Поддержание политики информационной безопасности
Требование 12: должна поддерживаться политика, регламентирующая деятельность всех сотрудников.
Данное обобщенное требование содержит 36 требований и 39 соответствующих им процедур оценки, регламентирующих аспекты нормативно правового обеспечения информационной безопасности, и организации защиты, включая:
•наличие политики безопасности и процедур, описывающих типовые операции обеспечения защиты;
•документированное распределение ответственности за различные аспекты обеспечения безопасности, мониторинга и контроля;
•наличие программы повышения осведомленности и обучения сотрудников в вопросах обеспечения защиты;
•проверку сотрудников на благонадежность перед принятием на работу;
•контроль договорных обязательств в части защиты при передаче данных платежных карт сторонним организациям;
•документирование и периодическое тестирование и обновление плана реагирования на инциденты безопасности;
•обеспечение круглосуточного мониторинга и реагирования на инциденты информационной безопасности.
Реализация этих требований (в частности — по документированию) достаточно проста по сути, но может быть несколько трудоемка для организаций со слабой нормативной базой по обеспечению безопасности. В организациях, где процессы управления безопасностью внедрены давно, обычно достаточно небольшой доработки существующей документации для отражения особенностей требования стандарта PCI DSS.
Еще по теме Поддержание политики информационной безопасности:
- Организационно-правовое значение мониторинга информационной безопасности личности в глобальном информационном обществе
- § 2. Взаимодействие ООН и ОАЕ в вопросах поддержания мира и безопасности на региональном уровне
- Основные направления обеспечения информационной безопасности корпоративной системы как фундамента безопасности карточного бизнеса
- Теоретико-правовые подходы к обеспечению информационной безопасности личности в глобальном информационном обществе: роль зарубежного опыта и задачи развития международного сотрудничества
- Глава 1. Лига Наций - первая международная организация по поддержанию всеобщего мира и безопасности
- Информационная безопасность как составляющая интересов личности
- Роль международных организаций в поддержании мира и обеспечении международной безопасности
- Виды вызовов и угроз информационной безопасности личности: подходы к классификации
- Правовая природа отношений в сфере обеспечения информационной безопасности личности
- 4.1. Развитие федерального законодательства в сфере обеспечения информационной безопасности личности
- Формирование правовых основ культуры информационной безопасности личности