Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Разработка высокоуровневой политики информационной безопасности

Общая и публичная политика постулирующая позицию компании по вопросам информационной безопасности.
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Это меры направленные на организацию деятельности пользователей. К организационным мерам относят так же выпуск документации - инструкций, регламентов, стандарто...
Удерживающая ? Удерживающие (сдерживающие) меры Организация применяет сдерживающие меры пытаясь отговорить злоумышленников атаковать ее системы или помещения. Другими словами, сдерживающая контрмера используе...
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

NIST Cybersecurity Framework (RU):
ID.GV-1 ? Косвенная связь
ID.GV-1:  Установлена политика информационной безопасности организации 
ID.GV-4 ? Косвенная связь
ID.GV-4: Процессы руководства и управления рисками направлены на устранение рисков кибербезопасности 
Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования":
7.3 Осведомленность Персонал, выполняющий работу под контролем организации, должен знать:
a) политику в области информационной безопасности,
b) их вклад в результативность системы менеджмента информационной безопасности, включая выгоды от улучшения деятельности по обеспечению информационной безопасности, и
c) последствия несоответствий требованиям системы менеджмента информационной безопасности.
5.1 Лидерство и обязательства
Высшее руководство должно демонстрировать лидерство и обязательства в отношении системы менеджмента информационной безопасности посредством:
a) гарантии того, что информационная политика безопасности и цели в сфере информационной безопасности установлены и согласуются со стратегией организации;
b) гарантии того, что требования системы менеджмента информационной безопасности встроены в процессы организации;
c) гарантии доступности ресурсов, необходимых для системы менеджмента информационной безопасности;
d) донесения важности результативного управления информационной безопасностью и соответствия требованиям системы менеджмента информационной безопасности;
e) гарантии достижения системой менеджмента информационной безопасности ожидаемых результатов;
f) поддержки усилий сотрудников, направленных на обеспечение результативности системы менеджмента информационной безопасности;
g) стимулирования непрерывного совершенствования; и
h) поощрения демонстрации лидерства на различных уровнях управления в границах установленной ответственности.
5.2 Политика Высшее руководство должно установить политику информационной безопасности, которая:
a) соответствует назначению организации;
b) включает цели (задачи) в области информационной безопасности, (см. раздел 6.2) или служит основой для задания таких целей (задач);
c) включает обязательство соответствовать действующим требованиям, связанным с информационной безопасностью; и
d) включает обязательство непрерывного улучшения системы менеджмента информационной безопасности. Политика информационной безопасности должна:
e) быть оформлена как документированная информация;
f) быть доведена до сведения сотрудников в организации; и
g) быть доступной в установленном порядке для заинтересованных сторон.
6.2 Цели в области информационной безопасности и планирование их достижения Организация должна установить цели в области информационной безопасности для соответствующих функций и уровней. Цели в области информационной безопасности должны:
a) быть согласованными с политикой информационной безопасности;
b) быть измеримыми (если возможно);
c) учитывать действующие требования к информационной безопасности, а также результаты оценки и обработки рисков;
d) быть сообщены персоналу; и
e) соответствующим образом обновляться. Организация должна сохранять данные по целям в области информационной безопасности как документированную информацию. При планировании, каким образом достигнуть своих целей в области информационной безопасности, организация должна определить:
f) что будет сделано;
g) какие ресурсы потребуются;
h) кто будет ответственным;
i) когда цели будут достигнуты;
j) как результаты будут оцениваться.
Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
A.5.1.1 Политики информационной безопасности
Средства реализации: Должен быть разработан, одобрен руководством, опубликован и доведен до персонала и соответствующих внешних сторон комплекс политик информационной безопасности.
NIST Cybersecurity Framework (EN):
ID.GV-1: Organizational cybersecurity policy is established and communicated
ID.GV-4 ? Косвенная связь
ID.GV-4: Governance and risk management processes address cybersecurity risks

Связанные риски

Ничего не найдено

Комментарии 1

7 месяцев назад
Пример одностраничной политики информационной безопасности в соответствии с требованиями ISO 27001
Политика информационной безопасности ООО «Наша компания»
Целью политики информационной безопасности является создание единой системы взглядов и понимания целей и принципов обеспечения информационной безопасности ООО «Наша компания» (далее – Компания).
Политика соответствует назначению и стратегии развития Компании, поддерживается высшим руководством.
Информация и информационные технологии являются одним из важнейших активов Компании, обеспечивающих возможность успешной [цель/область деятельности компании]. Компания уделяет большое внимание обеспечению информационной безопасности и обязуется соответствовать действующим требованиям в области информационной безопасности. 
Цели Компании в области информационной безопасности: 
  • Конфиденциальность ценной для Компании и ее контрагентов информации;
  • Целостность информационных активов;
  • Доступность информации пользователям;
  • Защита информационных активов от несанкционированного доступа и воздействия;
  • Исполнение нормативных и законодательных требований, договорных обязательств;
  • Компетентность и осведомленность пользователей;
  • Выявление, расследование и предотвращение инцидентов безопасности;
  • Неотказуемость нарушителей от совершаемых действий.
При реализации целей в области информационной безопасности Компания руководствуется следующими принципами:
  • Простота использования;
  • Ответственность всех участников информационного взаимодействия;
  • Минимальная достаточность прав, полномочий и доступа;
  • Многоуровневая защита;
  • Снижение поверхности возможных атак;
  • Контроль над всеми операциями с информационными активами.
Информационная безопасность в Компании обеспечивается путем создания, поддержания и непрерывного улучшения системы менеджмента информационной безопасности. 
Вкладом каждого сотрудника Компании в результативность системы менеджмента информационной безопасности и его обязанностью является: 
  • Надлежащее исполнение установленных правил и процедур обеспечения информационной безопасности;
  • Бдительность и предосторожность при использовании информационных активов;
  • Незамедлительное информирование руководства об инцидентах безопасности и любых выявленных недостатках, влияющих на безопасность Компании.
Любые преднамеренные действия или халатность, ставящие под угрозу информационную безопасность Компании, а также безопасность партнеров, поставщиков и клиентов Компании, влекут уголовную, административную, гражданско-правовую и дисциплинарную ответственность в соответствии с законодательством Российской Федерации. 
Закрываются требования ISO 27001 5.1 a), 5.2 a), 5.2 b), 5.2 c), 5.2 d), 6.2, 7.3 b), 7.3 c)