privacy-policy

Политика информационной безопасности в контексте серии ГОСТ ИСО/МЭК 27001

На своем опыте разработки системы управления информационной безопасности организации, могу сказать, что политика информационной безопасности — чрезвычайно полезный и значимый документ. Но написать политику ИБ не так-то просто, как кажется на первый взгляд. Это одно из первых требований стандарта ISO 27001, в разделе разработки СМИБ (системы менеджмента информационной безопасности), но технически работа над политикой не может быть полностью выполнена на первых шагах построения СМИБ. Политика формируется постепенно на каждом этапе разработки, внедрения, мониторинга и анализа и улучшения СМИБ. Я сделал выписки о политике ИБ из серии стандартов ISO 27000, чтобы в будущем не перелистывать сотни страниц этих стандартов.

Подробно ознакомиться с текстами серии стандартов ISO 27000 вы можете в Базе Знаний клуба информационной безопасности.

ГОСТ Р ИСО/МЭК 27001

Согласно требованиям стандарта ГОСТ Р ИСО/МЭК 27001. «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования», организация должна осуществить следующее:
Определить политику СМИБ на основе характеристик бизнеса организации, ее размещения, активов и технологий, которая:

  • содержит концепцию, включающую в себя цели, основные направления и принципы действий в сфере ИБ;
  • принимает во внимание требования бизнеса, нормативно-правовые требования, а также договорные обязательства по обеспечению безопасности;
  • согласуется со стратегическим содержанием менеджмента рисков организации, в рамках которого будет разрабатываться и поддерживаться СМИБ;
  • устанавливает критерии оценки рисков;
  • утверждается руководством организации.

 ГОСТ Р ИСО/МЭК 27002

С точки зрения стандарта ГОСТ Р ИСО/МЭК 27002 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности», цель политики информационной безопасности: Обеспечить управление и поддержку высшим руководством информационной безопасности в соответствии с требованиями бизнеса и соответствующими законами и нормами.

Высшее руководство должно установить четкое направление политики в соответствии с целями бизнеса и демонстрировать поддержку и обязательства в отношении обеспечения информационной безопасности посредством разработки и поддержки политики информационной безопасности в рамках организации.

При необходимости следует предусмотреть наличие контактного лица, занимающегося вопросами информационной безопасности внутри организации, к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специалистами по безопасности или группами специалистов, включая соответствующие органы, чтобы находиться в курсе отраслевых тенденций, осуществлять мониторинг стандартов и методов оценки, и обеспечивать адекватные точки контакта при обработке инцидентов информационной безопасности. Следует поощрять многопрофильный подход к обеспечению информационной безопасности.

Политика информационной безопасности должна быть утверждена руководством, издана и доведена до сведения всех сотрудников организации и соответствующих сторонних организаций.

Политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к менеджменту информационной безопасности. Документ, в котором излагается политика, должен содержать положения относительно:

  • определения информационной безопасности, ее общих целей и сферы действия, а также упоминания значения безопасности как инструмента, обеспечивающего возможность совместного использования информации;
  • изложения намерений руководства, поддерживающих цели и принципы информационной безопасности в соответствии со стратегией и целями бизнеса;
  • подхода к установлению мер и средств контроля и управления и целей их применения, включая структуру оценки риска и менеджмента риска;
  • краткого разъяснения наиболее существенных для организации политик безопасности, принципов, стандартов и требований соответствия, например:
    • соответствие законодательным требованиям и договорным обязательствам;
    • требования по обеспечению осведомленности, обучения и тренинга в отношении безопасности;
    • менеджмент непрерывности бизнеса;
    • ответственность за нарушения политики информационной безопасности;
    • определения общих и конкретных обязанностей сотрудников в рамках менеджмента информационной безопасности, включая информирование об инцидентах безопасности;
    • ссылок на документы, дополняющие политику информационной безопасности, например более детальные политики и процедуры безопасности для определенных информационных систем, а также правила безопасности, которым должны следовать пользователи.

Данная политика информационной безопасности должна быть доведена до сведения пользователей в рамках всей организации в актуальной, доступной и понятной форме.

Политика информационной безопасности может составлять часть документа по общей политике. Если политика информационной безопасности распространяется за пределами организации, следует принимать меры в отношении неразглашения чувствительной информации.

