Описание и назначение
Соответствие требованиям регуляторов – это процесс, направленный на обеспечение соответствия предъявляемых регуляторами, политиками, стандартами, руководствами и процедурами требованиям, посредством аудита информационной безопасности и технических средств контроля. Данный процесс относится к обязательным требованиям международных стандартов ISO/IEC, которые необходимо использовать при разработке программы безопасности компании.
Политика ИБ – это основноерешение высшего руководства компании, направленное на указание роли информационной безопасности в компании. Она должна ставить на первое место цель и предназначение компании, т.е. быть независимой с позиции технологий и решений. Виды политик ИБ:
- Организационная. В данном случае руководство формирует цели программы ИБ, порядок ее внедрения, распределяет ответственность, указывает на детали реализации программы. Такая политика ИБ определяет границы предстоящей деятельности по обеспечению ИБ, а также описывает приемлемую величину риска.
- Нацеленная на задачи. Определяются конкретные вопросы ИБ, на которых руководство хочет уделить внимание и которые хочет разъяснить для создания полноценной системы безопасности и понимая того, что сотрудники знают свою роль в системе обеспечения ИБ.
- Нацеленная на системы. Описываются решения руководства в отношении объектов инфраструктуры и информационных активов.
Стандарты представляют из себя список обязательных действий, при этом поддерживая и развивая политику ИБ компании по конкретным направлениям. Стандарты бывают как внутренние, так и внешние (требования законодательства).
Руководства разъясняют уже рекомендованные действия и представляют из себя инструкции для тех сотрудников компании, которых не затронули стандарты. Рекомендации, как правило, касаются физической безопасности, различных методик или персонала и показывают подход, характеризующий гибкость принятия решений в нестандартных ситуациях.
Процедуры включают конкретные, детально описанные действия, которых должны придерживаться различные пользователи, реализующие специфические задачи. Процедуры расположены на низшем уровне в списке политик ИБ, т.к. ориентированы на технические средства и пользователей и описывают, например, алгоритм действий при возникновении инцидента ИБ.
Процедуры предоставляют детальное описание внедрения в операционную среду политик, стандартов и рекомендаций ИБ. Например, если в соответствии со стандартом требуется создать резервные копии информационных активов компании, то в процедурах будут расписаны детальные шаги, которые необходимо выполнить для резервного копирования, а также время создания и место для размещения копий.
В ходе разработки политики ИБ компании необходимо разделять поставленные цели на стратегические и тактические. Стратегические цели описывают конечный результат, а тактические – хронологию получения результата. Таким образом, стандарты, руководства и процедуры – это тактические инструменты, предназначенные для поддержания и достижения положений политики безопасности, которые соответствуют стратегическим целям.
Список средств защиты
«НОТА КУПОЛ. Документы» — программное обеспечение для упрощения работы по учёту объектов КИИ. Разработчиком продукта является российский вендор программного обеспечения НОТА, входящий в состав ИТ-холдинга «Т1». Программа нацелена на сегмент среднего (middle) офиса, когда решаются задачи...
MEDOED — онлайн-сервис по автоматизации процессов по защите информации. MEDOED предоставляет возможность автоматизации процессов по защите информации: категорирование критических информационных структур, защита персональных данных.
Отечественный центр сертификации SafeTech CA обеспечивает выполнение требований регуляторов и удобную работу по контролю жизненного цикла сертификатов.