20 ноября, вторник 18:33
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Иерархия политик ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Иерархия политик ИБ

    Решил привести в порядок политики по ИБ.
    Приглядываюсь к структуре внутренних документов от ЦБ.
    Существуют еще какие-либо варианты организации внутренних документов на предприятии по ИБ?

  • #2
    в вертикальном изложении - вполне здраво расписано в Стандарте Банка России - там где разделение на 4 уровня.
    в горизонтальной иерархии - то по сферам применения (персонал, абс, инциденты, риски) или по типам выходных документов - положения, инструкции, регламенты...

    не думаю, что есть какие-то универсальные случаи. Для себя можно вести в каком-то одном разрезе, для проверяющих органов может понадобицца в другом
    Да пребудет с тобой Сила!

    Комментарий


    • #3
      Сообщение от Turkish Посмотреть сообщение
      в горизонтальной иерархии - то по сферам применения (персонал, абс, инциденты, риски) ...
      Как это риски у Вас попали в одну из сфер применения?

      Мы сами делим примерно так, отписывая соотвествующие частные политики:

      1. Аудит и самопроверка.
      2. Мониторинг и инциденты.
      3. Техническое обеспечение (сюда же Физ.Защита, Режим помещений и т.п.)
      4. СКЗИ (+ ЭЦП в ЭДО).
      5. АБС (автоматизация технологических процессов в самом широком смысле) без не дающего особую пользу разделения на платежные/неплатежные.
      6. Вычислительные сети со всеми сервисами (интернет, почта и пр.) и АВЗ до кучи.
      7. Персонал, включая уровни доверия, "ролевые игры", назначение доступа и обучение.
      8. Персональные данные (конкретика на сегодня размыта, но ввиду особой важности в перспективе резервируем).
      9. Архивирование; непрерывность и восстановление.

      Вот сомневаемся, выделять ли особо карточные дела (PCI) в отдельную сферу, или размазать частями по всем направлениям.

      Комментарий


      • #4
        Мур3а
        Как это риски у Вас попали в одну из сфер применения?
        вообще имел в виду по набору документов... Думаю, согласитесь, что по рискам будет и свое Положение (и даже не одно), инструкции, методики и т.д.
        Вот чтобы их объединить тематически я и выразился как сферы применения - некорректно, признаю
        Да пребудет с тобой Сила!

        Комментарий


        • #5
          Сообщение от Turkish Посмотреть сообщение
          Мур3а

          вообще имел в виду по набору документов... Думаю, согласитесь, что по рискам будет и свое Положение (и даже не одно), инструкции, методики и т.д.
          Вот чтобы их объединить тематически я и выразился как сферы применения - некорректно, признаю
          В соответствии с новыми веяниями
          СОИБ=СИБ+СМИБ. Риски - часть СМИБ.
          Представляется, что нам предписано стандартом строить документацию вокруг направлений (сфер) СИБ.
          Правильно ли будет тогда разрабатывать документ "Частная политика в области рисков ИБ"?

          Комментарий

          Пользователи, просматривающие эту тему

          Свернуть

          Присутствует 1. Участников: 0, гостей: 1.

          Обработка...
          X