Структура внутренних документов по обеспечению информационной безопасности юридического лица

date image 2014-02-09
views image 1831
Поделись с друзьями: 
567891011

Введение

Организация разработки внутренних документов по обеспечению информационной безопасности юридического лица

Цель – изучить вопросы, касающиеся документационной поддержки информационной безопасности юридического лица

Организационное обеспечение автоматизированной системы – совокупность документов, устанавливающих организационную структуру, права и обязанности пользователей и эксплуатационного персонала автоматизированной системы в условиях функционирования, проверки и обеспечения работоспособности автоматизированных систем.

В современных условиях адекватный потребностям бизнеса уровень информационной безопасности может быть обеспечен только на основе комплексного подхода, предполагающего планомерное использование правовых, организационных, технических и других мер обеспечения информационной безопасности на единой концептуальной и методической основе.

Деятельность юридического лица любой формы собственности по обеспечению своей информационной безопасности осуществляется на основании следующих документов:

Действующие законодательные акты и нормативные документы РФ по обеспечению информационной безопасности;

Нормативные акты вышестоящего органа по отношению к данной организации;

Внутренние документы организации любой формы собственности по обеспечению информационной безопасности.

Для обеспечения согласованности, целенаправленности, планомерности деятельности по обеспечению информационной безопасности, вся работа в этом направлении должна быть документирована. Документы по обеспечению информационной безопасности позволяют определить и довести до каждого сотрудника организации все правила и требования по обеспечению информационной безопасности, которыми должен руководствоваться сотрудник, вне зависимости от занимаемой должности, в процессе повседневной деятельности. Также документы определяют порядок контроля за выполнением требований. Поэтому, в состав внутренних документов организации рекомендуется включать следующие виды документов, организованных в виде иерархической структуры.

Пирамида:

Концепция информационной безопасности организации. Это документ, который содержит положения корпоративной политики информационной безопасности организации;

Политики информационной безопасности организации. Это документы, содержащие положения частных методик, которые детализируют положения применительно к одной или нескольким областям информационной безопасности к видам и технологиям уставной деятельности юридического лица;

Стандарты информационной безопасности организации. Это документы, которые содержат положения информационной безопасности, применяемые к процедурам (порядку выполнения действий или операций), обеспечивающие информационную безопасность;

СВД. Это документы, содержащие свидетельства выполненной деятельности (СВД). Эти документы отражают достигнутые результаты по обеспечению информационной безопасности.

Исходя из данной структуры, естественно сформулировать следующие рекомендации:

Непротиворечивость;

Обязательность. Эти документы должны носить не рекомендательный, а обязательный характер;

Адекватность. Документы должны отражать реальные требования и условия ведения уставной деятельности, включая угрозы и риски информационной безопасности;

Выполнимость и контролируемость. Должны быть включены такие положения, которые выполнимы и которые можно проконтролировать.

Примечание. В состав внутренних документов также целесообразно включать специальный документ под названием «классификатор», который содержит перечень и назначение всех документов организации по обеспечению ее информационной безопасности на всех этапах жизненного цикла. Такой классификатор полезен при осуществлении менеджмента документов организации в рамках корпоративной системы. Наличие сориентированного классификатора (разбитого по разделам) позволит обеспечить повышение степени осведомленности сотрудников организации по вопросам информационной безопасности, а также позволит обеспечить качественный аудит информационной безопасности в данной организации.

Примечание №2. При наличии у организации сети филиалов, в каждом из них рекомендуется иметь единый для данной корпоративной системы утвержденный комплект документов приведенной выше структуры. В случае возникновения необходимости учета специфики обязательно разрабатываются собственные документы филиала.

Характеристика документов первого уровня по обеспечению информационной безопасности юридического лица (концепция информационной безопасности)

В названии корпоративной политики должно быть название данной организации, для которой разработана эта концепция информационной безопасности. В корпоративную политику рекомендуется включать следующие положения:

Определение информационной безопасности в терминах данной организации, области действия политики, целей, задач и принципов обеспечения информационной безопасности данной организации.

Изложение намерений руководства организации по обеспечению информационной безопасности, направленного на достижение указанных целей и на реализацию принципов обеспечения информационной безопасности.

Общие сведения об активах, подлежащих защите и их классификации.

Модели угроз и нарушителей (внутренние и внешние) в соответствии с установленными в данной организации требованиями стандарта по обеспечению информационной безопасности, на противодействие которым сориентирована корпоративная политика.

Высокоуровневое изложение правил и требований в области информационной безопасности, представляющих особую важность для организации данного хозяйственного сектора экономики (обеспечение соответствия законодательным актам, нормативным документам РФ в области обеспечения информационно безопасности и нормативным актам, которые действуют в рамках данного хозяйственного сектора экономики)

Требования к управлению системой информационной безопасности.

Требования по предотвращению и обнаружению компьютерных вирусов и другого вредоносного программного обеспечения.

Санкции при нарушении политики информационной безопасности.

Последствия нарушения политики информационной безопасности.

Требования по управлению непрерывности уставной деятельности.

Определение общих ролей и обязанностей, связанных с обеспечением информационной безопасностью, включая информирование об инцидентах информационной безопасности

Перечень частных политик информационной безопасности, развивающих и детализирующих положения корпоративной политики информационной безопасности, а также указания подразделениям информационной безопасности, ответственным за их соблюдение и реализацию.

Положения по контролю реализации концепции информационной безопасности.

Ответственность за реализацию и поддержку документа.

Условия пересмотра или выпуска новой редакции

К разработке и согласованию концепции информационной безопасности целесообразно привлекать представителей следующих служб:

Руководство организации; Профильные подразделения;Служба безопасности

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

567891011

double arrow
Сейчас читают про:
article image
Логические выражения и логические операции
article image
Механизм государства
article image
Виды, сроки и порядок проведения проверок СИЗОД
article image
Рентабельность, ее виды. Пути повышения рентабельности
article image
Вербальные и невербальные средства речевой коммуникации
article image
Распорядительные документы
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Я преуспевал во всем, за что я брался, потому что я этого хотел. Я никогда не колебался, и это дало мне преимущество над остальным человечеством. © Наполеон ==> читать все изречения...
like icon 6528
like icon 6174
Понравился сайт? Поделись им с друзьями: