Куда я попал?
Методика экспресс-оценки уровня кибербезопасности организации РезБез
Framework
1.1.2.
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
Разработана стратегия КБОбязательно для уровня кибербезопасности Высокий
Похожие требования
NIST Cybersecurity Framework (RU):
ID.GV-1
ID.GV-1: Установлена политика информационной безопасности организации
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
5.2 Политика
5.2 Политика
Высшее руководство должно установить политику информационной безопасности, которая:
Высшее руководство должно установить политику информационной безопасности, которая:
- а) соответствует цели организации;
- b) содержит цели информационной безопасности (см. п.6.2) или предоставляет структуру для формирования целей информационной безопасности;
- c) содержит приверженность удовлетворению применимых требований, относящихся к информационной безопасности;
- d) содержит приверженность непрерывному улучшению системы менеджмента информационной безопасности.
Политика информационной безопасности должна:
- e) быть доступной к качестве документированной информации;
- f) быть распространенной в пределах организации; а также
- g) быть доступной заинтересованным сторонам, если это необходимо.
6.2 Цели ИБ и планирование их достижения
6.2 Цели информационной безопасности и планирование их достижения
Организация должна установить цели информационной безопасности на соответствующих видах деятельности и уровнях.
Цели информационной безопасности должны:
Организация должна установить цели информационной безопасности на соответствующих видах деятельности и уровнях.
Цели информационной безопасности должны:
- а) согласовываться с политикой информационной безопасности;
- b) быть измеряемыми (если это осуществимо);
- c) учитывать применимые требования информационной безопасности, результаты оценки и обработки рисков;
- d) мониториться:
- е) быть доведенными до всех заинтересованных сторон;
- f) обновляться по мере необходимости:
- g) быть задокументированными.
Организация должна сохранять документированную информацию в отношении целей информационной безопасности.
При планировании методов достижения целей информационной безопасности организация должна определить:
При планировании методов достижения целей информационной безопасности организация должна определить:
- h) что должно быть сделано;
- i) какие ресурсы потребуются;
- j) кто за это будет ответственным;
- k) когда это должно быть закончено; а также
- l) каким образом результаты будут оцениваться.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.1.1
12.1.1
Определенные Требования к Подходу:
Общая политика информационной безопасности - это:
Определенные Требования к Подходу:
Общая политика информационной безопасности - это:
- Определена.
- Опубликованна.
- Поддерживается.
- Распространяется среди всего соответствующего персонала, а также среди соответствующих поставщиков и деловых партнеров.
Цель Индивидуального подхода:
Стратегические цели и принципы информационной безопасности определены, приняты и известны всему персоналу.
Определенные Процедуры Тестирования Подхода:
Стратегические цели и принципы информационной безопасности определены, приняты и известны всему персоналу.
Определенные Процедуры Тестирования Подхода:
- 12.1.1 Изучите политику информационной безопасности и опросите персонал, чтобы убедиться, что общая политика информационной безопасности управляется в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Общая политика информационной безопасности организации связана со всеми другими политиками и процедурами, определяющими защиту данных о держателях карт, и регулирует их.
Политика информационной безопасности отражает намерения и цели руководства в отношении защиты его наиболее ценных активов, включая данные о держателях карт.
Без политики информационной безопасности отдельные лица будут принимать свои собственные ценностные решения в отношении средств контроля, которые требуются в организации, что может привести к тому, что организация не будет выполнять свои юридические, нормативные и договорные обязательства, а также не сможет надлежащим образом защитить свои активы последовательным образом.
Для обеспечения реализации политики важно, чтобы весь соответствующий персонал в организации, а также соответствующие третьи стороны, поставщики и деловые партнеры были осведомлены о политике информационной безопасности организации и их обязанностях по защите информационных активов.
Надлежащая практика:
Политика безопасности организации определяет цель, сферу охвата, подотчетность и информацию, которая четко определяет позицию организации в отношении информационной безопасности.
Общая политика информационной безопасности отличается от отдельных политик безопасности, которые касаются конкретных технологий или дисциплин безопасности. Эта политика устанавливает директивы для всей организации, в то время как отдельные политики безопасности согласовывают и поддерживают общую политику безопасности и сообщают конкретные цели для технологий или дисциплин безопасности.
Важно, чтобы весь соответствующий персонал в организации, а также соответствующие третьи стороны, поставщики и деловые партнеры были осведомлены о политике информационной безопасности организации и их обязанностях по защите информационных активов.
Определения:
“Соответствующий” для этого требования означает, что политика информационной безопасности распространяется среди лиц, чьи роли применимы к некоторым или всем разделам политики, либо внутри компании, либо из-за услуг/функций, выполняемых поставщиком или третьей стороной
Общая политика информационной безопасности организации связана со всеми другими политиками и процедурами, определяющими защиту данных о держателях карт, и регулирует их.
Политика информационной безопасности отражает намерения и цели руководства в отношении защиты его наиболее ценных активов, включая данные о держателях карт.
