Карточка защитной меры

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

Разработка высокоуровневой политики информационной безопасности

1 6

Общая и публичная политика постулирующая позицию компании по вопросам информационной безопасности.
В заметке к защитной мере приведен пример высокоуровневой Политики информационной безопасности

Рекомендации к заполнению карточки:

Описать в карточке меры политику компании или привести ссылку на документ
Создать шаблон регулярной задачи на пересмотр политики

Классификация

Тип

Организационная

Удерживающая

Реализация

Вручную

Периодичность

Разово

Ответственный

Не определено

Инструменты

Не определено

Предшествующие меры

Не требуется

Следующие меры

Не определено

Исполнение требований

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":

7.3

7.3 Осведомленность
Лица, выполняющие работу под контролем организации, должны быть осведомлены:
а) о политике информационной безопасности организации;
b) их вкладе в обеспечение результативности системы менеджмента информационной безопасности, включая пользу от улучшения деятельности по обеспечению информационной безопасности;
с) последствиях несоблюдения требований системы менеджмента информационной безопасности.

5.1

5.1 Лидерство и приверженность
Высшее руководство организации должно демонстрировать свое лидерство и приверженность в отношении системы менеджмента информационной безопасности:
а) установлением политики и целей информационной безопасности, совместимых со стратегическим направлением развития организации;
b) интеграцией требований системы менеджмента информационной безопасности в процессы организации;
с) доступностью ресурсов, необходимых для системы менеджмента информационной безопасности;
d) декларированием важности обеспечения эффективного менеджмента информационной безопасностью и соответствия требованиям системы менеджмента информационной безопасности;
е) достижением системой менеджмента информационной безопасности ожидаемых результатов;
f) направляя и поддерживая лиц, способствующих повышению результативности системы менеджмента информационной безопасности;
g) постоянным улучшением системы менеджмента информационной безопасности;
h) поддержкой других руководителей в реализации их ведущих ролей в рамках зон их ответственности.

5.2

5.2 Политика
Высшее руководство организации должно установить политику информационной безопасности, которая:
а) соответствует целям деятельности организации;
b) содержит цели информационной безопасности (см. 6.2) или обеспечивает основу для их установления;
с) содержит обязательство соответствовать применимым требованиям, относящимся к информационной безопасности;
d) содержит обязательство постоянно улучшать систему менеджмента информационной безопасности.
Политика информационной безопасности должна быть:
е) доступна в виде документированной информации;
f) доведена до сведения работников организации;
g) доступна заинтересованным сторонам.

6.2

6.2 Цели информационной безопасности и планы по их достижению
В организации должны быть установлены цели обеспечения информационной безопасности применительно к соответствующим функциям и уровням управления организацией.
Цели информационной безопасности должны:
а) быть согласованы с политикой информационной безопасности;
b) быть измеримыми (если это практически возможно);
с) учитывать применимые требования информационной безопасности и результаты оценки и обработки рисков информационной безопасности;
d) быть доведены до сведения всех заинтересованных сторон;
е) обновляться по мере необходимости.
Организация должна хранить документированную информацию о целях информационной безопасности.
При планировании способов достижения своих целей информационной безопасности организация должна определить:
f) что должно быть сделано;
д) какие ресурсы потребуются;
h) кто будет нести ответственность;
i) когда планируемое мероприятие будет завершено;
j) как будут оцениваться результаты.

A.5.1.1

A.5.1.1 Политики информационной безопасности
Мера обеспечения информационной безопасности: Совокупность политик информационной безопасности должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон

NIST Cybersecurity Framework (EN):

ID.GV-1 ID.GV-1: Organizational cybersecurity policy is established and communicated

Связанные риски

Ничего не найдено

Комментарии 1

SECURITM

1 год назад

Пример одностраничной политики информационной безопасности в соответствии с требованиями ISO 27001

Политика информационной безопасности ООО «Наша компания»
Целью политики информационной безопасности является создание единой системы взглядов и понимания целей и принципов обеспечения информационной безопасности ООО «Наша компания» (далее – Компания).
Политика соответствует назначению и стратегии развития Компании, поддерживается высшим руководством.
Информация и информационные технологии являются одним из важнейших активов Компании, обеспечивающих возможность успешной [цель/область деятельности компании]. Компания уделяет большое внимание обеспечению информационной безопасности и обязуется соответствовать действующим требованиям в области информационной безопасности.
Цели Компании в области информационной безопасности:
Конфиденциальность ценной для Компании и ее контрагентов информации;
Целостность информационных активов;
Доступность информации пользователям;
Защита информационных активов от несанкционированного доступа и воздействия;
Исполнение нормативных и законодательных требований, договорных обязательств;
Компетентность и осведомленность пользователей;
Выявление, расследование и предотвращение инцидентов безопасности;
Неотказуемость нарушителей от совершаемых действий.
При реализации целей в области информационной безопасности Компания руководствуется следующими принципами:
Простота использования;
Ответственность всех участников информационного взаимодействия;
Минимальная достаточность прав, полномочий и доступа;
Многоуровневая защита;
Снижение поверхности возможных атак;
Контроль над всеми операциями с информационными активами.
Информационная безопасность в Компании обеспечивается путем создания, поддержания и непрерывного улучшения системы менеджмента информационной безопасности.
Вкладом каждого сотрудника Компании в результативность системы менеджмента информационной безопасности и его обязанностью является:
Надлежащее исполнение установленных правил и процедур обеспечения информационной безопасности;
Бдительность и предосторожность при использовании информационных активов;
Незамедлительное информирование руководства об инцидентах безопасности и любых выявленных недостатках, влияющих на безопасность Компании.
Любые преднамеренные действия или халатность, ставящие под угрозу информационную безопасность Компании, а также безопасность партнеров, поставщиков и клиентов Компании, влекут уголовную, административную, гражданско-правовую и дисциплинарную ответственность в соответствии с законодательством Российской Федерации.

Закрываются требования ISO 27001 5.1 a), 5.2 a), 5.2 b), 5.2 c), 5.2 d), 6.2, 7.3 b), 7.3 c)