Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Разработка высокоуровневой политики информационной безопасности

Общая и публичная политика постулирующая позицию компании по вопросам информационной безопасности.
В заметке к защитной мере приведен пример высокоуровневой Политики информационной безопасности

Рекомендации к заполнению карточки:
  • Описать в карточке меры политику компании или привести ссылку на документ
  • Создать шаблон регулярной задачи на пересмотр политики
Область действия: Вся организация
Классификация
Тип
Организационная ?
Удерживающая ?
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено

Исполнение требований

Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6
6. Кредитные организации должны разработать во внутренних документах и выполнять требования к операционной надежности, которые включают в себя:
  • требования к порядку определения значений целевых показателей операционной надежности и обеспечению контроля за их соблюдением;
  • требования к идентификации состава элементов, указанных в подпункте 6.1 настоящего пункта;
  • требования к управлению изменениями элементов, указанных в подпункте 6.1 настоящего пункта;
  • требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов с учетом установленных главой 7 Положения Банка России N 716-П требований к выявлению событий риска информационной безопасности, порядку реагирования на выявленные события риска информационной безопасности и восстановлению деятельности кредитной организации в случае реализации таких событий;
  • требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов (далее - поставщики услуг в сфере информационных технологий), с учетом установленных главами 7 и 8 Положения Банка России N 716-П требований к управлению риском информационной безопасности и риском информационных систем при передаче поставщикам услуг в сфере информационных технологий выполнения отдельных функций кредитной организации и (или) использовании внешних информационных систем, а также требований к аутсорсингу обслуживания и функционирования информационных систем;
  • требования к тестированию операционной надежности технологических процессов;
  • требования к нейтрализации информационных угроз со стороны несанкционированного доступа работников кредитной организации или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры (далее - внутренний нарушитель), к объектам информационной инфраструктуры;
  • требования к обеспечению осведомленности кредитной организации об актуальных информационных угрозах, которые могут привести к инцидентам операционной надежности.
п. 5
5. Кредитные организации должны не реже одного раза в год проводить анализ необходимости пересмотра значений целевых показателей операционной надежности с учетом требований к системе контрольных показателей уровня операционного риска, определенных главой 5 Положения Банка России N 716-П.
п. 9
9. Кредитные организации должны установить во внутренних документах, предусмотренных подпунктом 4.1.2, абзацем первым подпункта 4.1.3 и абзацем вторым подпункта 4.1.4 пункта 4.1 Положения Банка России N 716-П, описание процедур, направленных на реализацию требований к операционной надежности, включая:
  • определение и описание состава процедур, направленных на выполнение требований к операционной надежности;
  • определение перечня и порядка организационного взаимодействия подразделений кредитной организации, участвующих в соблюдении требований к операционной надежности, с учетом исключения конфликта интересов;
  • определение порядка осуществления контроля за соблюдением требований к операционной надежности в рамках системы внутреннего контроля;
  • выделение ресурсного обеспечения для выполнения требований к операционной надежности;
  • порядок утверждения и условия пересмотра процедур, направленных на выполнение требований к операционной надежности.
Кредитная организация должна обеспечить реализацию требований к операционной надежности начиная с разработки и планирования внедрения технологических процессов.
NIST Cybersecurity Framework (RU):
ID.GV-1
ID.GV-1:  Установлена политика информационной безопасности организации 
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
7.3 Осведомленность
7.3 Осведомленность
Лица, выполняющие работу под контролем организации, должны быть осведомлены в отношении:
  • a) политики информационной безопасности;
  • b) их вклада в эффективность систему менеджмента информационной безопасности, включая выгод от улучшения исполнения информационной безопасности; а также
  • c) последствий несоответствия требованиям системы менеджмента информационной безопасности.
5.2 Политика
5.2 Политика
Высшее руководство должно установить политику информационной безопасности, которая:
  • а) соответствует цели организации;
  • b) содержит цели информационной безопасности (см. п.6.2) или предоставляет структуру для формирования целей информационной безопасности;
  • c) содержит приверженность удовлетворению применимых требований, относящихся к информационной безопасности;
  • d) содержит приверженность непрерывному улучшению системы менеджмента информационной безопасности.
Политика информационной безопасности должна:
  • e) быть доступной к качестве документированной информации;
  • f) быть распространенной в пределах организации; а также
  • g) быть доступной заинтересованным сторонам, если это необходимо.
6.2 Цели ИБ и планирование их достижения
6.2 Цели информационной безопасности и планирование их достижения
Организация должна установить цели информационной безопасности на соответствующих видах деятельности и уровнях. 
Цели информационной безопасности должны:
  • а) согласовываться с политикой информационной безопасности; 
  • b) быть измеряемыми (если это осуществимо);
  • c) учитывать применимые требования информационной безопасности, результаты оценки и обработки рисков;
  • d) мониториться:
  • е) быть доведенными до всех заинтересованных сторон;
  • f) обновляться по мере необходимости:
  • g) быть задокументированными.
Организация должна сохранять документированную информацию в отношении целей информационной безопасности.
При планировании методов достижения целей информационной безопасности организация должна определить:
