ГЛАВА 6. НАПРАВЛЕНИЯ РАЗВИТИЯ И СОВЕРШЕНСТВОВАНИЯ СМИБ

6.1.  Настоящая  Политика  определяет  следующие  основные  направления 

постоянного развития и совершенствования СМИБ: 

1) 

распределение  функций  и  ответственности  работников  Компании  в 

сфере  обеспечения  информационной  безопасности  между  ИТ-,  бизнес-

функциями,  руководством,  функцией  управления  рисками,  функцией 

информационной безопасности; 

2) 

согласование, регистрация, хранение, передача и уничтожение документации, 

относящейся к СМИБ; 

3) 

рисков  информационной  безопасности  и  возможных  последствий  их 

реализаций, принятие решений о действиях Компании для уменьшения риска 

до приемлемого уровня; 

4) 

мониторинг,  анализ  эффективности  и  совершенствование  процессов 

СМИБ  -  анализ  СМИБ,  при  котором  учитываются  результаты  проверок 

безопасности,  статистика  и  дополнительная  информация  по  произошедшим 

инцидентам 

информационной 

безопасности, 

результаты 

оценки 

эффективности  процессов  информационной  безопасности,  а  также 

предложения и комментарии от всех заинтересованных сторон; 

5) 

повышение 

осведомлённости 

работников 

Компании 

в 

вопросах 

договора, при увольнении или переводе на другую должность; 

6) 

повышение  уровня  знаний  и  контроль  знаний  работников  Компании  в 

области  информационной  безопасности  –  регулярное  повышение 

квалификации  работников  подразделений,  входящих  в  область  действия 

СМИБ 

путем  проведения 

рассылок, 

тестирований и т. д.; 

 

 

10 

7) 

организация  работы  со  сторонними  организациями  –  обеспечение 

информационной  безопасности  в  работе  со  сторонними  организациями  при 

предоставлении доступа к информационным активам Компании; 

8) 

обеспечение физической безопасности и защита оборудования; 

9) 

технические  и  организационные  меры  обеспечения  информационной 

безопасности – эксплуатация и совершенствование механизмов обеспечения 

информационной безопасности; 

10) 

управление 

ИТ-инфраструктурой 

Компании 

– 

обеспечение 

информационной  безопасности  в  рамках  всего  жизненного  цикла 

компонентов ИТ-инфраструктуры; 

11) 

управление инцидентами информационной безопасности – обеспечение 

мониторинга  событий  и  инцидентов  информационной  безопасности  и 

механизмов реагирования; 

12) 

управление  непрерывностью  бизнеса  -  снижение  потенциальных 

убытков,  вызываемых  в  том  числе  авариями  и  сбоями  в  ИС  Компании,  до 

приемлемого  уровня  путем  комбинирования  предупреждающих  и 

корректирующих мер; 

13) 

соблюдение требований законодательства; 

14) 

использование лицензионного программного обеспечения; 

15) 

внутренние  аудиты  информационной  безопасности  –  регулярное 

проведение  внутренних  аудитов  СМИБ  с  целью  проверок  процессов  и 

механизмов контроля СМИБ. 

жүктеу/скачать 0.49 Mb.

Достарыңызбен бөлісу: