данных компании;
• установить базовый уровень защиты информации в компании.
Состав и структура информационной системы
Содержится описание состава и структуры информационной системы компании.
Обязанности по защите информации
Определение обязанностей компании по защите информации является важной задачей.
К названным обязанностям относятся следующие:
• все организационные бизнес-единицы и структуры компании должны гарантировать, что их сотрудники действуют в соответствии с настоящей политикой безопасности;
• отделы сетевых операций и системного администрирования должны гарантировать, что ведутся и надежно хранятся журналы и аудиторские записи о предоставлении доступа к конфиденциальной информации компании;
• отделы безопасности информации, сетевых операций и системного администрирования должны гарантировать выполнение всех необходимых механизмов обеспечения безопасности;
• отдел управления рисками отвечает за корректную классификацию информации для выполнения требований безопасности;
• отдел внутреннего аудита отвечает за регулярные проверки правильности классификации информации и защищенности компонент информационной системы компании.
Другие обязанности
Важно, чтобы политика безопасности детализировала обязанности отдельных отделов и/пли групп сотрудников.
К другим обязанностям относятся следующие:
• все партнеры компании, вендоры, провайдеры и сторонние организации, которые участвуют в процессе обработки конфиденциальной информации компании, должны руководствоваться четко документированной политикой безопасности для сторонних организаций;
• все партнеры компании, вендоры, провайдеры и сторонние организации, которые имеют доступ к конфиденциальной информации компании, должны подписать соглашение об обязательном исполнении настоящей политики безопасности.
Документирование
Документирование гарантирует, что политика безопасности принята к действию и соблюдается на рабочих местах в компании.
Политика безопасности компании требует разработки, внедрения и исполнения процедур безопасности. Должна быть разработана документация по управлению пользовательскими идентификаторами на рабочих станциях, по управлению списками контроля доступа на рабочих местах компании, по сбору и анализу системных журналов и журналов приложений, ведения отчетности по реагированию на инциденты и пр.
Пересмотр политики
Пересмотр политики безопасности должен выполняться как минимум ежегодно для поддержания ее актуальности.
Обязанность по периодическому пересмотру политики безопасности возлагается на службу безопасности. В связи с быстрым изменением информационных технологий политика безопасности должна пересматриваться не реже одного раза в год. В группу по пересмотру политики безопасности компании должны входить высшее руководство