2014-02-09
1027
Характеристика документов третьего уровня по обеспечению информационной безопасности юридического лица
Третий уровень - это документы, которые содержат требования к процедурам обеспечения информационной безопасности. Стандарты технологий обеспечения информационной безопасности устанавливают требования и характеристики, предназначенные для всеобщего и многократного использования, касающиеся обеспечения информационной безопасности организации. Структуру и содержание стандартов рекомендуется разрабатывать на основе ГОСТ Р 1.4-2004. При этом, на основании федерального закона о техническом регулировании,стандарты могут разрабатываться как в отношении специализированных технологий обеспечения информационной безопасности, так и в отношении технологий, реализуемых производственными информационными системами. К документам, содержащим требования информационной безопасности к процедурам, относятся, например, инструкция по обеспечению информационной безопасности (должностные инструкции), руководство по обеспечению информационной безопасности, методические указания по обеспечению информационной безопасности, документ, содержащие требования к конфигурации системы информационной безопасности. К ним предъявляются повышение требования чёткости и ясности изложения. Документы данного уровня описывают конкретные приемы и порядок действия сотрудников для решения определенных задач или конкретные ограничения. В целом, инструкции, руководства, методические указания, должны содержать следующие основные положения:
|
|
|
Определение субъекта или субъектов, деятельность которых регламентируется данной инструкцией или наименование деятельности, которая описывается данной инструкцией
Ресурсы, необходимые для выполнения регламентируемой деятельности
Детальное описание выполняемых операций, ограничение результатов
Обязанности субъекта в рамках выполнения регламентируемой деятельности
Права и ответственность субъекта.
Примечание. Документы, которые содержат конфигурации системы, определяют конкретные значения параметров системы, компонентов, а также способов иъ настройки, позволяющие обеспечить требуемый уровень информационной безопасности
Примечание2. Документы, которые содержат процедурные требования, могут быть утверждены лицом, ответственным за реализацию соответствующего вида деятельности по обеспечению информационной безопасности.
Эти документы содержат записи о результатах реализации практической деятельности компании по обеспечению информационной безопасности. Наличие таких документов является документированным доказательством реализации выполнения требований документов вышестоящих уровней. Документы четвертого уровня используются при проведении внутреннего контроля и внешнего аудита. К этой группе документов относятся: Реестры и описи (опись информационных активов фирмы, перечень сведений конфиденциального характера); Регистрационные журналы, в том числе журналы регистрации документов; Протоколы (проведения испытаний); Листы ознакомлений; Обязательства; Акты; Договоры; Отчеты.
|
|
|
Наличие такого комплекта документов определяется набором требований, которые сформулированы на предыдущих уровнях. Документы, содержащие свидетельства о выполненной деятельности могут быть представлены как в электронной, так и в бумажной форме. Рекомендуется дублировать документы. Должно обеспечиваться архивное хранения, время которого определяется в соответствии с законодательством РФ или по требованиям вышестоящего органа. Утверждаются эти документы должностными лицами по сфере компетенции