  • h) что должно быть сделано;
  • i) какие ресурсы потребуются;
  • j) кто за это будет ответственным;
  • k) когда это должно быть закончено; а также
  • l) каким образом результаты будут оцениваться.
5.1 Лидерство и приверженность
5.1 Лидерство и приверженность
Высшее руководство должно демонстрировать свое лидерство и приверженность в отношении системы менеджмента информационной безопасности посредством:
  • а) обеспечения разработки и совместимости политики и целей информационной безопасности со стратегическим курсом организации;
  • b) обеспечение интеграции требований системы менеджмента информационной безопасности в процессы организации;
  • c) обеспечение доступности ресурсов, необходимых для системы менеджмента информационной безопасности;
  • d) донесения важности эффективного управления информационной безопасностью и выполнения требований системы менеджмента информационной безопасности;
  • e) обеспечения достижения системы менеджмента информационной безопасности своих ожидаемых результатов;
  • f) направления и поддержки людей с целью содействия повышению эффективности системы менеджмента информационной безопасности;
  • g) содействия непрерывному улучшению; а также
  • h) поддержки иных значимых менеджеров с целью демонстрации их лидерства при осуществлении деятельности в областях их ответственности
ПРИМЕЧАНИЕ. Ссылка на понятие «бизнес» в настоящем документе может интерпретироваться широко для обозначения тех видов деятельности, которые являются ключевыми для целей существования организации.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
7.3
7.3 Осведомленность 
Лица, выполняющие работу под контролем организации, должны быть осведомлены: 
а) о политике информационной безопасности организации; 
b) их вкладе в обеспечение результативности системы менеджмента информационной безопасности, включая пользу от улучшения деятельности по обеспечению информационной безопасности; 
с) последствиях несоблюдения требований системы менеджмента информационной безопасности.
5.1
5.1 Лидерство и приверженность 
Высшее руководство организации должно демонстрировать свое лидерство и приверженность в отношении системы менеджмента информационной безопасности: 
а) установлением политики и целей информационной безопасности, совместимых со стратегическим направлением развития организации; 
b) интеграцией требований системы менеджмента информационной безопасности в процессы организации; 
с) доступностью ресурсов, необходимых для системы менеджмента информационной безопасности; 
d) декларированием важности обеспечения эффективного менеджмента информационной безопасностью и соответствия требованиям системы менеджмента информационной безопасности; 
е) достижением системой менеджмента информационной безопасности ожидаемых результатов; 
f) направляя и поддерживая лиц, способствующих повышению результативности системы менеджмента информационной безопасности; 
g) постоянным улучшением системы менеджмента информационной безопасности; 
h) поддержкой других руководителей в реализации их ведущих ролей в рамках зон их ответственности. 
5.2
5.2 Политика
Высшее руководство организации должно установить политику информационной безопасности, которая: 
а) соответствует целям деятельности организации; 
b) содержит цели информационной безопасности (см. 6.2) или обеспечивает основу для их установления; 
с) содержит обязательство соответствовать применимым требованиям, относящимся к информационной безопасности; 
d) содержит обязательство постоянно улучшать систему менеджмента информационной безопасности.
 Политика информационной безопасности должна быть: 
е) доступна в виде документированной информации; 
f) доведена до сведения работников организации;
g) доступна заинтересованным сторонам. 
6.2
6.2 Цели информационной безопасности и планы по их достижению
В организации должны быть установлены цели обеспечения информационной безопасности применительно к соответствующим функциям и уровням управления организацией. 
 Цели информационной безопасности должны: 
а) быть согласованы с политикой информационной безопасности; 
b) быть измеримыми (если это практически возможно); 
с) учитывать применимые требования информационной безопасности и результаты оценки и обработки рисков информационной безопасности; 
d) быть доведены до сведения всех заинтересованных сторон; 
е) обновляться по мере необходимости. 
Организация должна хранить документированную информацию о целях информационной безопасности. 
При планировании способов достижения своих целей информационной безопасности организация должна определить: 
f) что должно быть сделано; 
д) какие ресурсы потребуются; 
h) кто будет нести ответственность; 
i) когда планируемое мероприятие будет завершено; 
j) как будут оцениваться результаты. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.5.1.1
A.5.1.1 Политики информационной безопасности 
Мера обеспечения информационной безопасности: Совокупность политик информационной безопасности должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон 
A.5.1.2
A.5.1.2. Пересмотр политик информационной безопасности 
Мера обеспечения информационной безопасности: Политики информационной безопасности должны пересматриваться через запланированные интервалы времени или в случае происходящих существенных изменений для обеспечения уверенности в сохранении их приемлемости, адекватности и результативности 
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
7.3 Awareness
7.3 Awareness
Persons doing work under the organization’s control shall be aware of:
  • a) the information security policy;
  • b) their contribution to the effectiveness of the information security management system, including the benefits of improved information security performance; and
  • c) the implications of not conforming with the information security management system requirements.
5.2 Policy
5.2 Policy
Top management shall establish an information security policy that:
  • a) is appropriate to the purpose of the organization;
  • b) includes information security objectives (see 6.2) or provides the framework for setting information security objectives;
