее - поставщики услуг в сфере информационных технологий), с учетом установленных главами 7 и 8 Положения Банка России N 716-П требований к управлению риском информационной безопасности и риском информационных систем при передаче поставщикам услуг в сфере информационных технологий выполнения отдельных функций кредитной организации и (или) использовании внешних информационных систем, а также требований к аутсорсингу обслуживания и функционирования информационных систем;
  • требования к тестированию операционной надежности технологических процессов;
  • требования к нейтрализации информационных угроз со стороны несанкционированного доступа работников кредитной организации или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры (далее - внутренний нарушитель), к объектам информационной инфраструктуры;
  • требования к обеспечению осведомленности кредитной организации об актуальных информационных угрозах, которые могут привести к инцидентам операционной надежности.
п. 5
5. Кредитные организации должны не реже одного раза в год проводить анализ необходимости пересмотра значений целевых показателей операционной надежности с учетом требований к системе контрольных показателей уровня операционного риска, определенных главой 5 Положения Банка России N 716-П.
п. 9
9. Кредитные организации должны установить во внутренних документах, предусмотренных подпунктом 4.1.2, абзацем первым подпункта 4.1.3 и абзацем вторым подпункта 4.1.4 пункта 4.1 Положения Банка России N 716-П, описание процедур, направленных на реализацию требований к операционной надежности, включая:
  • определение и описание состава процедур, направленных на выполнение требований к операционной надежности;
  • определение перечня и порядка организационного взаимодействия подразделений кредитной организации, участвующих в соблюдении требований к операционной надежности, с учетом исключения конфликта интересов;
  • определение порядка осуществления контроля за соблюдением требований к операционной надежности в рамках системы внутреннего контроля;
  • выделение ресурсного обеспечения для выполнения требований к операционной надежности;
  • порядок утверждения и условия пересмотра процедур, направленных на выполнение требований к операционной надежности.
Кредитная организация должна обеспечить реализацию требований к операционной надежности начиная с разработки и планирования внедрения технологических процессов.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
7.3
7.3 Осведомленность 
Лица, выполняющие работу под контролем организации, должны быть осведомлены: 
а) о политике информационной безопасности организации; 
b) их вкладе в обеспечение результативности системы менеджмента информационной безопасности, включая пользу от улучшения деятельности по обеспечению информационной безопасности; 
с) последствиях несоблюдения требований системы менеджмента информационной безопасности.
5.1
5.1 Лидерство и приверженность 
Высшее руководство организации должно демонстрировать свое лидерство и приверженность в отношении системы менеджмента информационной безопасности: 
а) установлением политики и целей информационной безопасности, совместимых со стратегическим направлением развития организации; 
b) интеграцией требований системы менеджмента информационной безопасности в процессы организации; 
с) доступностью ресурсов, необходимых для системы менеджмента информационной безопасности; 
d) декларированием важности обеспечения эффективного менеджмента информационной безопасностью и соответствия требованиям системы менеджмента информационной безопасности; 
е) достижением системой менеджмента информационной безопасности ожидаемых результатов; 
f) направляя и поддерживая лиц, способствующих повышению результативности системы менеджмента информационной безопасности; 
g) постоянным улучшением системы менеджмента информационной безопасности; 
h) поддержкой других руководителей в реализации их ведущих ролей в рамках зон их ответственности. 
5.2
5.2 Политика
Высшее руководство организации должно установить политику информационной безопасности, которая: 
а) соответствует целям деятельности организации; 
b) содержит цели информационной безопасности (см. 6.2) или обеспечивает основу для их установления; 
с) содержит обязательство соответствовать применимым требованиям, относящимся к информационной безопасности; 
d) содержит обязательство постоянно улучшать систему менеджмента информационной безопасности.
 Политика информационной безопасности должна быть: 
е) доступна в виде документированной информации; 
f) доведена до сведения работников организации;
g) доступна заинтересованным сторонам. 
6.2
6.2 Цели информационной безопасности и планы по их достижению
В организации должны быть установлены цели обеспечения информационной безопасности применительно к соответствующим функциям и уровням управления организацией. 
 Цели информационной безопасности должны: 
а) быть согласованы с политикой информационной безопасности; 
b) быть измеримыми (если это практически возможно); 
с) учитывать применимые требования информационной безопасности и результаты оценки и обработки рисков информационной безопасности; 
d) быть доведены до сведения всех заинтересованных сторон; 
е) обновляться по мере необходимости. 
Организация должна хранить документированную информацию о целях информационной безопасности. 
При планировании способов достижения своих целей информационной безопасности организация должна определить: 
f) что должно быть сделано; 
д) какие ресурсы потребуются; 
h) кто будет нести ответственность; 
i) когда планируемое мероприятие будет завершено; 
j) как будут оцениваться результаты. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.5.1.1
A.5.1.1 Политики информационной безопасности 
Мера обеспечения информационной безопасности: Совокупность политик информационной безопасности должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон 
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.13.
1.13. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны установить во внутренних документах описание следующих мер, направленных на реализацию требований к операционной надежности:
  • определение и описание состава процедур, направленных на выполнение требований к операционной надежности;
  • определение организационной структуры некредитной финансовой организации, задействованной в выполнении требований к операционной надежности, включающее установление функций подразделений некредитной финансовой организации (в том числе в части принятия решений, касающихся выполнения требований к операционной надежности, с обеспечением исключения конфликта интересов) и обеспечивающее контроль за выполнением требований к операционной надежности в рамках порядка организации и осуществления некредитной финансовой организацией внутреннего контроля (в случае его наличия);
  • выделение ресурсного обеспечения для выполнения требований к операционной надежности;
  • порядок утверждения и условия пересмотра процедур, направленных на выполнение требований к операционной надежности.
Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны обеспечить реализацию требований к операционной надежности начиная с разработки и планирования внедрения технологических процессов, указанных в приложении к настоящему Положению.
п. 1.16.
1.16. Некредитные финансовые организации, не указанные в абзаце первом пункта 1.2 настоящего Положения, в рамках обеспечения операционной надежности должны выполнять следующие требования:
  • проводить не реже одного раза в три года в рамках системы управления рисками (при наличии) анализ необходимости обеспечения непревышения порогового уровня допустимого времени простоя и (или) деградации технологических процессов, соблюдения значений целевых показателей операционной надежности;
  • закреплять по итогам указанного в абзаце втором настоящего пункта анализа в своих внутренних документах перечень технологических процессов, пороговые уровни допустимого времени простоя и (или) деградации технологических процессов, а также значения целевых показателей операционной надежности либо принимать мотивированное решение об отсутствии необходимости в обеспечении непревышения порогового уровня допустимого времени простоя и (или) деградации технологических процессов, соблюдения значений целевых показателей операционной надежности;
  • обеспечивать контроль за соблюдением предусмотренных своими внутренними документами пороговых уровней допустимого времени простоя и (или) деградации технологических процессов и значений целевых показателей операционной надежности (в случае их закрепления в своих внутренних документах).
NIST Cybersecurity Framework (EN):
ID.GV-1 ID.GV-1: Organizational cybersecurity policy is established and communicated

