ГОСТ Р ИСО ТО 13569— 2007
Приложение А
(справочное)
Образцы документов
А.1 Резолюция совета директоров по вопросу информационной безопасности
Постановили:
Информация является активом организации.
В качестве актива информационные ресурсы и ресурсы обработки информации организации должны быть
защищены от несанкционированного или ненадлежащего использования.
Руководителю организации предписывается учредить программу обеспечения информационной безопас
ности. согласующуюся с приемлемой бизнес-практикой, с целью обзспечения надлежащей безопасности инфор
мационных активов организации.
А.2 Политика информационной безопасности
Политика информационной безопасности для финансового учреждения
Финансовое учреждение считает информацию в любой форме активом организации и нуждается в соответ
ствующих защитных мерах для обеспечения защиты данного актива от несанкционированного или ненадлежаще го
использования. Информация необходима для эффективной и результативной повседневной работы организа ции.
Информация должна использоваться только для выполнения заданной цели — ведения бизнес-операций
финансового учреждения. Политика нашей организации состоит в предоставлении доступа к информации только на
основе проверенного «принципа необходимого знания бизнеса» и отказе в доступе во всех других случаях.
Каждый старший менеджер подразделения финансового учреждения несет ответственность за поддержа
ние конфиденциальности, целостности и доступности своих информационных активов и должен соблюдать все
политики, стандарты и процедуры, опубликованные отделом информационной безопасности и касающиеся за
щиты информационных активов организации.
Все служащие обязаны осознавать, постоянно поддерживать и соблюдать политику, стандарты и процеду
ры организации, управляющие защитой информационных активов.
А.З Договор с работниками в части их осведомленности
Организация считает информацию активом, который должен быть защищен.
Моя обязанность состоит в том. чтобы сознавать, поддерживать и соблюдать все политики, стандарты и
процедуры организации, управляющие защитой информационных активов.
Мне был выдан экземпляр руководства по обеспечению информационной безопасности организации, и я
согласен следовать приведенным в нем правилам.
Я согласен использовать информацию организации и оборудование для обработки информации, к кото
рым я имею доступ, только для выполнения моих рабочих обязанностей.
Я понимаю, что организация может просматривать любую информацию или сообщения, которые я могу
создавать, используя ресурсы обработки информации организации. Данные ресурсы включают в себя (но не
ограничиваются ими) текстовые процессоры, электронные почтовые системы и персональные компьютеры.
Обязуюсь немедленно сообщать о любом подозрительном поведении или ситуации, которые могут созда
вать угрозу безопасности информационным активам организации, моему руководителю.
Я понимаю, что злоупотребление информационными активами организации гложет привести к дисципли
нарному разбирательству, направленному против меня.
Дата__________________________________
фамилияслужащегоподпись
свидетель
(или
руководитель)
А.4 Экранные предупреждения при входе в систему
Данная частная компьютерная система является системой, доступ к которой ограничен несанкциониро
ванным лицам. Доступ санкционированных лиц ограничивается функциями, определенными для выполнения
ими своих обязанностей. Любой несанкционированный доступ будет расследоваться и преследоваться в судеб
ном порядке, если вы. не являясь полномочным пользователем, немедленно не отключитесь от системы.
В качестве альтернативы.
доступ к этой компьютерной системе разрешен только полномочным пользователям. Несанкционирован
ный достуг^попытки доступа будут преследоваться в судебном порядке. Если вы не являетесь полномочным
пользователем, отключитесь от системы.
37