Читаем Обеспечение информационной безопасности бизнеса полностью

— ISO/IEC 27036 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Руководства по обеспечению безопасности при аутсорсинге»;

— ISO/IEC 27037 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору и /или получению и хранению свидетельств, представленных в цифровой форме»;

— ISO/IEC 24745 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Защита биометрических шаблонов»;

— ISO/IEC 24761:2009 «Информационные технологии. Методы защиты. Контекст аутентификации для применения в биометрических технологиях»;

— ISO/IEC 29100 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности»;

— ISO / IEC 29101 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Эталонная архитектура обеспечения приватности»;

— ISO/IEC 29115 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Доверие к аутентификационным атрибутам»;

— ISO/IEC 29146 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Основы менеджмента доступа»;

— ISO/IEC 29190 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Модель зрелости возможностей обеспечения приватности»;

— ISO/IEC 29191 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Требования по взаимной анонимности при депонировании идентификационных атрибутов».

Комплексный подход к обеспечению ИБ, предполагающий последовательное и взвешенное использование правовых, организационных, программнотехнических и других мер обеспечения ИБ на единой концептуальной и методической основе, должен сформировать и поддержать адекватный потребностям бизнеса организации уровень ее информационной безопасности.

Согласованность, целенаправленность и планомерность деятельности по обеспечению ИБ может быть достигнута только при надлежащем нормативном закреплении (документировании) ожиданий руководства и правил осуществления деятельности в организации. Документы позволяют отразить и формализовать необходимые нормы, которые далее могут быть единообразно доведены до каждого работника организации в виде правил и требований ИБ, которыми он должен руководствоваться в своей производственной деятельности, а также порядка контроля их соблюдения.

Для того чтобы сформировать и обеспечить эффективную поддержку полноценной и непротиворечивой системы внутренних документов обеспечения ИБ организации, необходимо представлять и понимать суть возможной структуры комплекса таких документов. Например, видение Банка России относительно возможной эталонной структуры нормативного обеспечения системы ИБ организации отражено в рекомендациях в области стандартизации Банка России РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0». Определенная данными рекомендациями структура нормативного обеспечения системы информационной безопасности организации банковской системы Российской Федерации приведена на рис. 1.

Такая структура документов позволяет формализовать любую необходимую деятельность на всех уровнях управления в организации. Подобная структура документов, относящихся к деятельности по обеспечению ИБ, рекомендуется и Международной группой пользователей системы менеджмента информационной безопасности (ISMS International User Group).

Представленную структуру внутренних документов обеспечения ИБ можно рекомендовать любой организации. Далее кратко остановимся на целях и назначении документов каждого из уровней предложенной структуры.

К документам первого уровня относятся документы, содержащие положения (правила, принципы, нормы) политики ИБ организации, т. е. формулировки высокоуровневого видения сути проблемы в области ИБ руководством организации и определения позиции организации в их решении. Таким образом, в политике ИБ организации, как правило, определяются высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ. Действие такого документа обычно распространяется на все подразделения и всех работников организации.