Связанные риски

Ничего не найдено

Комментарии 1

1 год назад
Пример одностраничной политики информационной безопасности в соответствии с требованиями ISO 27001
Политика информационной безопасности ООО «Наша компания»
Целью политики информационной безопасности является создание единой системы взглядов и понимания целей и принципов обеспечения информационной безопасности ООО «Наша компания» (далее – Компания).
Политика соответствует назначению и стратегии развития Компании, поддерживается высшим руководством.
Информация и информационные технологии являются одним из важнейших активов Компании, обеспечивающих возможность успешной [цель/область деятельности компании]. Компания уделяет большое внимание обеспечению информационной безопасности и обязуется соответствовать действующим требованиям в области информационной безопасности. 
Цели Компании в области информационной безопасности: 
  • Конфиденциальность ценной для Компании и ее контрагентов информации;
  • Целостность информационных активов;
  • Доступность информации пользователям;
  • Защита информационных активов от несанкционированного доступа и воздействия;
  • Исполнение нормативных и законодательных требований, договорных обязательств;
  • Компетентность и осведомленность пользователей;
  • Выявление, расследование и предотвращение инцидентов безопасности;
  • Неотказуемость нарушителей от совершаемых действий.
При реализации целей в области информационной безопасности Компания руководствуется следующими принципами:
  • Простота использования;
  • Ответственность всех участников информационного взаимодействия;
  • Минимальная достаточность прав, полномочий и доступа;
  • Многоуровневая защита;
  • Снижение поверхности возможных атак;
  • Контроль над всеми операциями с информационными активами.
Информационная безопасность в Компании обеспечивается путем создания, поддержания и непрерывного улучшения системы менеджмента информационной безопасности. 
Вкладом каждого сотрудника Компании в результативность системы менеджмента информационной безопасности и его обязанностью является: 
  • Надлежащее исполнение установленных правил и процедур обеспечения информационной безопасности;
  • Бдительность и предосторожность при использовании информационных активов;
  • Незамедлительное информирование руководства об инцидентах безопасности и любых выявленных недостатках, влияющих на безопасность Компании.
Любые преднамеренные действия или халатность, ставящие под угрозу информационную безопасность Компании, а также безопасность партнеров, поставщиков и клиентов Компании, влекут уголовную, административную, гражданско-правовую и дисциплинарную ответственность в соответствии с законодательством Российской Федерации. 
Закрываются требования ISO 27001 5.1 a), 5.2 a), 5.2 b), 5.2 c), 5.2 d), 6.2, 7.3 b), 7.3 c)