Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников
Чтение книги онлайн.
Читать онлайн книгу Управление информационной безопасностью. Стандарты СУИБ - Вадим Гребенников страница 16
7) физическая и экологическая безопасность (2);
8) безопасность операций (7);
9) безопасность связи (2);
10) приобретение, разработка и поддержка ИС (3);
11) взаимоотношения с поставщиками (2);
12) управление инцидентами ИБ (1);
13) аспекты ИБ при управлении непрерывностью бизнеса (2);
14) соответствие требованиям (2).
Каждая основная категория безопасности включает в себя:
– цель ИБ;
– меры достижения этой цели.
Описание мер ИБ структурируется таким образом:
– меры и средства ИБ;
– рекомендации по их реализации.
1. Политика ИБ
1.1. Руководящие положения для ИБ
Цель: Реализовать требования политики ИБ и обеспечить поддержку для ИБ в соответствии с требованиями бизнеса и действующим законодательством.
Политика ИБ предполагает следующие мероприятия:
– документирование;
– пересмотр.
Документирование
Меры и средства
Политика ИБ документируется оформлением, утверждением, публикованием и доведением до персонала и внешних заинтересованных сторон.
Рекомендации по реализации
В лучшем случае, политика ИБ должна устанавливать ответственность руководства, а также излагать подход организации к УИБ.
Политика ИБ должна содержать требования:
– стратегии бизнеса;
– законодательства и договорных обязательств;
– защиты от существующих и потенциальных угроз ИБ.
Политика ИБ должна содержать положения по:
– определению ИБ, ее целей и принципов для руководства действиями по обеспечению ИБ;
– определению ответственности разных ролей с учетом специфики управления ИБ;
– изложения намерений руководства, поддерживающих цели и принципы ИБ в соответствии со стратегией и целями бизнеса;
– процессов управления изменениями и исключениями.
В худшем случае, политика ИБ должна поддерживаться специализированными политиками, направленными на внедрение управления ИБ и созданными специально для целевых групп внутри организации или выполнения конкретных задач.
Примерами таких задач могут быть:
– управление доступом;
– классификация активов;
– физическая и экологическая безопасность;
– следующие требования к пользователям:
• использование активов;
• чистый стол и чистый экран;
• политика коммуникаций;
• мобильные устройства и удалённая работа;