Archprokachka.ru

Арт Прокачка
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Приложение D (справочное). Структура политики

Приложение D (справочное). Структура политики

В данном приложении содержатся дополнительные рекомендации по структуре политики, включая политику информационной безопасности.

Политика — это общие намерения и указания, официально выраженные руководством (см. FCD 27000 и ISO/IEC 27002). Содержание политики управляет действиями и решениями, касающимися предмета политики. Организация может иметь несколько политик, по одной для каждой сферы деятельности, важной для организации. Некоторые политики независимы одна от другой, в то время как другие политики находятся в иерархическом соотношении. В области безопасности политики, как правило, иерархически организованы. Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику информационной безопасности и политику системы менеджмента информационной безопасности. В свою очередь, политика информационной безопасности может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам информационной безопасности. Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика информационной безопасности подкрепляется политиками, касающимися контроля доступа, политики «чистого стола» и «чистого экрана», использования сетевых служб и криптографического контроля. В некоторых случаях возможно включение дополнительных уровней политики. Эта классификация показана на рисунке D1.

Рисунок D.1 — Иерархия политики

Согласно стандарту ISO/IEC 27001 требуется, чтобы организации имели политику СМИБ и политику информационной безопасности. Однако это не подразумевает каких-либо конкретных соотношений между этими политиками. Требования к политике СМИБ приведены в пункте 4.2.1 стандарта ISO/IEC 27001. Рекомендации по политике информационной безопасности приведены в пункте 5.1.1 стандарта ISO/IEC 27002. Эти политики могут разрабатываться как равноправные политики; политика СМИБ может подчиняться политике информационной безопасности, или, наоборот, политика информационной безопасности может подчиняться политике СМИБ.

Содержание политики основано на контексте, в котором работает организация. В частности, при разработке любой политики в рамках основ политики нужно учитывать следующее:

1) цели и задачи организации;

2) стратегии, адаптированные для достижения этих целей;

3) структуру и процессы, адаптированные организацией;

4) цели и задачи, связанные с предметом политики;

5) требования связанных политик более высокого уровня. Этот процесс показан на рисунке D.2.

Рисунок D.2 — Исходные данные для разработки политики

Политики могут иметь следующую структуру:

1. Краткое изложение политики — общее описание из одного-двух предложений. (Иногда может объединяться с введением).

2. Введение — краткое объяснение предмета политики.

3. Область действия — описывает части или действия организации, находящиеся под влиянием политики. При необходимости в пункте «Область действия» перечисляются другие политики, подкрепляемые данной политикой.

4. Цели — описание назначения политики.

5. Принципы — описание правил, касающихся действий и решений для достижения целей. В некоторых случаях может быть полезным определить ключевые процессы, связанные с предметом политики, и затем — правила выполнения процессов.

6. Сферы ответственности — кто отвечает за действия по выполнению требований политики. В некоторых случаях этот пункт может содержать описание организационных соглашений, а также сферы ответственности лиц с определенными ролями.

7. Ключевые результаты — описание результатов, получаемых предприятием, если цели достигнуты.

8. Связанные политики — описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.

Примечание — Содержание политики может быть организовано различными способами. Например, организации, которые делают акцент на ролях и сферах ответственности, могут упростить описание целей и применять принципы конкретно к ролям и сферам ответственности.

Читайте так же:
Секционный стол что это

Далее приведен пример политики информационной безопасности, показывающий ее структуру и пример содержания.

Политика информационной безопасности (пример)

Краткое изложение политики

Информация всегда должна быть защищена независимо от ее формы и способа ее распространения, передачи и хранения.

Информация может существовать во многих различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных устройств, показываться на пленках или передаваться устно в процессе общения.

Информационная безопасность — это защита информации от различных угроз, призванная обеспечить непрерывность бизнес-процессов, минимизировать риск для бизнеса и максимизировать возвращение вложений и обеспечить возможности деловой деятельности.

Данная политика подкрепляет общую политику безопасности организации.

Данная политика применяется ко всем сотрудникам организации.

Цели информационной безопасности

1) Понимание и обработка стратегических и оперативных рисков для информационной безопасности, чтобы они были приемлемы для организации.

2) Защита конфиденциальности информации клиентов, разработок продукции и планов маркетинга.

3) Сохранение целостности материалов бухгалтерского учета.

4) Соответствие общих веб-сервисов и внутренних сетей соответствующим стандартам доступности.