Без политики информационной безопасности отдельные лица будут принимать свои собственные ценностные решения в отношении средств контроля, которые требуются в организации, что может привести к тому, что организация не будет выполнять свои юридические, нормативные и договорные обязательства, а также не сможет надлежащим образом защитить свои активы последовательным образом.
Для обеспечения реализации политики важно, чтобы весь соответствующий персонал в организации, а также соответствующие третьи стороны, поставщики и деловые партнеры были осведомлены о политике информационной безопасности организации и их обязанностях по защите информационных активов.
Надлежащая практика:
Политика безопасности организации определяет цель, сферу охвата, подотчетность и информацию, которая четко определяет позицию организации в отношении информационной безопасности.
Общая политика информационной безопасности отличается от отдельных политик безопасности, которые касаются конкретных технологий или дисциплин безопасности. Эта политика устанавливает директивы для всей организации, в то время как отдельные политики безопасности согласовывают и поддерживают общую политику безопасности и сообщают конкретные цели для технологий или дисциплин безопасности.
Важно, чтобы весь соответствующий персонал в организации, а также соответствующие третьи стороны, поставщики и деловые партнеры были осведомлены о политике информационной безопасности организации и их обязанностях по защите информационных активов.
Определения:
“Соответствующий” для этого требования означает, что политика информационной безопасности распространяется среди лиц, чьи роли применимы к некоторым или всем разделам политики, либо внутри компании, либо из-за услуг/функций, выполняемых поставщиком или третьей стороной
NIST Cybersecurity Framework (EN):
ID.GV-1
ID.GV-1: Organizational cybersecurity policy is established and communicated
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
5.1.1
5.1.1 Политики информационной безопасности
Мера обеспечения ИБ
Мера обеспечения ИБ
Совокупность политик ИБ должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон.
Руководство по применению
Руководство по применению
На высоком уровне организация должна определить "политику ИБ", которую утверждает руководство и в которой изложен подход организации к достижению целей ИБ.
Политики ИБ должны учитывать требования, порождаемые:
- a) бизнес-стратегией;
- b) нормативными актами, требованиями регуляторов, договорами;
- c) текущей и прогнозируемой средой угроз ИБ.
Политика ИБ должна содержать положения, касающиеся:
- a) определения ИБ, целей и принципов, которыми необходимо руководствоваться в рамках деятельности, связанной с ИБ;
- b) определения ролей по менеджменту ИБ и распределения общих и конкретных обязанностей;
- c) процессов обработки отклонений и исключений;
- d) лиц, несущих ответственность за неисполнение политик ИБ.
На более низком уровне политику ИБ необходимо поддерживать политиками, относящимися к конкретным направлениям в обеспечении ИБ, которые далее предусматривают внедрение мер обеспечения ИБ и, как правило, структурируются для удовлетворения потребностей определенных групп в организации или для охвата определенных областей.
Примерами таких областей политик могут быть:
- a) управление доступом (раздел 9);
- b) категорирование и обработка информации (см. 8.2);
- c) физическая безопасность и защита от воздействия окружающей среды (раздел 11);
- d) области, ориентированные на конечного пользователя:
- допустимое использование активов (см. 8.1.3);
- "чистый стол" и "чистый экран" (см. 11.2.9);
- передача информации (см. 13.2.1);
- мобильные устройства и дистанционная работа (см. 6.2);
- ограничения на установку и использование программного обеспечения (см. 12.6.2);
- e) резервное копирование (см. 12.3);
- f) передача информации (см. 13.2);
- g) защита от вредоносных программ (см. 12.2);
- h) управление техническими уязвимостями (см. 12.6.1);
- i) криптография (раздел 10);
- j) безопасность коммуникаций (раздел 13);
- k) конфиденциальность и защита персональных данных (см. 18.1.4);
- l) взаимоотношения с поставщиками (раздел 15).
Эти политики должны быть доведены до сведения всех работников и причастных внешних сторон в актуальной, доступной и понятной для предполагаемого читателя форме, например в контексте "программы информирования, обучения и практической подготовки (тренинги) в области информационной безопасности" (см. 7.2.2).
Дополнительная информация
Дополнительная информация
Потребность во внутренних политиках ИБ варьируется в зависимости от организации. Внутренние политики особенно полезны в крупных организациях, где лица, определяющие и утверждающие необходимый уровень мер обеспечения ИБ, отделены от лиц, реализующих эти меры; или в ситуациях, когда политика распространяется на многих людей или на многие функции в организации. Политики ИБ могут быть оформлены в виде единого документа, например "Политика информационной безопасности", или в виде набора отдельных, но связанных документов.
Если какие-либо политики ИБ распространяются за пределы организации, то следует следить за тем, чтобы никакая конфиденциальная информация не была разглашена.
Некоторые организации используют другие термины для документов-политик, например "Стандарты", "Инструкции", "Правила".
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.