  • c) includes a commitment to satisfy applicable requirements related to information security; 
  • d) includes a commitment to continual improvement of the information security management system. 
The information security policy shall:
  • e) be available as documented information;
  • f) be communicated within the organization; and
  • g) be available to interested parties, as appropriate.
6.2 Information security objectives and planning to achieve them
6.2 Information security objectives and planning to achieve them
The organization shall establish information security objectives at relevant functions and levels. The information security objectives shall:
  • a) be consistent with the information security policy;
  • b) be measurable (if practicable);
  • c) take into account applicable information security requirements, and results from risk assessment and risk treatment;
  • d) be monitored;
  • e) be communicated; 
  • f) be updated as appropriate:
  • g) be available as documented information.
The organization shall retain documented information on the information security objectives.
When planning how to achieve its information security objectives, the organization shall determine:
  • h) what will be done;
  • i) what resources will be required;
  • j) who will be responsible;
  • k) when it will be completed; and
  • l) how the results will be evaluated.
5.1 Leadership and commitment
5.1 Leadership and commitment
Top management shall demonstrate leadership and commitment with respect to the information security management system by:
  • a) ensuring the information security policy and the information security objectives are established and are compatible with the strategic direction of the organization;
  • b) ensuring the integration of the information security management system requirements into the organization’s processes;
  • c) ensuring that the resources needed for the information security management system are available;
  • d) communicating the importance of effective information security management and of conforming to the information security management system requirements;
  • e) ensuring that the information security management system achieves its intended outcome(s);
  • f) directing and supporting persons to contribute to the effectiveness of the information security management system;
  • g) promoting continual improvement; and
  • h) supporting other relevant management roles to demonstrate their leadership as it applies to their areas of responsibility.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.1
А.5.1 Политики в области ИБ
Политика ИБ, а также специфические тематические политики должны быть определены, утверждены руководством, опубликованы, доведены до сведения соответствующего персонала и заинтересованных сторон, признаны ими; также эти политики должны пересматриваться через запланированные интервалы времени и в случае возникновения существенных изменений.
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.13.
1.13. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны установить во внутренних документах описание следующих мер, направленных на реализацию требований к операционной надежности:
  • определение и описание состава процедур, направленных на выполнение требований к операционной надежности;
  • определение организационной структуры некредитной финансовой организации, задействованной в выполнении требований к операционной надежности, включающее установление функций подразделений некредитной финансовой организации (в том числе в части принятия решений, касающихся выполнения требований к операционной надежности, с обеспечением исключения конфликта интересов) и обеспечивающее контроль за выполнением требований к операционной надежности в рамках порядка организации и осуществления некредитной финансовой организацией внутреннего контроля (в случае его наличия);
  • выделение ресурсного обеспечения для выполнения требований к операционной надежности;
  • порядок утверждения и условия пересмотра процедур, направленных на выполнение требований к операционной надежности.
Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны обеспечить реализацию требований к операционной надежности начиная с разработки и планирования внедрения технологических процессов, указанных в приложении к настоящему Положению.
п. 1.16.
1.16. Некредитные финансовые организации, не указанные в абзаце первом пункта 1.2 настоящего Положения, в рамках обеспечения операционной надежности должны выполнять следующие требования:
  • проводить не реже одного раза в три года в рамках системы управления рисками (при наличии) анализ необходимости обеспечения непревышения порогового уровня допустимого времени простоя и (или) деградации технологических процессов, соблюдения значений целевых показателей операционной надежности;
  • закреплять по итогам указанного в абзаце втором настоящего пункта анализа в своих внутренних документах перечень технологических процессов, пороговые уровни допустимого времени простоя и (или) деградации технологических процессов, а также значения целевых показателей операционной надежности либо принимать мотивированное решение об отсутствии необходимости в обеспечении непревышения порогового уровня допустимого времени простоя и (или) деградации технологических процессов, соблюдения значений целевых показателей операционной надежности;
  • обеспечивать контроль за соблюдением предусмотренных своими внутренними документами пороговых уровней допустимого времени простоя и (или) деградации технологических процессов и значений целевых показателей операционной надежности (в случае их закрепления в своих внутренних документах).
NIST Cybersecurity Framework (EN):
ID.GV-1 ID.GV-1: Organizational cybersecurity policy is established and communicated
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.1
А.5.1 Policies for information security
Information security policy and topic-specific policies shall be defined, approved by management, published, communicated to and acknowledged by relevant personnel and relevant interested parties, and reviewed at planned intervals and if significant changes occur.

