ARinteg.ru

  • Москва
  • Ростов-на-Дону
  • Кемерово
  • Новосибирск

  • +7 (495) 221 21 41
  • +7 (863) 320 09 60
  • +7 (384) 221 56 41
  • +7 (495) 221 21 41
ARinteg Вконтакте Дзен ARinteg Arinteg Telegram home print mail site-map               

политика информационной безопасности ARinteg

Политика информационной безопасности

Политика информационной безопасности – это совокупность правил, процедур, практических методов и руководящих принципов в области ИБ, используемых организацией в своей деятельности.

Согласно отечественному стандарту ГОСТ Р ИСО/МЭК 17799-2005, политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. В соответствии с указанным стандартом, необходимо, чтобы политика информационной безопасности предприятия как минимум включала:

- определение информационной безопасности, её общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации

- изложение целей и принципов информационной безопасности, сформулированных руководством

- краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например, таких как:

* соответствие законодательным требованиям и договорным обязательствам;

* требования в отношении обучения вопросам безопасности;

* предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;

* управление непрерывностью бизнеса;

* ответственность за нарушения политики безопасности.

- определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности

- ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.

Политика информационной безопасности компании должна быть утверждена руководством, издана и доведена до сведения всех сотрудников в доступной и понятной форме.

Для того чтобы политика информационной безопасности не оставалась только «на бумаге» необходимо, чтобы она была:

- непротиворечивой – разные документы не должны по разному описывать подходы к одному и тому же процессу обработки информации

- не запрещала необходимые действия – в таком случае неизбежные массовые нарушения приведут к дискредитации политики информационной безопасности среди пользователей

- не налагала невыполнимых обязанностей и требований.

В организации должно быть назначено лицо, ответственное за политику безопасности, отвечающее за её эффективную реализацию и регулярный пересмотр. 

Перейти к списку статей
qrcode
ARinteg Вконтакте   Дзен ARinteg   Arinteg Telegram