ГОСТ Р ИСО/МЭК 13335-1 — 2006
- администрирование информационной безопасности, охватывающее организационные и индивиду
альные ответственности и полномочия;
- подход к управлению риском, принятый ворганизации;
- метод определения приоритетов реализации защитных мер;
- уровеньбезопасности и остаточный риск, определяемый руководством организации;
- общие правила контроля доступа (логический контроль доступа, а также контроль физического
доступа в здания, помещения, к системам и информации);
- подходы к осведомленности о безопасности и повышение квалификации в области безопасности в
рамках организации;
- процедуры проверки и поддержания безопасности;
- общие вопросы защиты персонала;
- способы, которыми политика безопасности будет доведена до сведения всех заинтересованных
лиц;
- условия анализа или аудита политики безопасности;
- метод контроля изменений в политике безопасности.
Организациидолжны оценить свои требования, окружающую среду и уровень развития и определить
наиболее отвечающую им специфическую проблему безопасности. Эта проблема включает в себя:
- требования безопасности ИТТ, напримертребования конфиденциальности, целостности,доступнос
ти. неотказуемости. аутентичности и достоверности, особенно с учетом мнений владельцев активов;
- организационную инфраструктуру и распределениеобязанностей;
- интеграцию безопасности при совершенствовании системы и закупках;
- определение методов и уровней классификации информации;
- стратегию управления рисками;
- планирование непрерывности бизнеса;
- вопросы, связанные с персоналом (особое внимание должно бытьуделено персоналу, занимающе
му ответственныедолжности, такому как технический персонал и системные администраторы);
- осведомленность и обучение персонала;
- правовые и регулирующие обязательства;
- менеджмент, осуществляемый независимым экспертом;
- управление инцидентами информационной безопасности.
Как отмечено выше, результаты исследований по оценке риска, проверок соответствия безопасности
и инцидентов безопасности могут оказывать влияние на политику безопасности ИТТ организации. Это. в
свою очередь, может потребовать пересмотра или совершенствования ранее определенной стратегии или
политики безопасности.
Для обеспечения адекватной поддержки всех связанных с безопасностью мор политика безопаснос
ти ИТТдолжна бытьодобрена руководством организации.
На основе политики безопасности ИТТдолжны быть подготовлены директивные указания, обязатель
ные для всех руководителей и сотрудников организации. Это может потребовать подписания каждым со
трудником документа, подтверждающего его обязанности в рамках безопасности данной организации. Да
лее следует развивать и осуществлять программу осведомленности о безопасности, разъясняющую эти
обязанности.
Должен быть назначен ответственный за политикубезопасности ИТТ. который должен обеспечивать
соответствие политики требованиям и актуальному статусу данной организации. Обычно им является со
трудник службы безопасности, который несет ответственность за следующиедействия: проверку соответ
ствия безопасности, ревизию, аудит, обработку инцидентов, выявление слабых мест в безопасности и
внесение изменений в политику безопасности ИТТ организации, которые могут потребоваться по результа
там подобныхдействий.
5 Организационные аспекты безопасности информационно
телекоммуникационных технологий
5.1 Служебные обязанности и ответственность
5.1.1 Служебные обязанности, подотчетность и ответственность в организации
Эффективная безопасность требует подотчетности, исчерпывающего определения и признания обя
занностей в сфере безопасности. Руководство должно отвечать за все аспекты управления безопаснос-
12