Принципы информационной безопасности

1) Данная организация способствует принятию рисков и преодолевает риски, которые не могут преодолеть организации с консервативным управлением, при условии понимания, мониторинга и обработки рисков для информации при необходимости. Подробное описание подходов, применяемых для оценки и обработки рисков, можно найти в политике СМИБ.

2) Весь персонал должен быть осведомлен и подотчетен за информационную безопасность в отношении своих должностных обязанностей.

3) Необходимо принять меры для финансирования средств управления информационной безопасностью и процессов управления проектами.

4) Возможности мошенничества и злоупотреблений в области информационных систем должны быть приняты в расчет при общем управлении информационными системами.

5) Отчеты о состоянии информационной безопасности должны быть доступны.

6) Необходимо отслеживать риски для информационной безопасности и предпринимать действия, когда изменения приводят к возникновению непредвиденных рисков.

7) Критерии классификации рисков и приемлемости рисков можно найти в политике СМИБ.

8) Ситуации, которые могут привести организацию к нарушению законов и установленных норм, не должны допускаться.

1) Группа руководителей высшего звена отвечает за обеспечение соответствующей проработки информации во всей организации.

2) Каждый руководитель высшего звена отвечает за то, чтобы сотрудники, работающие под его руководством, осуществляли защиту информации в соответствии со стандартами организации.

3) Начальник отдела безопасности консультирует группу руководителей высшего звена, оказывает экспертную помощь сотрудникам организации и обеспечивает доступность отчетов о состоянии информационной безопасности.

4) Каждый сотрудник организации отвечает за информационную безопасность как часть выполнения своих должностных обязанностей.

1) Инциденты информационной безопасности не должны приводить к серьезным непредвиденным затратам или серьезным срывам работы служб и деятельности предприятия.

2) Потери из-за мошенничества должны быть известны и находиться в рамках приемлемых ограничений.

3) Вопросы информационной безопасности не должны оказывать неблагоприятного влияния на прием заказчиками продукции и услуг.

Следующие детальные политики содержат принципы и рекомендации по отдельным аспектам информационной безопасности:

1) Политика системы менеджмента информационной безопасности (СМИБ);

2) Политика контроля доступа;

3) Политика «чистого стола» и «чистого экрана»;

4) Политика неразрешенного программного обеспечения;

5) Политика, касающаяся получения файлов программного обеспечения из внешних сетей или через них;

6) Политика, касающаяся мобильного кода;

7) Политика резервного копирования;

8) Политика, касающаяся обмена информацией между организациями;

Читайте так же:
Струганый стол что это

9) Политика, касающаяся допустимого использования электронных средств связи;

10) Политика сохранения записей;

11) Политика использования сетевых служб;

12) Политика, касающаяся мобильных вычислений и связи;

13) Политика дистанционной работы;

14) Политика использования криптографического контроля;

15) Политика соответствия;

16) Политика лицензирования программного обеспечения;

17) Политика удаления программного обеспечения;

18) Политика защиты и секретности данных. Все эти политики подкрепляют:

— идентификацию риска путем предоставления основы средств управления, которые могут использоваться для обнаружения недостатков в проектировании и внедрении систем;

— обработку риска путем оказания помощи в определении способов обработки для определенных уязвимостей и угроз.

Идентификация риска и обработка риска — это процессы, определенные в разделе политики «Принципы». Подробности см. в политике СМИБ.

<< Приложение
С (справочное). Информация по внутреннему аудиту
Приложение >>
Е (справочное). Мониторинг и измерения
Содержание
Национальный стандарт ГОСТ Р ИСО/МЭК 27003-2012 "Информационная технология. Методы и средства обеспечения безопасности.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Примеры и рекомендации удобных инструкций

В продолжении своего поста решил написать, как лучше всего создавать инструкции для пользователей и администраторов.

Всем, кому интересно, прошу под хабракат.

Принцип Keep It Simple Stupid хорошо известен в программировании, но почему-то его редко используют для написания инструкций и руководящих документов, предпочитая растекаться мыслею по древу. В 70% ситуаций эта документация необходима только для того, что бы отмахаться от наших бодрых регуляторов, но при этом забывают, что с этой документацией придётся работать, причём не всегда технически подкованным и грамотным в области информационной безопасности людям.

