Разработка корпоративной политики

Корпоративная политика ИБ определяет на высоком (общем) уровне цели и задачи обеспечения ИБ организации БС РФ, включая способы контроля реализации требований политики ИБ организации БС РФ. Корпоративная политика ИБ организации БС РФ определяет содержание, назначение и требования к деятельности по обеспечению ИБ организации БС РФ без указания специфических деталей.

В корпоративной политике ИБ организации БС РФ рекомендуется определять высокоуровневые правила и требования к деятельности по управлению рисками, в том числе по анализу и выработке позиций в отношении рисков.

Корпоративная политика ИБ организации БС РФ может быть представлена как в виде комплекта документов, так и в виде единого обобщающего документа.

В корпоративную политику ИБ организации БС РФ рекомендуется включать следующие положения:

– определение ИБ в терминах деятельности данной организации БС РФ, области действия политики, целей, задач и принципов обеспечения ИБ организации БС РФ;

– изложение намерения обеспечения ИБ, направленного на достижение указанных целей и на реализацию принципов обеспечения ИБ;

– общие сведения об активах, подлежащих защите, их классификацию;

– модели угроз и нарушителей (внутреннего и внешнего) в соответствии с требованиями раздела 7 СТО БР ИББС-1.0, на противодействие которым ориентирована корпоративная политика ИБ;

– высокоуровневое изложение правил и требований в области ИБ, представляющих особую важность для организации БС РФ, например:

– обеспечение соответствия законодательным актам, нормативным документам РФ в области обеспечения ИБ и нормативным актам Банка России;

– требования к управлению ИБ;

– требования по предотвращению и обнаружению компьютерных вирусов и другого вредоносного программного обеспечения;

– требования по управлению непрерывностью бизнеса;

– санкции и последствия нарушений политики безопасности;

– определение общих ролей и обязанностей, связанных с обеспечением ИБ, включая информирование об инцидентах ИБ;

– перечень частных политик ИБ, развивающих и детализирующих положения корпоративной политики ИБ, а также указание подразделений организации БС РФ, ответственных за их соблюдение и/или реализацию;

– положения по контролю реализации корпоративной политики информационной безопасности организации БС РФ;

– ответственность за реализацию и поддержку документа;

– условия пересмотра (выпуска новой редакции) документа.

К разработке и согласованию корпоративной политики ИБ рекомендуется привлекать представителей следующих служб организации БС РФ, связанных с ее информационной сферой:

– руководство организации БС РФ;

– профильные подразделения;

– служба информатизации;

– служба безопасности (информационной безопасности).

Корпоративная политика ИБ должна быть утверждена руководителем организации БС РФ (например, председателем, генеральным директором, президентом, руководителем филиала).

На основе корпоративной политики безопасности информационных и коммуникационных технологий должны быть разработаны указания, обязательные для выполнения всеми менеджерами и служащими. Это может потребовать подписи на документе от каждого служащего, который признает за собой ответственность за безопасность внутри организации. Далее должна быть разработана и реализована Программа компетентности и обучения безопасности, в которой указываются все эти ответственности.

Должен быть назначен ответственный за корпоративную политику безопасности информационных и коммуникационных технологий и за обеспечение того, что эта политика отражает требования и действующий статус организации. Этот ответственный обычно является официальным лицом корпоративной безопасности информационных и коммуникационных технологий, который, кроме прочего, должен отвечать и за последующую деятельность, которая включает проверку соответствия безопасности, повторные анализы и аудиты, обработку инцидентов и слабостей безопасности и любые изменения в корпоративной политике безопасности информационных и коммуникационных технологий, которые могут оказаться необходимыми в результате проведения этих действий.

Другое по теме:

Анализ основных видов векселей, используемых в работе банка и их реквизиты
Для ускорения расчетов по операциям юридических лиц разработана вексельная программа. Оплата по векселям осуществляется в день обращения клиента до 16.00 без предварительной подачи заявки. Объем расчетов и количество предприятий, работающих с векселями ИнвестКапиталБанка, постоянно растут. Рассмотр ...

Исследование рынка международных систем денежных переводов
Исследование рынка международных систем денежных переводов будет состоять из двух этапов. Во-первых, необходимо определить спектр услуг, предлагаемых банками г. Якутска с целью сравнения и выявления лидера среди них. Во-вторых, провести анкетирование трудовых мигрантов, целью которого будет являтьс ...

Анализ современного состояния рынка систем денежных переводов в России
Трансграничные операции физических лиц в 2008 году Оборот трансграничных операций физических лиц (переводы в Россию и переводы из России) в 2009 году равнялся 26,3 млрд. долларов США. По сравнению с 2008 годом он вырос на 39%. (млрд. долларов США) 2009 год Справочно: 2008 год Переводы в пользу физи ...