Академический Документы
Профессиональный Документы
Культура Документы
безопасности
Термин “политика” произошёл от греч. politika – государственные или
общественные дела, polis – государство.
13
Корпоративная ПолИБ – это каркас, объединяющий все остальные
документы, регламентирующие обеспечение и управление ИБ.
Положения корпоративной ПолИБ:
1. определение ИБ в терминах деятельности организации, области
действия политики, целей, задач и принципов ОИБ организации;
2. изложение намерения ОИБ, направленного на достижение целей и
реализацию принципов ОИБ;
3. общие сведения об активах, подлежащих защите, их классификацию;
4. модели угроз и нарушителей ИБ, которым нужно противодействовать;
5. высокоуровневое изложение правил и требований по ОИБ;
6. санкции и последствий нарушений корпоративной ПолИБ;
7. определение общих ролей и обязанностей, связанных с ОИБ;
8. перечень частных ПолИБ, указание подразделений организации,
ответственных за их реализацию;
9. положения по контролю реализации корпоративной ПолИБ;
10. ответственность за реализацию и поддержку документа;
11. условия модификации документа. 14
Типовые цели разработки корпоративной ПолИБ:
15
Внеплановый пересмотр политики ИБ проводится в случаях:
- существенных изменений в национальной законодательной базе в
области ИБ;
- внесения существенных изменений в интранет (внутренняя частная сеть
организации);
- возникновения инцидентов ИБ.
17
Частные ПолИБ определяют:
- цели и задачи ОИБ, на обеспечение которых направлена частная
ПолИБ;
- область действия, объекты защиты, угрозы и риски ИБ;
- сведения о виде деятельности, на ОИБ которой направлено действие
положений частной ПолИБ;
- субъекты, на которые распространяется действие политики;
- содержательную часть, т.е. требования и правила;
- обязанности по ОИБ в рамках области действия частной ПолИБ;
- состав ссылочных документов, т.е. тех, ознакомление с которыми
необходимого для понимания текста политики;
- положения по контролю реализации политики;
- ответственность за реализацию и поддержку политики;
- условия пересмотра политики.
18
Рассмотрим ПолИБ по конкретному вопросу (проблеме, области).
Она распространяется на всю организацию.
Чтобы её сформулировать, нужно сначала описать проблему с учётом
принятой терминологии. Полезно указать цели или обоснование
политики. Затем нужно чётко изложить позицию организации по
данному вопросу. Далее уточняется, где, когда, как, к кому и какая
конкретно политика применяется, а также применение политики к
сотрудникам. Нужно распределить роли и ответственность между этими
сотрудниками. Можно описать неприемлемые нарушения и их
последствия. В конце должен быть раздел, посвящённый перечислению
контактных лиц.
В поддержку политики может быть написано руководство и описаны
процедуры.
19
Жизненный цикл любой ПолИБ начинается с определения состава группы
разработки и функций каждого входящего в неё сотрудника. Далее определяется
способ выработки ПолИБ. Нельзя учитывать факторы, которые часто меняются, и
сводить ПолИБ к детальному плану реализации основных мер по защите активов. На
этом этапе нужно уточнить, что пользователи и клиенты ожидают от ОИБ. Только
после этого определяется содержание ПолИБ и начинается её написание.
Рассмотрим упрощённую схему разработки и реализации ПолИБ:
20
Итак, в жизненном цикле ПолИБ выделяются 4 стадии: разработка,
внедрение, применение и аннулирование.
Теперь подробно разберём эти стадии.
25
Спасибо за внимание!
26