Для начала напишу несколько правил, которые помогут создать рабочий и удобный документ:

1. Старайтесь разделять инструкцию для пользователей от инструкции для администраторов и офицеров безопасности. причём первые не должны содержать ссылок на вторые (они могут содержать отсылки друг к другу).
2. Делайте пошаговые инструкции, вида «взял и сделал». То есть инструкции должны описывать алгоритм действий того, на кого она направлена.
3. Каждый пункт описывайте, как отдельное действие с обязательным указанием ответственного и контактами, если они необходимы.
4. Для большей наглядности можете дополнительно нарисовать в инструкцию блок-схему действий. Это поможет пользователю наглядно понять и оценить действия, так же и вам доступно объяснить алгоритм при обучении.
5. Психологический момент — инструкция будет плохо выполняться и работать, если пользователям понятно и доступно не объяснят алгоритм на пальцах и примерах. Поэтому — НЕ ЗАБЫВАЙТЕ ПРО ОБУЧЕНИЕ!

Пример инструкции для пользователей

Ниже приведен пример инструкции по заведению аккаунта пользователя в корпоративной сети.
image

Clear screen/clear desk

Специфика российских организаций, работающих с советских времен и таких же умудренных опытом сотрудников такова, что у них, как правило, стол завален бумагами. Компьютер порой не выключается и не блокируется, даже когда уходят домой. Недавно лично видел, проходя поздно вечером мимо одного муниципального предприятия, как за открытыми жалюзи в закрытом на замок здании горел монитор с открытым на нём вордовским документом.
Пользователи порой не догадываются о возможных непреднамеренных утечках информации. Пускай она не конфиденциальна, возможно она только для внутреннего пользования. Но это даёт понимание, что в этой организации не заботятся о своей безопасности и могут так поступить с конфиденциалкой. А так же возможно там будет информация, ещё не отнесенная к закрытой, но уже существующая во внутреннем обороте организации.

Читайте так же:
Как накрыть стерильный стол

Хорошим примером из лучших практик здесь является политики чистого стола и чистого экрана. Их можно описать так же, как я приводил пример ранее, но это будет выглядеть немного глупо, так как действия там простейшие. Лучше просто сделать набором правил:
image

На этом завершаю примеры и рекомендации. Серию подобных постов я продолжу, если будет интерес.

Защита персональных данных

ООО «КРКА ФАРМА», ООО «КРКА-РУС», Предст а вительство АО «КРКА, фармацевтический завод, Ново Место» в Российской Федерации (далее по тексту – «КРКА») поощряет уважение основных прав и уделяет особое внимание защите и обработке персональных данных.

Обязательство КРКА

КРКА обязуется обеспечивать безопасную и конфиденциальную обработку персональных данных своих сотрудников, акционеров, контрагентов, пользователей Интернет-сайта и других заинтересованных лиц. В то же время КРКА обеспечивает, чтобы обработка персональных данных проводилась законным, правомерным и прозрачным образом, а также с соблюдением прав субъектов данных.

Политика защиты персональных данных

Для реализации своих обязательств КРКА строго соблюдает действующее законодательство и гарантирует, что персональные данные собираются для определённых целей в соответствии с принципом минимизации данных и гарантирует хранение персональных данных в сроки, необходимые для достижения целей, с использованием собранных для этого персональных данных.

Область применения

Наша политика применяется ко всем лицам, предоставляющим нам любую персональную информацию: сотрудникам КРКА, кандидатам на должность, акционерам, клиентам, поставщикам и т.д.

Кто обязан выполнять эту политику

Эта политика является обязательной для любого физического или юридического лица, с которым сотрудничает КРКА, или которое действует от имени КРКА и которому периодически требуется доступ к персональным данным. Все сотрудники КРКА и ее дочерних компаний должны соблюдать данную политику, которая также является обязательной для всех подрядчиков, консультантов и других внешних обработчиков персональных данных.

Элементы политики

Чтобы иметь возможность выполнять наши процессы, мы также должны собирать и обрабатывать персональные данные. К ним относятся любые данные, позволяющие идентифицировать субъекта данных, например, имена, адреса, пользовательские имена и пароли, цифровые следы, фотографии, персональные идентификационные номера, финансовые данные и т.д.

КРКА собирает такую информацию прозрачным образом и только на основании принципа полного сотрудничества и осведомленности заинтересованных сторон. После получения таких данных применяются следующие правила:

Персональные данные, собранные КРКА должны:

  • Быть собраны правомерно и исключительно для законных целей;
  • Быть достоверными и актуальными;
  • Подвергаться обработке в законных и моральных рамках;
  • Быть защищены от несанкционированного и незаконного доступа как в пределах, так и за пределами компании.

