ГОСТ Р ИСО/МЭК 17799—2005
руководства, а также излагать подходорганизации к управлению информационной безопасностью. Как
минимум, политика должна включать следующее.
а) определение информационной безопасности, ее общих целей и сферы действия, а также
раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного
использования информации;
б) изложение целей и принципов информационной безопасности, сформулированных руко
водством;
в) краткое изложение наиболее существенных для организации политик безопасности,
принципов, правил и требований, например:
1) соответствие законодательным требованиям и договорным обязательствам;
2) требования в отношении обучения вопросам безопасности;
3) предотвращение появления и обнаружение вирусов и другого вредоносного программного
обеспечения;
4) управление непрерывностью бизнеса;
5) ответственность за нарушения политики безопасности;
г) определение общих и конкретных обязанностей сотрудников в рамках управления инфор
мационной безопасностью, включая информирование об инцидентах нарушения информационной
безопасности;
д) ссылки на документы, дополняющие политику информационной безопасности, например,
болеедетальные политики ипроцедурыбезопасностидляконкретныхинформационныхсистем, а также
правила безопасности, которым должны следовать пользователи.
Такая политика должна быть доведена до сведения всех сотрудников организации в доступной и
понятной форме.
3.1.2 Пересмотр и оценка
Необходимо, чтобы ворганизации назначалосьответственноеза политикубезопасностидолжност
ноелицо, котороеотвечало бы заее реализацию ипересмотр всоответствиис установленной процеду
рой.Указаннаяпроцедурадолжнаобеспечиватьосуществлениепересмотраполитики
информационной безопасности в соответствии с изменениями, влияющими на основу первоначальной
оценки риска, например, путем выявления существенных инцидентов нарушения информационной
безопасности, появление новых уязвимостей или изменения организационной или технологической
инфраструктуры. Периодические пересмотрыдолжныосуществляться всоответствиисустановленным
графиком и включать;
- проверку эффективности политики, исходя из характера, числа и последствий зарегистрирован
ных инцидентов нарушения информационной безопасности;
- определение стоимости мероприятий поуправлениюинформационнойбезопасностью иихвлия
ние на эффективность бизнеса;
- оценку влияния изменений в технологиях.
4 Организационные вопросы безопасности
4.1 Организационная инфраструктура информационной безопасности
Цель: управление информационной безопасностью в организации.
Структурууправленияследуетсоздаватьтак. чтобыонаспособствовалаинициации иосуществле
нию контроля за внедрением информационной безопасности в организации.
Следует создавать соответствующие управляющие советы с участием высшего руководства для
утверждения политики информационной безопасности, назначения ответственных лиц в области
информационнойбезопасности, а такжеосуществлениякоординации внедрения мероприятийпоуправ
лению информационной безопасностью в организации. При необходимости следует предусмотреть
наличие специалиста по вопросам информационной безопасности внутри организации, к которому
могут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специа
листами по безопасности для того, чтобы быть в курсе отраслевых тенденций, способов и методов ее
оценки, а также с цельюадекватного реагирования на инциденты нарушенияинформационнойбезопас
ности. Следует поощрятьмногопрофильный подход кинформационной безопасности, например, путем
налаживания сотрудничества между менеджерами, пользователями, администраторами, разработчи
ками приложений, аудиторами исотрудниками безопасности, а также специалистами в области страхо
вания и управления рисками.
2