Введение
Организация разработки внутренних документов по обеспечению информационной безопасности юридического лица
Цель – изучить вопросы, касающиеся документационной поддержки информационной безопасности юридического лица
Организационное обеспечение автоматизированной системы – совокупность документов, устанавливающих организационную структуру, права и обязанности пользователей и эксплуатационного персонала автоматизированной системы в условиях функционирования, проверки и обеспечения работоспособности автоматизированных систем.
В современных условиях адекватный потребностям бизнеса уровень информационной безопасности может быть обеспечен только на основе комплексного подхода, предполагающего планомерное использование правовых, организационных, технических и других мер обеспечения информационной безопасности на единой концептуальной и методической основе.
Деятельность юридического лица любой формы собственности по обеспечению своей информационной безопасности осуществляется на основании следующих документов:
|
|
Действующие законодательные акты и нормативные документы РФ по обеспечению информационной безопасности;
Нормативные акты вышестоящего органа по отношению к данной организации;
Внутренние документы организации любой формы собственности по обеспечению информационной безопасности.
Для обеспечения согласованности, целенаправленности, планомерности деятельности по обеспечению информационной безопасности, вся работа в этом направлении должна быть документирована. Документы по обеспечению информационной безопасности позволяют определить и довести до каждого сотрудника организации все правила и требования по обеспечению информационной безопасности, которыми должен руководствоваться сотрудник, вне зависимости от занимаемой должности, в процессе повседневной деятельности. Также документы определяют порядок контроля за выполнением требований. Поэтому, в состав внутренних документов организации рекомендуется включать следующие виды документов, организованных в виде иерархической структуры.
Пирамида:
Концепция информационной безопасности организации. Это документ, который содержит положения корпоративной политики информационной безопасности организации;
Политики информационной безопасности организации. Это документы, содержащие положения частных методик, которые детализируют положения применительно к одной или нескольким областям информационной безопасности к видам и технологиям уставной деятельности юридического лица;
Стандарты информационной безопасности организации. Это документы, которые содержат положения информационной безопасности, применяемые к процедурам (порядку выполнения действий или операций), обеспечивающие информационную безопасность;
|
|
СВД. Это документы, содержащие свидетельства выполненной деятельности (СВД). Эти документы отражают достигнутые результаты по обеспечению информационной безопасности.
Исходя из данной структуры, естественно сформулировать следующие рекомендации:
Непротиворечивость;
Обязательность. Эти документы должны носить не рекомендательный, а обязательный характер;
Адекватность. Документы должны отражать реальные требования и условия ведения уставной деятельности, включая угрозы и риски информационной безопасности;
Выполнимость и контролируемость. Должны быть включены такие положения, которые выполнимы и которые можно проконтролировать.
Примечание. В состав внутренних документов также целесообразно включать специальный документ под названием «классификатор», который содержит перечень и назначение всех документов организации по обеспечению ее информационной безопасности на всех этапах жизненного цикла. Такой классификатор полезен при осуществлении менеджмента документов организации в рамках корпоративной системы. Наличие сориентированного классификатора (разбитого по разделам) позволит обеспечить повышение степени осведомленности сотрудников организации по вопросам информационной безопасности, а также позволит обеспечить качественный аудит информационной безопасности в данной организации.
Примечание №2. При наличии у организации сети филиалов, в каждом из них рекомендуется иметь единый для данной корпоративной системы утвержденный комплект документов приведенной выше структуры. В случае возникновения необходимости учета специфики обязательно разрабатываются собственные документы филиала.
Характеристика документов первого уровня по обеспечению информационной безопасности юридического лица (концепция информационной безопасности)
В названии корпоративной политики должно быть название данной организации, для которой разработана эта концепция информационной безопасности. В корпоративную политику рекомендуется включать следующие положения:
Определение информационной безопасности в терминах данной организации, области действия политики, целей, задач и принципов обеспечения информационной безопасности данной организации.
Изложение намерений руководства организации по обеспечению информационной безопасности, направленного на достижение указанных целей и на реализацию принципов обеспечения информационной безопасности.
Общие сведения об активах, подлежащих защите и их классификации.
Модели угроз и нарушителей (внутренние и внешние) в соответствии с установленными в данной организации требованиями стандарта по обеспечению информационной безопасности, на противодействие которым сориентирована корпоративная политика.
Высокоуровневое изложение правил и требований в области информационной безопасности, представляющих особую важность для организации данного хозяйственного сектора экономики (обеспечение соответствия законодательным актам, нормативным документам РФ в области обеспечения информационно безопасности и нормативным актам, которые действуют в рамках данного хозяйственного сектора экономики)
Требования к управлению системой информационной безопасности.
Требования по предотвращению и обнаружению компьютерных вирусов и другого вредоносного программного обеспечения.
Санкции при нарушении политики информационной безопасности.
Последствия нарушения политики информационной безопасности.
|
|
Требования по управлению непрерывности уставной деятельности.
Определение общих ролей и обязанностей, связанных с обеспечением информационной безопасностью, включая информирование об инцидентах информационной безопасности
Перечень частных политик информационной безопасности, развивающих и детализирующих положения корпоративной политики информационной безопасности, а также указания подразделениям информационной безопасности, ответственным за их соблюдение и реализацию.
Положения по контролю реализации концепции информационной безопасности.
Ответственность за реализацию и поддержку документа.
Условия пересмотра или выпуска новой редакции
К разработке и согласованию концепции информационной безопасности целесообразно привлекать представителей следующих служб:
Руководство организации; Профильные подразделения;Служба безопасности