ISO/EIC 17799:2000

3 Политика безопасности

3.1 Политика информационной безопасности

Цель: Обеспечение направления и поддержки информационной безопасности руководством.

Руководство организации должно четко сформулировать требования политики и проявить и поддержку требований информационной безопасности путем распространения политики информационной безопасности во всей организации.

3.1.1 Описание политики информационной безопасности

Документ, содержащий описание политики информационной безопасности, должен быть одобрен руководством, опубликован и, согласно необходимости, распространен среди всех сотрудников. Этот документ должен выражать поддержку руководства компании и определять подход к управлению информационной безопасностью, который будет применяться в организации. Как минимум, данный документ должен включать следующие сведения:

a)определение информационной безопасности, ее общие цели и область действия, а также сведения о важности безопасности в качестве механизма, делающего возможным совместное использование информации (см. введение);

b)заявление о намерениях руководства, освещающее цели и принципы управления информационной безопасностью;

c)краткое описание политики безопасности, принципов, стандартов и нормативных требований, имеющих определенное значение для организации, например:

1)соответствие требованиям законодательства и условиям контрактов;

2)требования к образовательной подготовке в области безопасности;

3)защита от вирусов и других злонамеренных программ;

4)поддержка непрерывности бизнеса;

5)последствия нарушения политики безопасности;

d)определение общих и частных обязанностей по управлению информационной безопасностью, в том числе предоставление сведений об инцидентах;

e)ссылки на документацию, которая может дополнять описание политики, например, более подробные описания политик и инструкций для конкретных информационных систем или правила безопасности, которые должны соблюдаться пользователями.

Данное описание политики необходимо распространить среди пользователей во всей организации в подходящем и удобочитаемом для них виде.

3.1.2 Обновление и оценка

Необходимо назначить сотрудника, отвечающего за поддержку политики и ее обновление согласно принятой процедуре обновления. Данная процедура должна гарантировать пересмотр политики в ответ на любые изменения, влияющие на основу исходной оценки рисков – например, крупные инциденты, связанные с безопасностью, новые уязвимости или изменения в организационной или технической инфраструктуре. Кроме того, необходимо создать график периодической переоценки следующих критериев: