Требования к политике безопасности

Цель: Обеспечить управление и поддержку в области информационной безопасности со стороны руководства в соответствии с требованиями бизнеса, а также действующей законодательной и нормативной базой. Руководство должно определить четкое стратегическое направление и продемонстрировать поддержку и приверженность информационной безопасности посредством опубликования и сопровождения политики информационной безопасности для всей организации.

Политика информационной безопасности - самый важный документ в системе управления информационной безопасностью (СУИБ) организации, выступающий в качестве одного из ключевых механизмов безопасности.

Согласно ISO 17799 документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью, определять понятие информационной безопасности, ее основные цели и область действия, содержать основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками и многое другое.

Согласно ISO 27001 политика информационной безопасности является подмножеством более общего документа - политики СУИБ, включающей в себя основные положения для определения целей СУИБ и устанавливающей общее направление и принципы деятельности по отношению к информационной безопасности, учитывающей требования бизнеса, законодательной или нормативной базы, контрактные обязательства, устанавливаливающей критерии для оценивания рисков и т.д.

Политика информационной безопасности и политика СУИБ организации могут быть описаны в одном документе. Разработка такого документа - задача непростая и очень ответственная. С одной стороны политика информационной безопасности должна быть достаточно емкой и понятной для всех сотрудников организации. С другой стороны, на основе этого документа строится вся система мер по обеспечению информационной безопасности, поэтому он должен быть досточно полным и всеохватывающим. Любые упущения и неоднозначности могут серьезным образом отразиться на функционировании СУИБ организации. Политика информационной безопасности должна полностью соответствовать требованиям международных стандартов ISO 27001/17799. Это необходимое условие для успешного прохождения сертификации.

BS ISO/IEC 27001:2005 4.2.1 b) Политика СУИБ:

Определить политику СУИБ в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий, которая:

1. включает в себя основу для определения ее целей и устанавливает общее направление и принципы деятельности по отношению к информационной безопасности;
2. учитывает требования бизнеса и требования законодательной или нормативной базы, а также контрактные обязательства в области безопасности;
3. объединяется со стратегическим контекстом управления рисками в организации, в котором будет происходить создание и сопровождение СУИБ;
4. устанавливает критерии для оценивания рисков (см. 4.2.1с)); и
5. утверждена руководством.

ПРИМЕЧАНИЕ: В этом Международном стандарте политика СУИБ рассматривается в качестве надмножества политики информационной безопасности. Эти политики могут быть описаны в одном документе.

BS ISO/IEC 17799:2005 5.1.1 Документированная политика информационной безопасности:

Механизм контроля

Документированная политика информационной безопасности должна быть утверждена руководством, опубликована и доведена до сведения всех сотрудников организации и внешних сторон, к которым она относится.

Руководство по внедрению

Документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью в организации. Документированная политика должна содержать  следующие заявления:

1. определение понятия информационной безопасности, ее основных целей, области действия и важности безопасности как механизма, дающего возможность осуществлять совместное использование информации (см. Введение);
2. заявление о намерении руководства поддерживать достижение целей и соблюдение принципов информационной безопасности в соответствии с целями и стратегией бизнеса;
3. основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками;
4. краткое разъяснение политик безопасности, стандартов, принципов и требований, особенно важных для организации, включая:
1. соответствие требованиям законодательства, нормативной базы и договоров;
2. требования к повышению осведомленности, обучению и тренингам в области безопасности;
3. управление непрерывностью бизнеса;
4. последствия нарушений политики информационной безопасности;
5. определение общей и индивидуальной ответственности за управление информационной безопасностью, включая оповещение об инцидентах безопасности;
6. ссылки на документы, которые могут поддерживать политику, например, более детализированные политики и процедуры безопасности для отдельных информационных систем или правила безопасности, которым должны следовать пользователи.

Эта политика информационной безопасности должна быть доведена до сведения всех пользователей организации в форме, являющейся актуальной, доступной и понятной для читателей, которым она предназначена.

Другая информация

Политика информационной безопасности должна быть частью более общей документированной политики. Если политика информационной безопасности распространяется за границы организации, должны быть приняты меры для предотвращения раскрытия конфиденциальной информации.  Дополнительная информация  содержится в ISO/IEC 13335-1:2004.