Персональные данные, собранные КРКА не должны:

  • Передаваться за пределы КРКА без законного на то основания;
  • Храниться дольше указанного срока;
  • Передаваться организациям и странам, в которых не приняты соответствующие правила по защите данных;
  • Передаваться какому-либо лицу, кроме согласованных с субъектом данных лиц (за исключением законных требований со стороны правоохранительных органов).

Мероприятия

Настоящим мы обязуемся выполнять следующие меры по защите персональных данных:

  • Ограничение и контроль доступа к особым категориям персональных данных;
  • Разработка и внедрение прозрачных процедур для сбора данных;
  • Обучение персонала для выполнения индивидуальных и технических мер безопасности;
  • Создание защищенной сети для защиты персональных данных от кибератак;
  • Установление четких процедур отчетности о нарушении конфиденциальности или мошеннических действий с данными;
  • Включение договорных положений или четких инструкций о наших способах обработки данных;
  • Установление передовой практики, связанной с защитой данных (политика чистого стола и чистого экрана, уничтожение документов с помощью шредера, надежные замки, шифрование данных, регулярное создание резервных копий, авторизация доступа и т.д.).
Читайте так же:
Столик корзина своими руками

КРКА сертифицирована по стандарту ISO 27001, который означает, что она реализует надлежащие практики защиты данных в соответствии с ISO 27001 «Системы управления информационной безопасностью».

Положения КРКА о защите данных, помимо прочего, определены в политике защиты персональных данных на Интернет-сайте компании.

Дисциплинарные последствия

Сотрудники КРКА обязаны строго придерживаться всех принципов, описанных в этой политике. Нарушение правил защиты данных может привести к дисциплинарным и другим мерам.

ООО «КРКА ФАРМА»

125212, г. Москва,
Головинское шоссе,
дом 5, корпус 1, 22 этаж,
БЦ «Водный»

П Р А В И Л А ИНТЕГРИРОВАННАЯ СИСТЕМА МЕНЕДЖМЕНТА ПРАВИЛА ЧИСТОГО СТОЛА И ЧИСТОГО ЭКРАНА

2 Стр2 из 8 Содержание 1 Общие положения 3 2 Основная часть Цель Правил Область применения Предмет Правил Роли и ответственности Ответственность за нарушение настоящих Правил 5 3 Пересмотр, внесение изменений, хранение и рассылка 5 Лист согласования 6 Лист регистраций изменений 7 Лист ознакомления 8

3 Стр3 из 8 1 ОБЩИЕ ПОЛОЖЕНИЯ 1.1 Настоящие Правила чистого стола и чистого экрана в АО «МУА» (далее Правила) регламентируют порядок хранения информационных активов на рабочих столах и на средствах вычислительной техники в АО «Медицинский университет Астана» (далее Университет) и определяют обязанности и ответственность пользователей и специалистов отдела информационных технологий (далее ОИТ) В настоящих Правилах используются следующие термины и определения: — техническая поддержка (далее техподдержка) отдел информационных технологий (далее — ОИТ), являющийся центром приема обращений от пользователей Университета, а также контроля за текущим состоянием сервисов информационных технологий (далее — ИТ); — сервис ИТ ИТ-услуга, предоставляемая компонентами информационной системы Университета, необходимая для автоматизации основной деятельности, например, корпоративная электронная почта, корпоративной сети передачи данных (далее КСПД), доступ в Интернет, функционирование принтеров, сканеров, работа с офисным программным обеспечением и т.д.; — сеть Интернет — система сетей, обеспечивающая доступ к международным информационным ресурсам; — трафик объем информации, полученной и/или переданной пользователем посредством КСПД; — работники служащие, осуществляющие свою деятельность в Университета и обладающие основными правами и обязанностями в соответствии с законодательством Республики Казахстан; — вспомогательный персонал — обслуживающий и технический персонал подведомственных и сторонних организаций, осуществляющих взаимодействие с Университета в качестве поставщиков и потребителей (пользователей) информации и услуг; — пользователь — субъект, обращающийся к информационной системе за получением необходимых ему информационных ресурсов и пользующийся ими; — системный администратор (далее Администратор) специалист отдела информационных технологий, отвечающий за мониторинг и администрирование системного программного обеспечения Университета; — активный каталог единая база данных пользователей и компьютеров, созданная с целью обеспечения единой политики управления и безопасности передачи данных внутри КСПД Университета; — информационная безопасность обеспечение конфиденциальности, целостности и доступности информации; дополнительно также могут подразумеваться другие свойства, такие как аутентичность, подотчетность и надежность; — конфиденциальность свойство, заключающееся в недоступности информации или не раскрытии ее содержания для неавторизованных лиц, субъектов или процессов. — целостность свойство, заключающееся в обеспечении точности и полноты ресурсов. — доступность свойство, заключающееся в доступности и применимости для авторизованных субъектов, когда потребуется. — риск комбинация вероятности события и его последствий.

