Соответствие требованиям регуляторов

Соответствие требованиям регуляторов

Вопрос
Задать вопрос

Описание и назначение

Соответствие требованиям регуляторов – это процесс, направленный на обеспечение соответствия предъявляемых регуляторами, политиками, стандартами, руководствами и процедурами требованиям, посредством аудита информационной безопасности и технических средств контроля. Данный процесс относится к обязательным требованиям международных стандартов ISO/IEC, которые необходимо использовать при разработке программы безопасности компании.

Политика ИБ – это основноерешение высшего руководства компании, направленное на указание роли информационной безопасности в компании. Она должна ставить на первое место цель и предназначение компании, т.е. быть независимой с позиции технологий и решений. Виды политик ИБ:

  1. Организационная. В данном случае руководство формирует цели программы ИБ, порядок ее внедрения, распределяет ответственность, указывает на детали реализации программы. Такая политика ИБ определяет границы предстоящей деятельности по обеспечению ИБ, а также описывает приемлемую величину риска.
  2. Нацеленная на задачи. Определяются конкретные вопросы ИБ, на которых руководство хочет уделить внимание и которые хочет разъяснить для создания полноценной системы безопасности и понимая того, что сотрудники знают свою роль в системе обеспечения ИБ.
  3. Нацеленная на системы. Описываются решения руководства в отношении объектов инфраструктуры и информационных активов.

Стандарты представляют из себя список обязательных действий, при этом поддерживая и развивая политику ИБ компании по конкретным направлениям. Стандарты бывают как внутренние, так и внешние (требования законодательства).

Руководства разъясняют уже рекомендованные действия и представляют из себя инструкции для тех сотрудников компании, которых не затронули стандарты. Рекомендации, как правило, касаются физической безопасности, различных методик или персонала и показывают подход, характеризующий гибкость принятия решений в нестандартных ситуациях.

Процедуры включают конкретные, детально описанные действия, которых должны придерживаться различные пользователи, реализующие специфические задачи. Процедуры расположены на низшем уровне в списке политик ИБ, т.к. ориентированы на технические средства и пользователей и описывают, например, алгоритм действий при возникновении инцидента ИБ.

Процедуры предоставляют детальное описание внедрения в операционную среду политик, стандартов и рекомендаций ИБ. Например, если в соответствии со стандартом требуется создать резервные копии информационных активов компании, то в процедурах будут расписаны детальные шаги, которые необходимо выполнить для резервного копирования, а также время создания и место для размещения копий.

В ходе разработки политики ИБ компании необходимо разделять поставленные цели на стратегические и тактические. Стратегические цели описывают конечный результат, а тактические – хронологию получения результата. Таким образом, стандарты, руководства и процедуры – это тактические инструменты, предназначенные для поддержания и достижения положений политики безопасности, которые соответствуют стратегическим целям.

Список средств защиты

Б152
0
0 отзывов
НОТА
0
0 отзывов

«НОТА КУПОЛ. Документы» — программное обеспечение для упрощения работы по учёту объектов КИИ. Разработчиком продукта является российский вендор программного обеспечения НОТА, входящий в состав ИТ-холдинга «Т1». Программа нацелена на сегмент среднего (middle) офиса, когда решаются задачи...