Настоящий документ представляет собой концепцию обеспечения информационной безопасности предприятия и определяет:
Основные принципы формирования перечня критичных ресурсов, нуждающихся в защите, формируемого в процессе проведения аудита безопасности и анализа рисков. Данный перечень должен включать в себя описание физических, программных и информационных ресурсов с определением стоимости ресурсов и степени их критичности для предприятия.
Основные принципы защиты, определяющие стратегию обеспечения информационной безопасности (ИБ) и перечень правил, которыми необходимо руководствоваться при построении системы обеспечения информационной безопасности (СОИБ) предприятия.
Модель нарушителя безопасности, определяемую на основе обследования ресурсов системы и способов их использования.
Модель угроз безопасности и оценку рисков, связанных с их осуществлением, формируемую на основе перечня критичных ресурсов и модели нарушителя, которая включает определение вероятностей угроз и способов их осуществления, а также оценку возможного ущерба.
Требования безопасности, определяемые по результатам анализа рисков.
Меры обеспечения безопасности организационного и программно-технического уровня, предпринимаемые для реализации перечисленных требований.
Ответственность сотрудников предприятия за соблюдение установленных требований ИБ при эксплуатации информационной системы (ИС) предприятия.