отвечает за регулярные проверки правильности классификации информации и защищенности компонент информационной системы компании.
Другие обязанности
Важно, чтобы политика безопасности детализировала обязанности отдельных отделов и/пли групп сотрудников.
К другим обязанностям относятся следующие:
• все партнеры компании, вендоры, провайдеры и сторонние организации, которые участвуют в процессе обработки конфиденциальной информации компании, должны руководствоваться четко документированной политикой безопасности для сторонних организаций;
• все партнеры компании, вендоры, провайдеры и сторонние организации, которые имеют доступ к конфиденциальной информации компании, должны подписать соглашение об обязательном исполнении настоящей политики безопасности.
Документирование
Документирование гарантирует, что политика безопасности принята к действию и соблюдается на рабочих местах в компании.
Политика безопасности компании требует разработки, внедрения и исполнения процедур безопасности. Должна быть разработана документация по управлению пользовательскими идентификаторами на рабочих станциях, по управлению списками контроля доступа на рабочих местах компании, по сбору и анализу системных журналов и журналов приложений, ведения отчетности по реагированию на инциденты и пр.
Пересмотр политики
Пересмотр политики безопасности должен выполняться как минимум ежегодно для поддержания ее актуальности.
Обязанность по периодическому пересмотру политики безопасности возлагается на службу безопасности. В связи с быстрым изменением информационных технологий политика безопасности должна пересматриваться не реже одного раза в год. В группу по пересмотру политики безопасности компании должны входить высшее руководство компании, сотрудники службы безопасности, отдела системного администрирования и юридического отдела.
Содержание информации
Далее описываются типы информации и как они могут быть использованы.
Содержание обрабатываемой в компании информации зависит от специфики ведения бизнеса компании. При этом, независимо от конкретного содержания информации, положения политики безопасности должны быть выполнены.
Классификация информации
Классификация информации – основа любой политики безопасности компании.
Служба безопасности отвечает за надлежащую классификацию информационных активов компании.
Вся обрабатываемая информация компании подразделяется на следующие виды:
• информация открытого доступа или публичная информация;
Информация, которая доступна как внутри компании, так и за ее пределами. Разглашение, использование или уничтожение такой информации не нанесет ущерба компании (пример: новости о компании, стоимость ее акций).
• экономически
