Политика информационной безопасности

 
 
 
 
 
 
 
 
 
 
 
 
 

Політика  інформаційної безпеки 
 
 
 
 
 
 
 
 
 
 

 

Управління документами:

 
 
 
 
 
 
 
 
 

Зміст

1. Цілі політики 4

2. Застосування 4

3. Затвердження менеджменту 4

4.1. Організація інформаційної безпеки 5

4.2. Управління ризиками 5

4.3. Розробка документації 5

5. Поширення 5

6. Запровадження політики ІБ 6

7. Повноваження за політикою ІБ 6

7.1. Власник 6

7.2. Розробка політики ІБ 6

7.3. Затвердження політики ІБ 6

7.4. Перегляд політики ІБ 6

8. Відхилення від політики 6

9. Консультації 6

10. Визначення 6 

 

1. Цілі  політики

 

Потреба в інформаційній  безпеці

2. Застосування

Політика  Інформаційної безпеки застосовується по відношенню до ….. .

3. Затвердження  менеджменту

Правління «організації» заявляє про свою повну підтримку в побудові інформаційної безпеки в компанії та в роботі з корпоративними та іншими сторонами 

 
 
 
 
 
 
 
 
 
 
 
 
 

4. Політика

Стратегія «організації» полягає в наступному…

«Організація» ставить за мету ….

Політика  інформаційної безпеки визначає …

Політика  інформаційної безпеки забезпечує ….

1. Організація інформаційної безпеки

Керівництво «Організації» зобов’язується підтримувати….

Департамент ІТ безпеки несе відповідальність за …

Для координації  питань інформаційної безпеки в  «Організації» має бути затверджена ….

Пов’язані документи:

…….

2. Управління  ризиками

У «Організації» ідентифікуються, оцінюються та визначаються пріоритетність інформаційних ризиків.

Політика інформаційної  безпеки ґрунтується на основі ….

Застосування заходів захисту повинно бути обґрунтоване на основі …..

Для визначення рівнів ризику …..

Пов’язані документи:

…….

3. Розробка  документації

«Організація» створює спеціальні політики, керівництва та процедури щодо таких питань інформаційної безпеки:

…

5. Поширення

 

Опис, яким чином Політика інформаційної безпеки  поширюється, зберігається, хто до неї має  доступ.

6. Запровадження політики ІБ

«Організація» має гарантувати роботу відділень та всіх працівників, відповідно до політик інформаційної безпеки, забезпечуючи їх сумлінне виконання.

Дії, результатом яких є серйозне нехтування інформаційною безпекою класифікуються, як інциденти в області безпеки. Такі інциденти вважаються серйозними порушеннями, якщо вони відповідають одній чи більшій кількості категорій:

……

Порушення цієї політики інформаційної безпеки може призвести до таких заходів, але не обмежуватися ними:

…..

7. Повноваження  відповідно до політики ІБ

1. Власник

Правління «Організації» несе відповідальність за ….

Департамент інформаційної безпеки несе відповідальність за….

2. Розробка  політики ІБ

Розробка  відповідної політики інформаційної  безпеки має бути ініційована  та проведена ….

3. Затвердження  політики ІБ

Порядок затвердження політики.

4. Перегляд  політики ІБ

Порядок перегляду політики.

8. Відхилення  від політики

 

Відхилення  від стандартів та політик ….

9. Консультації

За консультаціями та/чи у випадках інших непорозумінь щодо політики, будь-ласка, звертайтеся  до …..

10. Визначення

Інформаційний актив - це сукупність інформації (відомостей), що представляє цінність для банківської установи та / або її клієнтів, ділових партнерів і співробітників, а також будь-яка система обробки, обміну або фізичного місця зберігання інформації.

Інформаційна  безпека - це сукупність організаційно-технічних заходів і засобів, спрямованих на захист інформації від загроз з метою забезпечення безперервності бізнес-процесів, зниження бізнес ризиків і оптимізації витрат.

Інформаційний інцидент  - подія або послідовність подій, які ставлять під загрозу конфіденційність, цілісність і доступність інформаційних активів.

Заходи  щодо захисту - сукупність організаційних і / або технічних дій, спрямованих на управління ризиком.

Доступність - властивість інформації або інформаційного активу, яка визначає можливість її / його використання за призначенням в необхідний момент часу.

Конфіденційність - властивість інформації (або інформаційного активу), яке полягає в тому, що доступ до неї не може бути отриманий неавторизованим особою, об'єктом і / або процесом, внаслідок правових обмежень, накладених її власником.

Цілісність - властивість інформації (або інформаційного активу), яке полягає в неможливості її модифікації несанкціоновано, без дозволу її власника.

Ризик - це ймовірність шкідливого впливу на бізнес у результаті порушення конфіденційності, цілісності та доступності інформації.

Вразливість - недолік чи пролом в системі безпеки, які збільшують імовірність здійснення загрози порушення конфіденційності, цілісності та доступності інформації.

Загроза - спосіб, за допомогою якого може бути порушена конфіденційність, цілісність та доступність інформації.

Аналіз  загроз - це процес вивчення джерел загроз щодо вразливостей в системі, щоб визначити загрози для конкретної системи в конкретній оперативній обстановці.

Управління  ризиками - це процес, метою якого є зменшити ризики до прийнятного рівня, визначивши заходи захисту та мінімізувавши вплив від невизначених подій.

Аналіз  інформаційних ризиків - процес оцінки потенційного впливу реалізації загроз на бізнес, визначення загроз і вразливостей і вибір відповідних контрзаходів.

Зниження  ризиків - процес проведення заходів по безпеці для зменшення виявлених ризиків до прийнятного рівня.

Вплив на бізнес - це рейтинг збитку, який свідчить про характер і рівень збитку, заподіяного банку в результаті порушення конфіденційності, цілісності та доступності інформації.

Керівництво - документ, що вказує що треба зробити і як для того, щоб досягти цілей поставлених політикою.

Політика - документ, що визначає загальні принципи та напрямок, визначені керівництвом компанії.

Третя сторона - особа або організація, які вважаються незалежними від задіяних сторін, у випадках виникнення будь-яких питань.

* Визначення  надані відповідно до стандартів  ISO/IEC 27001 видання: 2006-05 та 06