ГОСТ Р ИСО/МЭК 27003-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

Приложение A

(справочное)

 

СТРУКТУРА ПОЛИТИКИ

 

Приложение A содержит руководство по структуре документации, которая включает политику ИБ.

В целом политика - это заявление о намерениях и направлении деятельности организации, формально выраженное ее высшим руководством (ИСО/МЭК 27000).

Содержание политики является основой действий и решений, касающихся темы политики.

Организация может иметь несколько политик - по одной на каждую из важных областей деятельности, значимых для организации. Некоторые политики независимы друг от друга, в то время как другие политики могут быть иерархично связаны.

Как правило, организация имеет общую политику, например кодекс профессиональной этики, на самом высоком уровне иерархии политики. Общая политика поддерживается другими политиками, относящимися к различным темам, и может быть применима к конкретным областям или функциям организации. Политика ИБ является одной из этих политик.

Политика ИБ поддерживается рядом тематических политик, связанных с аспектами ИБ. Некоторые из них обсуждаются в ИСО/МЭК 27002, например, политика ИБ может поддерживаться политиками, касающимися контроля доступа, классификации информации (и обработки), физической и экологической безопасности, а также политиками, ориентированными на конечного пользователя. В структуру политики могут быть включены дополнительные уровни. Структура политики показана на рисунке A.1. Следует обратить внимание, что некоторые организации используют другие термины для документированных тематических политик: "стандарты", "директивы" или "правила".

 

 

Рисунок A.1 - Иерархия политик

 

ИСО/МЭК 27001 рекомендует, чтобы организации имели политику ИБ. Однако в нем не указывается какая-либо конкретная связь между политикой ИБ и другими политиками организации.

Содержание политик основано на контексте организации. В частности, при разработке любой политики следует учитывать:

1) цели и задачи организации;

2) стратегии для достижения этих целей;

3) структуру и процессы, принятые в организации;

4) цели и задачи, связанные с тематикой политики;

5) требования соответствующих политик более высокого уровня;

6) целевую группу, на которую направлена эта политика.

Эти данные показаны на рисунке A.2.

 

 

Рисунок A.2 - Исходные данные для разработки политики

 

Политики могут иметь структуру, состоящую из следующих разделов:

a) Административный - название политики, версия, дата публикации/срок действия, история изменений, владелец и утверждающий, классификация, предполагаемая аудитория и т.д.;

b) Краткое изложение политики - обзор из одного или двух предложений (иногда это можно объединить с введением);

c) Введение - краткое объяснение темы политики;

d) Область действия - описывает те части или виды деятельности организации, на которые влияет политика. Если уместно, в этом разделе перечисляются другие политики, которые поддерживаются этой политикой;

e) Цели - описывает цель политики;

f) Принципы - описывает правила, касающиеся действий и решений для достижения целей. В некоторых случаях может быть полезно определить ключевые процессы, связанные с темой политики, а затем правила для управления процессами;

g) Ответственность - описывает, кто несет ответственность за действия, отвечающие требованиям политики. В некоторых случаях этот раздел может включать описание организационных мероприятий, а также обязанности и полномочия лиц с назначенными ролями;

h) Ключевые результаты - описывает результаты бизнеса, если цели будут достигнуты. В некоторых случаях это может быть объединено с целями;

i) Связанные политики - описывает другие политики, относящиеся к достижению целей, обычно путем предоставления дополнительной информации по конкретным темам;

j) Требования политики - описывает подробные требования политики.

Содержание политики может быть организовано различными способами. Например, организации, которые делают упор на роли и обязанности, могут упростить описание целей и применять принципы специально для описания обязанностей.