ГОСТ Р 56205—2014
отвечает за условия, требующие от технологического персонала выполнения тех или иных действий,
то эти действия должны быть по возможности прописаны.
Для организации, которая только начинает создавать свою программу безопасности, политики и
регламенты — это хорошая отправная точка. Будучи составлены, они могут сначала охватывать на бор
норм безопасности, которые организация способна соблюсти в ближайшей перспективе благода ря
наличию необходимого оборудования. Со временем они могут быть пересмотрены и ужесточены по
мере роста возможностей организации. Они могут быть введены в действие без задержки на при
обретение и установку систем и устройств.
5.8.2 Политика уровня предприятия
Политика уровня предприятия санкционирует программу безопасности и обозначает курс. Она
устанавливает общие цели безопасности организации.
Формулировка основных положений политики, определяемая высшим руховод-ством. должна
быть достаточно продуманна и оставаться и адекватной и точной при изменениях в структуре органи
зации. в системе и технологиях безопасности, а также изменений характера угроз безопасности. Бу
дучи продуманной, политика может оставаться неизменной и будет нуждаться в переработке только
в случае кардинального изменения позиции организации в отношении безопасности. Однако
формули ровка политики должна быть однозначной, четко устанавливать, что требуется.
Политика уровня предприятия определяет участки ответственности и устанавливает подотчет
ность для таких участков. Политика может определять взаимосвязи между работой IT-отдела и рабо той
завода и устанавливать сферы их компетенций. Политика может дифференцировать цели безо
пасности системы управления от целей безопасности корпоративной сети. Например, важнейшим
аспектом безопасности корпоративной сети может быть обеспечение конфиденциальности в ней. а
важнейшим аспектом безопасности системы управления может быть обеспечение ее бесперебойной
работы.
Кроме того, политика устанавливает конкретные стандарты и нормы, применимые для органи
зации. Она может определять инструктаж как важную составляющую программы безопасности. Поли
тика может также устанавливать санкции за ее нарушения.
Руководству следует доводить политику до сведения сотрудников всей организации так. чтобы
все сотрудники понимали ее.
5.8.3 Операционные политики и регламенты
Операционные политики и регламенты безопасности разрабатывают на более низких уровнях
организации и определяют способ реализации политики уровня предприятия в конкретной совокупно
сти обстоятельств. Регламенты безопасности претворяют политику в действие. Регламенты устанав
ливают. что должна предпринять организация для достижения целей политики и выполнения ее тре
бований. Регламенты определяют процессы, которые позволят устранить все проблемы, обозначен
ные политикой.
Регламенты отражают все обязательные составляющие программы безопасности, которые
включают в себя:
a) конструирование системы:
b
) материально-техническое обеспечение;
c) монтаж;
d) технологический процесс;
e) техническое обслуживание систем;
f) персонал;
9) аудит;
h) инструктаж.
Регламенты определяют конкретные действия, лиц. ответственных за их выполнение, и условия
для их выполнения.
Письменные регламенты прописывают порядок их изменения в случае изменения ситуации. За
каждой политикой или регламентом закреплено лицо, отвечающее за сроки внесения обновлений и
обеспечение их внесения.
Политики и регламенты следует оценивать на предмет их эффективности, которая покажет,
служат ли они своему предполагаемому назначению. Следует также измерять финансовые затраты
для организации, чтобы она могла определять, согласуется ли итог снижения риска с финансовыми
затратами на реализацию политики. Если итог неприемлем, то политику и регламенты может лотре-
36