Конспект (6)
.docxЛабораторная работа 6.
Изучение действующей нормативной документации объекта информатизации
Основным документом, регламентирующим безопасность объекта информатизации, является политика информационной безопасности.
Политика информационной безопасности – это формальное изложение правил поведения, процедур, практических приемов или руководящих принципов в области информационной безопасности, которыми руководствуется организация в своей деятельности.
Согласно отечественному стандарту ГОСТ Р ИСО/МЭК 27002-2021, политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. В соответствии с указанным стандартом, необходимо, чтобы политика информационной безопасности предприятия должна содержать: - предмет, основные цели и задачи политики безопасности; - условия применения политики безопасности и возможные ограничения; - описание позиции руководства организации в отношении выполнения политики безопасности и организации режима информационной безопасности организации в целом; - права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности организации; - порядок действия в чрезвычайных ситуациях в случае нарушения политики безопасности.
Политика ИБ должна быть документом первого уровня, ее должны расширять и дополнять другие документы (положения и инструкции), которые уже будут описывать что-то конкретное. Примерная схема представлена на рисунке.