ГОСТ Р ИСО/МЭК 27003

Стандарт ГОСТ Р ИСО/МЭК 27003 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности» рекомендует:

В качестве исходных данных взять:

  1. Приоритеты организации для разработки СМИБ — обобщенные цели и перечень требований;
  2. Составление описания случая применения СМИБ для данного предприятия и плана проекта для утверждения руководством — первоначальное утверждение руководством проекта СМИБ;
  3. Объединение всех областей действия и границ для получения области действия и границ — область действия и границы СМИБ;
  4. Разработку политики СМИБ и получение одобрения руководства — политика СМИБ;
  5. Определение требований к информационной безопасности для процесса СМИБ;
  6. Определение активов в рамках области действия СМИБ;
  7. Проведение оценки информационной безопасности;
  8. Результаты оценки риска и выбора целей и средств управления;
  9. Разработка конечной структуры организации для информационной безопасности;
  10. Разработка основы для документирования СМИБ;

Необходимо документировать стратегическую позицию руководства и администрации, связанную с целями информационной безопасности в отношении использования СМИБ. Политика информационной безопасности документирует стратегическую позицию организации в отношении информационной безопасности во всей организации.

Политика строится на основе информации и знания. Моменты, признанные руководством важными во время ранее проведенного анализа, должны быть сделаны наглядными, им должно быть уделено особое внимание в политике, чтобы обеспечить стимуляцию и мотивацию в организации. Также важно отметить, что происходит, если не следовать выбранной политике, и подчеркнуть влияния законов и регулирующих положений на рассматриваемую организацию.

Примеры политики информационной безопасности можно взять из справочной литературы, сети Интернет, в сообществах по интересам и отраслевых объединениях. Формулировки и подсказки можно найти в годовых отчетах, других документах по политике или документах, сохраняемых руководством.

Относительно фактического объема документации по политике могут существовать различные интерпретации и требования. Эта документация должна быть в достаточной степени суммирована, чтобы работники организации понимали значение политики. Кроме того, она должна достаточно четко показывать, каких целей необходимо достичь, чтобы установить набор правил и целей организации.

Объем и структура политики информационной безопасности должны подкреплять документы, которые используются на следующем этапе процесса, для введения системы управления информационной безопасностью.

Для больших организаций со сложной структурой (например, с широким спектром различных областей деятельности) может возникнуть необходимость создания общей политики и множества политик более низкого уровня, адаптированных к конкретным областям деятельности.

Рекомендации по содержанию документов по политике информационной безопасности представлены в стандарте ISO/IEC 27002.

Предлагаемая политика (с номером версии и датой) должна быть подвергнута перекрестной проверке и учреждена в организации оперативным руководителем. После учреждения в группе управления или аналогичном органе оперативный руководитель утверждает политику информационной безопасности. Затем она доводится до сведения каждого работника организации надлежащим способом, чтобы стать доступной и понятной для читателей.

Выходные данные представляют собой документ, описывающий и документирующий утвержденную руководством политику СМИБ. Этот документ должен быть повторно утвержден в следующей фазе проекта, поскольку зависит от результатов оценки риска.

ГОСТ Р ИСО/МЭК 27003-2012. Приложение D. Структура политики

В данном приложении содержатся дополнительные рекомендации по структуре политики, включая политику информационной безопасности.

Политика — это общие намерения и указания, официально выраженные руководством. Содержание политики управляет действиями и решениями, касающимися предмета политики. Организация может иметь несколько политик, по одной для каждой сферы деятельности, важной для организации. Некоторые политики независимы одна от другой, в то время как другие политики находятся в иерархическом соотношении. В области безопасности политики, как правило, иерархически организованы. Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику информационной безопасности и политику системы менеджмента информационной безопасности. В свою очередь, политика информационной безопасности может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам информационной безопасности. Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика информационной безопасности подкрепляется политиками, касающимися контроля доступа, политики «чистого стола» и «чистого экрана», использования сетевых служб и криптографического контроля. В некоторых случаях возможно включение дополнительных уровней политики.

Согласно стандарту ISO/IЕС 27001 требуется, чтобы организации имели политику СМИБ и политику информационной безопасности. Однако это не подразумевает каких-либо конкретных соотношений между этими политиками. Эти политики могут разрабатываться как равноправные политики: политика СМИБ может подчиняться политике информационной безопасности, или, наоборот, политика информационной безопасности может подчиняться политике СМИБ.

Содержание политики основано на контексте, в котором работает организация. В частности, при разработке любой политики в рамках основ политики нужно учитывать следующе:

  1. цели и задачи организации;
  2. стратегии, адаптированные для достижения этих целей;
  3. структуру и процессы, адаптированные организацией;
  4. цели и задачи, связанные с предметом политики;
  5. требования связанных политик более высокого уровня.

Политики могут иметь следующую структуру:

  1. Краткое изложение политики — общее описание из одного-двух предложений.
  2. Введение — краткое объяснение предмета политики.
  3. Область действия — описывает части или действия организации, находящиеся под влиянием политики. При необходимости в пункте «Область действия» перечисляются другие политики, подкрепляемые данной политикой.
  4. Цели — описание назначения политики.
  5. Принципы — описание правил, касающихся действий и решений для достижения целей. В некоторых случаях может быть полезным определить ключевые процессы, связанные с предметом политики, и затем — правила выполнения процессов.
  6. Сферы ответственности — кто отвечает за действия по выполнению требований политики. В некоторых случаях этот пункт может содержать описание организационных соглашений, а также сферы ответственности лиц с определенными ролями.
  7. Ключевые результаты — описание результатов, получаемых предприятием, если цели достигнуты. Связанные политики — описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.