Читайте так же:
Как разобрать советский круглый стол

4 Стр4 из 8 2 ОСНОВНАЯ ЧАСТЬ 2.1 Цель Правил Цель настоящих Правил снизить риски несанкционированного доступа, потери или повреждения информации в течение и после рабочего времени. 2.2 Область применения Правила применяются ко всем компьютерам, документам и другим носителям конфиденциальной и критической информации. 2.3 Предмет Правил Должны быть надежно защищены носители конфиденциальной и критической информации (например, бумажные документы) должны быть защищены; Должна обеспечиваться надежная защита компьютеров и терминалов от несанкционированного доступа; Должна быть обеспечена защита точки получения и отправки почты и оставленных без присмотра факсимильных аппаратов; Необходимо предотвращать несанкционированное использование фотокопировальных и другой множительной техники (например, сканеров, цифровых камер); Документы, содержащие конфиденциальную или классифицированную информацию, должны удаляться из принтеров немедленно. 2.4 Роли и ответственности Ответственность за выполнение мероприятий по обеспечению чистого стола и чистого экрана на персональных компьютерах сотрудников возлагается на самих сотрудников и руководителей структурных подразделений Согласно документу все носители конфиденциальной и критической информации, которые вошли в «Реестр информационных активов", например, бумажные или электронные документы, должны быть защищены (лучше, если в сейфе, шкафу или других защищенных местах), если они не нужны, особенно когда кабинет остается пустым; Оставлять без присмотра компьютеры и терминалы необходимо после завершения сеанса или защиты экрана механизмом блокировки, который контролируется механизмом аутентификации пользователя. Когда компьютеры и терминалы не используются, они защищены блокировкой клавиатуры, паролями или другими мерами безопасности; Персональные компьютеры, компьютерные терминалы и принтеры должны быть выключены по окончании работы; Рабочий стол не должен содержать конфиденциальную информацию во время присутствия посторонних лиц; Нужно защищать при перемещении в другое место или переворачивания документов при входе постороннего; По окончании работы пользователь должен убрать со стола все документы; В нерабочее время фотокопировальные устройства следует запирать на ключ (или защищать от неавторизованного использования другим способом); Напечатанные документы с важной или конфиденциальной информацией необходимо изымать из принтеров немедленно;

5 Стр5 из Вся электронная документация не должна храниться на рабочем столе персонального компьютера; Документы и информация в электронном формате должны храниться на жестких дисках или в защищенных папках. 2.5 Ответственность за нарушение настоящих Правил Пользователь несет персональную ответственность за выполнение требований настоящих Правил За нарушение требований настоящих Правил, предъявляемых в целях обеспечения информационной безопасности, пользователь несет ответственность в соответствии с нормативными документами Университета 3 ПЕРЕСМОТР, ВНЕСЕНИЕ ИЗМЕНЕНИЙ, ХРАНЕНИЕ И РАССЫЛКА 3.1 Пересмотр, внесение изменений, хранение и рассылка настоящих Правил осуществляются в соответствии с требованиями стандарта университета «Управление документацией» (СУ- МУА-02). 3.2 Оригинал настоящих Правил регистрируется и хранится в ОМКиСП. 3.3 Сканированная версия настоящих Правил размещается на серверном компьютере Университета в папке общего доступа. 3.4 Учтенные печатные копии настоящих Правил рассылаются во все структурные подразделения

6 Стр6 из 8 Лист согласования

7 Измененных Замененных Новых Аннулированных АО «Медицинский университет Астана» Стр7 из 8 Лист регистраций изменений п/п Номера листов (страниц) Всего листов Номер раздела, подраздела, пункта стандарта, к которому относятся изменения Подпись лица, внесшего изменения Дата внесения изменения

8 Стр8 из 8 п/п Лист ознакомления Должность Ф.И.О. Дата согласования Подпись

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector