Скачать книгу

данных компании;

      • установить базовый уровень защиты информации в компании.

      Состав и структура информационной системы

      Содержится описание состава и структуры информационной системы компании.

      Обязанности по защите информации

      Определение обязанностей компании по защите информации является важной задачей.

      К названным обязанностям относятся следующие:

      • все организационные бизнес-единицы и структуры компании должны гарантировать, что их сотрудники действуют в соответствии с настоящей политикой безопасности;

      • отделы сетевых операций и системного администрирования должны гарантировать, что ведутся и надежно хранятся журналы и аудиторские записи о предоставлении доступа к конфиденциальной информации компании;

      • отделы безопасности информации, сетевых операций и системного администрирования должны гарантировать выполнение всех необходимых механизмов обеспечения безопасности;

      • отдел управления рисками отвечает за корректную классификацию информации для выполнения требований безопасности;

      • отдел внутреннего аудита отвечает за регулярные проверки правильности классификации информации и защищенности компонент информационной системы компании.

      Другие обязанности

      Важно, чтобы политика безопасности детализировала обязанности отдельных отделов и/пли групп сотрудников.

      К другим обязанностям относятся следующие:

      • все партнеры компании, вендоры, провайдеры и сторонние организации, которые участвуют в процессе обработки конфиденциальной информации компании, должны руководствоваться четко документированной политикой безопасности для сторонних организаций;

      • все партнеры компании, вендоры, провайдеры и сторонние организации, которые имеют доступ к конфиденциальной информации компании, должны подписать соглашение об обязательном исполнении настоящей политики безопасности.

      Документирование

      Документирование гарантирует, что политика безопасности принята к действию и соблюдается на рабочих местах в компании.

      Политика безопасности компании требует разработки, внедрения и исполнения процедур безопасности. Должна быть разработана документация по управлению пользовательскими идентификаторами на рабочих станциях, по управлению списками контроля доступа на рабочих местах компании, по сбору и анализу системных журналов и журналов приложений, ведения отчетности по реагированию на инциденты и пр.

      Пересмотр политики

      Пересмотр политики безопасности должен выполняться как минимум ежегодно для поддержания ее актуальности.

      Обязанность по периодическому пересмотру политики безопасности возлагается на службу безопасности. В связи с быстрым изменением информационных технологий политика безопасности должна пересматриваться не реже одного раза в год. В группу по пересмотру политики безопасности компании должны входить высшее руководство

Скачать книгу