Разработка корпоративной политики

Корпоративная политика ИБ определяет на высоком (общем) уровне цели и задачи обеспечения ИБ организации БС РФ, включая способы контроля реализации требований политики ИБ организации БС РФ. Корпоративная политика ИБ организации БС РФ определяет содержание, назначение и требования к деятельности по обеспечению ИБ организации БС РФ без указания специфических деталей.

В корпоративной политике ИБ организации БС РФ рекомендуется определять высокоуровневые правила и требования к деятельности по управлению рисками, в том числе по анализу и выработке позиций в отношении рисков.

Корпоративная политика ИБ организации БС РФ может быть представлена как в виде комплекта документов, так и в виде единого обобщающего документа.

В корпоративную политику ИБ организации БС РФ рекомендуется включать следующие положения:

– определение ИБ в терминах деятельности данной организации БС РФ, области действия политики, целей, задач и принципов обеспечения ИБ организации БС РФ;

– изложение намерения обеспечения ИБ, направленного на достижение указанных целей и на реализацию принципов обеспечения ИБ;

– общие сведения об активах, подлежащих защите, их классификацию;

– модели угроз и нарушителей (внутреннего и внешнего) в соответствии с требованиями раздела 7 СТО БР ИББС-1.0, на противодействие которым ориентирована корпоративная политика ИБ;

– высокоуровневое изложение правил и требований в области ИБ, представляющих особую важность для организации БС РФ, например:

– обеспечение соответствия законодательным актам, нормативным документам РФ в области обеспечения ИБ и нормативным актам Банка России;

– требования к управлению ИБ;

– требования по предотвращению и обнаружению компьютерных вирусов и другого вредоносного программного обеспечения;

– требования по управлению непрерывностью бизнеса;

– санкции и последствия нарушений политики безопасности;

– определение общих ролей и обязанностей, связанных с обеспечением ИБ, включая информирование об инцидентах ИБ;

– перечень частных политик ИБ, развивающих и детализирующих положения корпоративной политики ИБ, а также указание подразделений организации БС РФ, ответственных за их соблюдение и/или реализацию;

– положения по контролю реализации корпоративной политики информационной безопасности организации БС РФ;

– ответственность за реализацию и поддержку документа;

– условия пересмотра (выпуска новой редакции) документа.

К разработке и согласованию корпоративной политики ИБ рекомендуется привлекать представителей следующих служб организации БС РФ, связанных с ее информационной сферой:

– руководство организации БС РФ;

– профильные подразделения;

– служба информатизации;

– служба безопасности (информационной безопасности).

Корпоративная политика ИБ должна быть утверждена руководителем организации БС РФ (например, председателем, генеральным директором, президентом, руководителем филиала).

На основе корпоративной политики безопасности информационных и коммуникационных технологий должны быть разработаны указания, обязательные для выполнения всеми менеджерами и служащими. Это может потребовать подписи на документе от каждого служащего, который признает за собой ответственность за безопасность внутри организации. Далее должна быть разработана и реализована Программа компетентности и обучения безопасности, в которой указываются все эти ответственности.

Должен быть назначен ответственный за корпоративную политику безопасности информационных и коммуникационных технологий и за обеспечение того, что эта политика отражает требования и действующий статус организации. Этот ответственный обычно является официальным лицом корпоративной безопасности информационных и коммуникационных технологий, который, кроме прочего, должен отвечать и за последующую деятельность, которая включает проверку соответствия безопасности, повторные анализы и аудиты, обработку инцидентов и слабостей безопасности и любые изменения в корпоративной политике безопасности информационных и коммуникационных технологий, которые могут оказаться необходимыми в результате проведения этих действий.

Другое по теме:

Планомерное развитие депозитариев в начале 21 века
Депозитарии являются неотъемлемой частью инфраструктуры фондового рынка. Сосредотачивая значительную часть финансовых активов, депозитарии играют, и будут играть все более важную роль на фондовом рынке и в экономике в целом, обеспечивая сохранность активов предприятий в его наиболее ликвидной форме ...

Автоматизация обработки документов
Рассмотрим, какие стадии обработки проходят документы в банке. Стадии зависят от вида документа, объекта учета, области учета. Например, прохождение платежного поручения по переводу средств контрагенту за поставляемые услуги или товар будет иметь схему, абсолютно отличную от обработки документа по ...

Достоинства и недостатки аккредитивной формы безналичных расчетов
По сравнению с банковским переводом и инкассо аккредитив является более надежной формой расчетов. Аккредитив, кроме того, может облегчить коммерческую сделку путем обеспечения соответствующего механизма и делая различными способами невозможные сделки возможными. Главное достоинство аккредитива закл ...