Корпоративная политика ИБ определяет на высоком (общем) уровне цели и задачи обеспечения ИБ организации БС РФ, включая способы контроля реализации требований политики ИБ организации БС РФ. Корпоративная политика ИБ организации БС РФ определяет содержание, назначение и требования к деятельности по обеспечению ИБ организации БС РФ без указания специфических деталей.
В корпоративной политике ИБ организации БС РФ рекомендуется определять высокоуровневые правила и требования к деятельности по управлению рисками, в том числе по анализу и выработке позиций в отношении рисков.
Корпоративная политика ИБ организации БС РФ может быть представлена как в виде комплекта документов, так и в виде единого обобщающего документа.
В корпоративную политику ИБ организации БС РФ рекомендуется включать следующие положения:
– определение ИБ в терминах деятельности данной организации БС РФ, области действия политики, целей, задач и принципов обеспечения ИБ организации БС РФ;
– изложение намерения обеспечения ИБ, направленного на достижение указанных целей и на реализацию принципов обеспечения ИБ;
– общие сведения об активах, подлежащих защите, их классификацию;
– модели угроз и нарушителей (внутреннего и внешнего) в соответствии с требованиями раздела 7 СТО БР ИББС-1.0, на противодействие которым ориентирована корпоративная политика ИБ;
– высокоуровневое изложение правил и требований в области ИБ, представляющих особую важность для организации БС РФ, например:
– обеспечение соответствия законодательным актам, нормативным документам РФ в области обеспечения ИБ и нормативным актам Банка России;
– требования к управлению ИБ;
– требования по предотвращению и обнаружению компьютерных вирусов и другого вредоносного программного обеспечения;
– требования по управлению непрерывностью бизнеса;
– санкции и последствия нарушений политики безопасности;
– определение общих ролей и обязанностей, связанных с обеспечением ИБ, включая информирование об инцидентах ИБ;
– перечень частных политик ИБ, развивающих и детализирующих положения корпоративной политики ИБ, а также указание подразделений организации БС РФ, ответственных за их соблюдение и/или реализацию;
– положения по контролю реализации корпоративной политики информационной безопасности организации БС РФ;
– ответственность за реализацию и поддержку документа;
– условия пересмотра (выпуска новой редакции) документа.
К разработке и согласованию корпоративной политики ИБ рекомендуется привлекать представителей следующих служб организации БС РФ, связанных с ее информационной сферой:
– руководство организации БС РФ;
– профильные подразделения;
– служба информатизации;
– служба безопасности (информационной безопасности).
Корпоративная политика ИБ должна быть утверждена руководителем организации БС РФ (например, председателем, генеральным директором, президентом, руководителем филиала).
На основе корпоративной политики безопасности информационных и коммуникационных технологий должны быть разработаны указания, обязательные для выполнения всеми менеджерами и служащими. Это может потребовать подписи на документе от каждого служащего, который признает за собой ответственность за безопасность внутри организации. Далее должна быть разработана и реализована Программа компетентности и обучения безопасности, в которой указываются все эти ответственности.
Должен быть назначен ответственный за корпоративную политику безопасности информационных и коммуникационных технологий и за обеспечение того, что эта политика отражает требования и действующий статус организации. Этот ответственный обычно является официальным лицом корпоративной безопасности информационных и коммуникационных технологий, который, кроме прочего, должен отвечать и за последующую деятельность, которая включает проверку соответствия безопасности, повторные анализы и аудиты, обработку инцидентов и слабостей безопасности и любые изменения в корпоративной политике безопасности информационных и коммуникационных технологий, которые могут оказаться необходимыми в результате проведения этих действий.
Другое по теме:
Автокредитование
Автокредит - целевой кредит на покупку автомобиля. Автокредитование - составная часть потребительского кредитования. Автокредит, в отличие от других потребительских кредитов, может предоставляться как на новый автомобиль, так и на поддержанное транспортное средство. Довольно высоки процентные ставк ...
Порядок лицензирования деятельности банков
Государственная регистрация не является достаточным основанием для начала работы кредитной организации. Для этого ей необходимо получить лицензию на осуществление банковских операций. Основанием для выдачи лицензии служат подтверждение своевременной и правомерной оплаты 100% объявленного уставног ...
Приёмы банковского маркетинга
Для выяснения содержания маркетинга к 30-м гг. XX в. ученые-экономисты разработали модель. Эту модель разработал английский экономист Эджени Маккарти, доработал впоследствии в соответствии с новыми достижениями и требованиями науки и практики Ф. Котлер и другие ученые. Эта модель получила название ...