Структура политики иб и процесс ее разработки

Представляет собой комплекс доков, который отражает все основные требования к обеспечению ЗИ и направления работы организации в этой области.

ПИБ:

-верхний

-средний

-нижний

Верхний служит для формулирования и демонстрации отношения руководства организации к вопросам ИБ и отражений общих целей организации к этой области. Документами этого уровня определяют, что будет раскрываться на нижних уровнях.

Средний –определяются отношения и требования организации к отдельным инф потокам и ИС, которые исп в различных сферах деятельности организации. Определяются отношения и требования к определенным инф и телекоммуникационным технологиям методом и подходом к обработке инфы и построения ИС. Разрабатываются отношения и требования к сотрудникам организации как к участникам процесса обработки инфы от которых напрямую зависит защищенность инф ресурсов, а так же определяются основные направления и методы воздейст на персонал с целью повышения ИБ организации

Основные правила которые необходимо соблюдать независимо от уровня:

1. политики безопасности которые разраб на нижних уровнях должны подчиняться политикам верхних уровней

2. текст политики безоп должен содержать четкие и однозначные формулировки, не допускающие двойного толкования

3. текст ПБ должен быть доступен для понимания тех сотрудников которым он адресован

общий жизненный цикл ПБ вкл:

1. проведение предварительного исследования состояния ИБ в организации

2. разработка ПБ

3. внедрение ПБ

4. анализ соблюдения требований внедренной политики безопасности и формулирование требований по дальнейшему ее совершенствованию

Политика ИБ верхнего уровня явл декларацией руководителей по необходимости вести целенаправленную работу по защите инф ресурсов.

Описывает:

1. Решения об осуществлении данной деятельности

2. Определяется перечень осн инф ресурсов защита которых имеет наибольший приоритет для всей организации

3. Общий подход к распределению ответственности за обеспечение ИБ внутри организации

4. Указание на необходимость всего персонала соблюдать опред требования в области ЗИ, повышать свою квалификацию в данной области и осознавать меру ответственности за возможные нарушения

5. Отношения руководства организации к фактам нарушения требований по ИБ, отношение руководства к лицам, соверш нарушения, а так же какое наказание предусмотрено этим должностным лицам за те или иные нарушения

Политики безопасности среднего уровня ….. требования задачи и правила, которые присутствуют в политике верхнего уровня и отдельно описывают основные сферы деятельность организации в которых необходимо системное осуществление орг и технических мероприятий

Разделы политики среднего ур-ня:

1. Сфера деятельности на которую распр данная политика

2. Область применения политики безоп. Указывается перечень лиц, организаций к которым она применяется

3. Конкретные правила, критерии, показатели которые предъявляются к ИС, процедурам обращения инфы, прогр и аппаратным ср-вам

4. Как распределяются роли, обязанности должностных лиц при решении задач в области обеспечения ИБ

Политика безоп ср-него уровня делится на:

-политики, которые относятся к определенным сферам деятельности организации и определенным инф потокам

-политики которые относятся к вопросам использования ИТ, вне зависимости той сферы, где исп данные вопросы и методы

Политика безоп нижнего ур-ня вкл в себя доки которые явл инструкциями методиками и используются в повседневной деятельности. Доки для отдельных инф сист, процедур.

-регламент работы с определенными телекоммуникационными системами, БД

-должностные обязанности отдельных категорий сотрудников в отношении обесп ИБ, а так же требования, которые предъявл к персоналу

-регламенты предоставления доступа сотрудников к опред инф системам и ресурсам