ygudz
commented
9 years ago Вступ не зовсім розумію, що там має бути. Терміни та скорочення як на мене краще тримати в кінці, це не є важлива інформація, коли гортаєшь документ, важливо відразу натрапити на важливу інформацію. Основні загрози ІБ - це частина ризик менеджменту, не бачу потреби виносити це в Політику.
Так як це пропозиція по структурі Політики ІБ, то переношу її туди.
В цьому розділі я пропонував до обговорення загальну структуру документів, аби було з чого почати.
rokhlin-s
Щодо структури Політики. Враховуючи, що я раніше казав, чому Політика у нашому випадку повинна бути одна, вона повинна описувати всі ділянки захисту. Не претендую на оригінальність і не хочу сперечатися з адептами ІБ, але пропоную наступний погляд на структуру Політики. пп.1-5 - Загальні засади (вступ, терміни, цілі, принципи). пп.4-5 – опис загроз та обробки ризиків. Пп.6-18 – основний текст (розділи майже повністю відповідають структурі додатка А (27001:2013) Пп.19-22 – остаточні засади (ролі та відповідальність, остаточні положення, історія змін, перелік нормативки).
Переваги такого підходу – по-перше - він відповідає структурі документу, зрозумілого держслужбовцю, по-друге – відтворює структуру стандарту і дає гарантії, що нічого не забуто. Загальний об’єм від 20 сторінок, в залежності від бажання деталізації.
Резюмую.
Вступ. Терміни та скорочення. Цілі, завдання, принципи побудови системи управління ІБ. Основні загрози інформаційної безпеки. Ризик-орієнтований підхід до управління ІБ (обробка ризиків) Політики та організація захисту інформації. (умови реалізації даної Політики, перегляд, коригуючі та запобіжні дії, внутрішні та зовнішні сторони, управління мобільними системами, віддалений доступ) Безпека персоналу. (при працевлаштуванні, під час роботи, при звільненні або зміні місця роботи) Управління інформаційними активами. (класифікація, відповідальність, поводження) Управління доступом. Криптографічний захист. Фізична безпека. Безпека при обробці інформації. (операційні процедури, антивірусний захист, бекап, логування, моніторинг, контроль системного ПЗ, управління вразливостями, аудит) Мережева безпека. Безпека систем на всіх стадіях життєвого циклу. Взаємовідносини з постачальниками Управління інцидентами. Безперервність бізнесу та ІБ. Відповідність вимогам. Ролі та відповідальності. Остаточні положення. Історія змін. Перелік нормативних документів (національне законодавство, документи ДССЗЗІ, міжнародні стандарти та кращі практики)