вторник, 26 марта 2013 г.

Набросок политики информационной безопасности

Политика информационной безопасности должна отражать совокупность официальных взглядов руководства организации на информационную безопасность: ее цели, задачи, принципы и направления. Набрел на чей-то набросок политики ИБ, который мне показался "кратким и по делу". Возможно, кому-то будет полезен:


Политика информационной безопасности <компания>

Введение

Политика информационной безопасности (далее - ИБ) определяет основные цели, задачи, принципы и направления обеспечения ИБ.
Пишем - Что компания относит к информационным активам? 
Главной целью ИБ является...
…… 
Внедрение данной Политики важно с точки зрения нашей целостности как поставщика продуктов и услуг для внутренних и внешних заказчиков. 

Применимость

Общее описание области действия Политики или ссылка на соответствующий документ. 

Цели

Защита информационных активов принадлежащих Компании. 
Защита информации о заказчике/партнере. 
Обеспечение конфиденциальности в отношениях с партнерами, предусматривающих обмен информации. 
... 

Задачи 

Описание того, что нужно сделать, что бы достигнуть указанных ранее целей (см. раздел “Цели”) 
Например: Разработка, внедрение и поддержание в актуальном состоянии СУИБ посредством реализации следующих мер…… 

Специфические политики 

В поддержку данной Политики должны быть разработаны следующие документы: 
Перечислятся документы в поддержку Политики 
Например: Политика обработки инцидентов ИБ 
Заканчивается список условиями, при которых можно этот список менять и дополнять. 

Отчетность 

Кто и как отчитывается по ИБ. Краткое описание и/или ссылка на соответствующий документ. 

Ответственность 

Кто отвечает за пересмотр настоящей Политики? 
Кто отвечает за разработку, внедрение настоящей Политики? 
…. 
Все сотрудники Компании несут ответственность за внедрение и исполнение …. 
Все сотрудники должны понимать свои обязанности по ….. 
К сотрудникам, нарушившим политики и процедуры обеспечения безопасности, могут быть применены …... 

Пересмотр

Когда и как должна пересматриваться данная Политика? 
Например: Настоящая Политика подлежит регулярному пересмотру с целью обеспечения её пригодности для бизнеса. Пересмотр политики должен происходить не реже одного раза в год. 
Условия для непланового пересмотра Политики.