Связанные риски

Ничего не найдено

Заметки

1
2 года назад
Пример одностраничной политики информационной безопасности в соответствии с требованиями ISO 27001
Политика информационной безопасности ООО «Наша компания»
Целью политики информационной безопасности является создание единой системы взглядов и понимания целей и принципов обеспечения информационной безопасности ООО «Наша компания» (далее – Компания).
Политика соответствует назначению и стратегии развития Компании, поддерживается высшим руководством.
Информация и информационные технологии являются одним из важнейших активов Компании, обеспечивающих возможность успешной [цель/область деятельности компании]. Компания уделяет большое внимание обеспечению информационной безопасности и обязуется соответствовать действующим требованиям в области информационной безопасности. 
Цели Компании в области информационной безопасности: 
  • Конфиденциальность ценной для Компании и ее контрагентов информации;
  • Целостность информационных активов;
  • Доступность информации пользователям;
  • Защита информационных активов от несанкционированного доступа и воздействия;
  • Исполнение нормативных и законодательных требований, договорных обязательств;
  • Компетентность и осведомленность пользователей;
  • Выявление, расследование и предотвращение инцидентов безопасности;
  • Неотказуемость нарушителей от совершаемых действий.
При реализации целей в области информационной безопасности Компания руководствуется следующими принципами:
  • Простота использования;
  • Ответственность всех участников информационного взаимодействия;
  • Минимальная достаточность прав, полномочий и доступа;
  • Многоуровневая защита;
  • Снижение поверхности возможных атак;
  • Контроль над всеми операциями с информационными активами.
Информационная безопасность в Компании обеспечивается путем создания, поддержания и непрерывного улучшения системы менеджмента информационной безопасности. 
Вкладом каждого сотрудника Компании в результативность системы менеджмента информационной безопасности и его обязанностью является: 
  • Надлежащее исполнение установленных правил и процедур обеспечения информационной безопасности;
  • Бдительность и предосторожность при использовании информационных активов;
  • Незамедлительное информирование руководства об инцидентах безопасности и любых выявленных недостатках, влияющих на безопасность Компании.
Любые преднамеренные действия или халатность, ставящие под угрозу информационную безопасность Компании, а также безопасность партнеров, поставщиков и клиентов Компании, влекут уголовную, административную, гражданско-правовую и дисциплинарную ответственность в соответствии с законодательством Российской Федерации. 
Закрываются требования ISO 27001 5.1 a), 5.2 a), 5.2 b), 5.2 c), 5.2 d), 6.2, 7.3 b), 7.3 c)