ГОСТ Р ИСО/МЭК 27003—2012
Рекомендации
Политика информационной безопасности документирует стратегическую позицию организации вотно
шении информационной безопасности во всей организации.
Политика строится на основе информации и знания. Моменты, признанные руководством важными во
время ранее проведенного анализа, должны быть сделаны наглядными, им должно быть уделено особое
внимание в политике, чтобы обеспечить стимуляцию и мотивацию ворганизации. Также важноотметить, что
происходит, если не следовать выбранной политике, и подчеркнуть влияния законов и регулирующих поло
жений на рассматриваемую организацию.
Примеры политики информационной безопасности можно взять изсправочной литературы, сети Ин
тернет. в сообществах по интересам и отраслевых объединениях. Формулировки и подсказки можно найти в
годовых отчетах, других документах по политике или документах, сохраняемых руководством.
Относительно фактического объема документации по политике могут существовать различные интер
претации и требования. Эта документация должна быть вдостаточной степени суммирована, чтобы работ
ники организации понимали значение политики. Кроме того, она должна достаточно четко показывать, ка
ких целей необходимодостичь, чтобы установить набор правил и целей организации.
Объем и структура политики информационной безопасностидолжны подкреплятьдокументы, которые
используются на следующем этапе процесса, для введения системы управления информационной безо
пасностью (см. также приложение D — Структура политики).
Для больших организаций со сложной структурой (например, с широким спектром различных облас
тей деятельности) может возникнуть необходимость создания общей политики и множества политикболее
низкого уровня, адаптированных кконкретным областям деятельности.
Рекомендации по содержаниюдокументов по политике информационной безопасности представлены
в стандарте ISO/1EC 27002:2005. пункт 5.1.1.
Предлагаемая политика (с номером версии и датой)должна быть подвергнута перекрестной проверке
и учреждена ворганизации оперативным руководителем. После учреждения в группе управления или ана
логичном органе оперативный руководитель утверждает политику информационной безопасности. Затем
она доводится до сведения каждого работника организации надлежащим способом, чтобы статьдоступной
и понятной для читателей.
Выходные данные
Выходнымиданными этого действия является документ по политике информационной безопасности.
Дополнительная информация
Приложение В— Роли и сферы ответственности.
Приложение D — Структура политики.
9.2.4 Разработка стандартов и процедур обеспечения информационной безопасности
Действия
Необходимо разработатьстандарты и процедуры обеспечения информационной безопасности, каса
ющиеся всей организации или ее отдельных частей.
Исходные данные:
a) выходные данные действия 6.5. объединение всех областей действия и границ для получения
области действия и границ— областьдействия и границы СМИБ;
b
) выходные данные действия 6.6. разработка политики СМИБ и получение одобрения руковод
ства — политика СМИБ:
c) выходные данные действия 8.2. проведение оценки риска:
d) выходныеданныедействия 8.3. выбор целей и средств управления.
e) выходные данные действия 8.4, получение санкции руководства на внедрение и использование
СМИБ - декларация о применимости, включая цели и выбранные меры и средства контроля и управления;
f) выходные данные действия 9.2.1. разработка конечной структуры организации для информацион
ной безопасности;
д) выходныеданные действия 9.2.2. разработка основы для документирования СМИБ;
h) выходныеданныедействия 9.2.3, разработка политики информационной безопасности;
i) ISO/IEC 27002:2005.
Рекомендации
Чтобы обеспечить основудля работы в области информационной безопасности в организации, стан
дарты по информационной безопасности, а также набор применяемых законных и обязательных требова
ний должны быть доступны всем, кому нужно их знать.
29