ГОСТ Р ИСО ТО 13569— 2007
№иамм тешете ррсаодспа геобеслечшмо
MonflCWCn,стсьвмицв»общие принты ицет
Явюпаснасга
Патвряш и « п м й 1и д д ппаим обиде
прямотой,опрвдвто»*™ падребто мары,
нМАейдамыЗ дпв Еыйлненш ~фввйввм|й
попгти бмопкмост
Ж хжф ш актжм» претнеаю прими»
к Temwepoi ypt»», oCeenviмрощее
рутаведапм повнаданмоидейкадмыше
(VOUWW
Рисунок 1 — Документация программы
В документах, относящихся к информационной безопасности, должны быть охвачены как высоко
уровневые цели организации, так и конкретные, относящиеся к безопасности, настройке устройств, реали
зующих политику. Диапазон охвата целей лучше всего представить множественными уровнямидокумента
ции. Число уровней должно быть сведено к минимуму, и настоящий стандарт рекомендует использование
трех уровней, документация о политике, документация практических приемов обеспечения безопасности и
документация операционных эксплуатационных процедур безопасности.
По мере внедрения в конкретной организации новой прогрессивной технологии потребуютсядополни
тельные документы. В то время как документация политики обычно представляется на одной странице,
документация процедур может состоять из нескольких многостраничных документов, представляющих
отдельные специфические условия, организационные единицы и вопросы политики в организации. В неко
торых случаях отдельная, вполне самостоятельная система может также иметь собственную документа
цию практических приемов. Все практические приемы и процедуры должны переходить с более высокого
уровня на детальный уровень, поддерживая согласованность соценками риска организации с общей поли
тикой.
5.4.1.2 Политика информационной безопасности организации
Документ политики является наименьшим по объему из всех документов в иерархии документов
программы обеспечения информационной безопасности. Обычно политика состоит из нескольких парагра
фов. объясняющих, что руководство рассматривает информацию влюбой форме как ценный ресурс орга
низации. который нуждается в защите. Политика должна быть широкой по масштабу и сформулированной
как можно более просто и сжато и предоставлять конкретную информацию об активах, нуждающихся в
защите, напримерданные о клиентах, сотрудниках, партнерские соглашения и процессы. Очень простой
документ политика безопасности может содержать следующее единственное утверждение: ««Конфиденци
альность. доступность и целостность всех информационных активоворганизациидолжны быть обеспечены
посредством соответствующих защитных мер».
Политика безопасности — этодокумент, всеобъемлющий по своему масштабу и являющийся наибо
лее важной частью программы информационной безопасности организации, которая влияет на ее работу.
Должен существовать только единственный вариант документации политики в конкретный момент, который
должен быть доведендо сведения всех сотрудников организации. Данный вариант должен быть подписан
членами правления организаций, имеющими отношение к информационной безопасности, например, руко
водителем организации и руководителем службы информационной безопасности.
Документ политики безопасности должен быть открытым, широко распространенным и доступным
всем заинтересованным сторонам организации. Вдокументе необходимо подчеркнуть, что защита и обес
печение информационных активов являются обязанностью руководства и всех служащих и что обучение
4 ’
11