Пример политики

Далее приведен пример политики информационной безопасности, показывающий ее структуру и пример содержания.

Политика информационной безопасности (Пример)

Краткое изложение политики

Информация всегда должна быть защищена независимо от ее формы и способа ее распространения, передачи и хранения.

Введение

Информация может существовать во многих различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных устройств, показываться на пленках или передаваться устно в процессе общения.

Информационная безопасность — это защита информации от различных угроз, призванная обеспечить непрерывность бизнес-процессов, минимизировать риск для бизнеса и максимизировать возвращение вложений и обеспечить возможности деловой деятельности.

Область действия

Данная политика подкрепляет общую политику безопасности организации.
Данная политика применяется ко всем сотрудникам организации.

Цели информационной безопасности

  1. Понимание и обработка стратегических и оперативных рисков для информационной безопасности, чтобы они были приемлемы для организации.
  2. Защита конфиденциальности информации клиентов, разработок продукции и планов маркетинга.
  3. Сохранение целостности материалов бухгалтерского учета.
  4. Соответствие общих веб-сервисов и внутренних сетей соответствующим стандартам доступности.

Принципы информационной безопасности

  1. Данная организация способствует принятию рисков и преодолевает риски, которые не могут преодолеть организации с консервативным управлением, при условии понимания, мониторинга и обработки рисков для информации при необходимости. Подробное описание подходов, применяемых для оценки и обработки рисков, можно найти в политике СМИБ.
  2. Весь персонал должен быть осведомлен и подотчетен за информационную безопасность в отношении своих должностных обязанностей.
  3. Необходимо принять меры для финансирования средств управления информационной безопасностью и процессов управления проектами.
  4. Возможности мошенничества и злоупотреблений в области информационных систем должны быть приняты в расчет при общем управлении информационными системами.
  5. Отчеты о состоянии информационной безопасности должны быть доступны.
  6. Необходимо отслеживать риски для информационной безопасности и предпринимать действия, когда изменения приводят к возникновению непредвиденных рисков.
  7. Критерии классификации рисков и приемлемости рисков можно найти в политике СМИБ.
  8. Ситуации, которые могут привести организацию к нарушению законов и установленных норм, не должны допускаться.

Сферы ответственности

  1. Группа руководителей высшего эвена отвечает за обеспечение соответствующей проработки информации во всей организации.
  2. Каждый руководитель высшего звена отвечает за то, чтобы сотрудники, работающие под его руководством, осуществляли защиту информации в соответствии со стандартами организации.
  3. Начальник отела безопасности консультирует группу руководителей высшего звена, оказывает экспертную помощь сотрудникам организации и обеспечивает доступность отчетов о состоянии информационной безопасности.
  4. Каждый сотрудник организации отвечает за информационную безопасность как часть выполнения своих должностных обязанностей.

Ключевые результаты

  1. Инциденты информационной безопасности не должны приводить к серьезным непредвиденным затратам или серьезным срывам работы служб и деятельности предприятия.
  2. Потери из-за мошенничества должны быть известны и находиться в рамках приемлемых ограничений.
  3. Вопросы информационной безопасности не должны оказывать неблагоприятного влияния на прием заказчиками продукции и услуг

Связанные политики

Следующие детальные политики содержат принципы и рекомендации по отдельным аспектам информационной безопасности:

  1. Политика системы менеджмента информационной безопасности (СМИБ);
  2. Политика контроля доступа;
  3. Политика чистого стола и чистого экрана;
  4. Политика неразрешенного программного обеспечения;
  5. Политика, касающаяся получения файлов программного обеспечения из внешних сетей или через них;
  6. Политика, касающаяся мобильного кода;
  7. Политика резервного копирования;
  8. Политика, касающаяся обмена информацией между организациями;
  9. Политика, касающаяся допустимого использования электронных средств связи;
  10. Политика сохранения записей;
  11. Политика использования сетевых служб;
  12. Политика, касающаяся мобильных вычислений и связи;
  13. Политика дистанционной работы;
  14. Политика использования криптографического контроля;
  15. Политика соответствия;
  16. Политика лицензирования программного обеспечения;
  17. Политика удаления программного обеспечения;
  18. Политика защиты и секретности данных.

Все эти политики подкрепляют:

  • идентификацию риска путем предоставления основы средств управления, которые могут использоваться для обнаружения недостатков в проектировании и внедрении систем;
  • обработку риска путем оказания помощи в определении способов обработки для определенных уязвимостей и угроз.
Поделитесь
  •  
  •  
  •  
  •  
  •  
  •