Читаем Обеспечение информационной безопасности бизнеса полностью

Отсутствие же документов «нижнего» уровня, как показано на рис. 3, означает, что не регламентированы процессы операционной деятельности по обеспечению ИБ организации. Но это может и не означать, что необходимая деятельность не реализуется. Деятельность может осуществляться, только она может иметь существенную вариативность и непредсказуемость по результатам, быть затруднительной для контроля и анализа. Такая ситуация наиболее типична для небольших и малых организаций. В этом случае руководство организации опирается на опыт и знания специалистов высокой квалификации. Таким образом, процессы могут быть организованы должным образом и будут на нижнем уровне успешно реализовываться, документироваться, но отсутствие заранее определенного интерфейса приведет к тому, что отчетные данные процессов обеспечения ИБ на верхнем уровне не смогут быть эффективно использованы. Подобная ситуация также чревата тем, что с уходом специалистов (смена работы, длительные командировки и т. п.) идет потеря операционной технологии (утрата «носителя» знаний). В отдельных случаях такие потери могут быть крайне чувствительными.

Анализ международной и российской практики, отраженной в международных и национальных стандартах, позволяет сформулировать следующий примерный перечень областей ИБ, которые могут быть охвачены положениями внутренних документов обеспечения ИБ организации:

— назначение и распределения ролей ИБ;

— обеспечение доверия к персоналу;

— менеджмент рисков ИБ;

— менеджмент инцидентов ИБ;

— обеспечения ИБ на стадиях жизненного цикла автоматизированных систем;

— управление доступом;

— защита от вредоносных программ;

— обеспечение ИБ при использования ресурсов электронной почты и сети Интернет;

— криптографическая защита информации;

— обеспечение «чистых столов» и «чистых экранов»;

— самооценка состояния ИБ;

— аудит ИБ.

В конкретной организации состав областей ИБ и перечень технологий обеспечения ИБ, в отношении которых формируется система документов, может отличаться от приведенного выше перечня.

Необходимо отметить, что не для каждой области ИБ может оказаться возможным построение полной (идеальной) пирамиды нормативных документов. В качестве примера можно привести правило (политику) так называемых «чистых столов». Обычно подобные правила отражают в частной политике или в инструкциях персонала. Таким образом, разработка документов по обеспечению ИБ требует взвешенного подхода и во многом зависит от сложившихся в организации принципов управления и контроля.

Далее на примере деятельности по менеджменту инцидентов ИБ (рис. 4) рассмотрим примерную (возможную) структуру нормативно-методического обеспечения для этого вида деятельности.

В данном примере мы исходим из предположения того, что руководством организации в основополагающем документе «Политика информационной безопасности организации» определены и утверждены высокоуровневые цели, содержание и основные направления деятельности по менеджменту инцидентов ИБ. В этом случае «частная» политика менеджмента инцидентов ИБ определяет требования к процессам: мониторинга инцидентов ИБ; сбора информации об инцидентах ИБ; анализа и обработки инцидентов ИБ.

В примерной структуре не показаны документы, составляющие свидетельства выполненной деятельности, так как их состав напрямую зависит от реализуемых технологий и состава используемых продуктов и систем обеспечения ИБ.

При разработке внутренних нормативных документов в области обеспечения ИБ необходимо обеспечить, чтобы разрабатываемые документы:

— носили не рекомендательный, а обязательный характер;

— были выполнимыми и контролируемыми, не рекомендуется включать в состав этих документов положения, контроль реализации которых затруднен или невозможен;

— были адекватны требованиям и условиям ведения деятельности (включая угрозы и риски ИБ), в том числе в условиях их изменчивости;

— не противоречили друг другу.

Оформление и содержание документов по обеспечению ИБ должны соответствовать установленным в организации нормам к содержанию и оформлению внутренних документов. Тем не менее в отношении содержания политики информационной безопасности организации и в отношении частных политик ИБ целесообразно руководствоваться положениями ГОСТ Р ИСО/МЭК 17799 «Информационная технология. Практические правила управления информационной безопасностью». В соответствии с указанным стандартом в политику ИБ организации рекомендуется включать следующие положения:

— определение информационной безопасности организации, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;

— изложение целей и принципов информационной безопасности, сформулированных руководством;

— краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например:

— соответствие законодательным требованиям и договорным обязательствам;

— требования в отношении обучения вопросам безопасности;