Поддержание политики информационной безопасности

Требование 12: должна поддерживаться политика, регламентирующая деятельность всех сотрудников.

Данное обобщенное требование содержит 36 требований и 39 соответствующих им процедур оценки, регламентирующих аспекты нормативно правового обеспечения информационной безопасности, и организации защиты, включая:

•наличие политики безопасности и процедур, описывающих типовые операции обеспечения защиты;

•документированное распределение ответственности за различные аспекты обеспечения безопасности, мониторинга и контроля;

•наличие программы повышения осведомленности и обучения сотрудников в вопросах обеспечения защиты;

•проверку сотрудников на благонадежность перед принятием на работу;

•контроль договорных обязательств в части защиты при передаче данных платежных карт сторонним организациям;

•документирование и периодическое тестирование и обновление плана реагирования на инциденты безопасности;

•обеспечение круглосуточного мониторинга и реагирования на инциденты информационной безопасности.

Реализация этих требований (в частности — по документированию) достаточно проста по сути, но может быть несколько трудоемка для организаций со слабой нормативной базой по обеспечению безопасности. В организациях, где процессы управления безопасностью внедрены давно, обычно достаточно небольшой доработки существующей документации для отражения особенностей требования стандарта PCI DSS.

<< | >>

↑

Источник: А. К. Алексанов И. А. Демчев А. М. Доронин. Безопасность карточного бизнеса : бизнес-энциклопедия Московская финансово-промышленная академия; ЦИПСиР; Москва; 2012. 2012

Еще по теме Поддержание политики информационной безопасности:

- Биржа - Бонистика - Валюта - Денежные системы - Деньги и политика - Инфляция - Как заработать деньги - Карты кладов - Религия и деньги - Теория денег - Электронные деньги -