Читаем Обеспечение информационной безопасности бизнеса полностью

— предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;

— управление непрерывностью бизнеса;

— ответственность за нарушения политики безопасности;

— определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;

— ссылки на документы, дополняющие политику информационной безопасности, например, частные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.

Пример основополагающей политики ИБ организации приведен на рис. 5.

При разработке структуры частных политик целесообразно исключать повторения одинаковых правил в различных частных политиках. При необходимости повторения в какой-либо частной политике ИБ правила или группы правил, содержащихся в другой (существующей) частной политике ИБ, целесообразно использовать ссылку на существующую частную политику ИБ. Например, включение в политику обеспечения ИБ какого-либо технологического процесса требований по антивирусной защите целесообразно осуществить в виде ссылки на политику антивирусной защиты (при ее наличии).

К инструкциям, руководствам (регламентам), методическим указаниям по обеспечению ИБ, как правило, предъявляются повышенные требования четкости и ясности изложения текста. Документы этого уровня, в отличие от документов вышестоящего уровня, описывают конкретные приемы и порядок действий сотрудников для решения определенных им (например, ролью) задач либо конкретные ограничения.

Рекомендуется, чтобы инструкции, руководства (регламенты), методические указания по обеспечению ИБ содержали:

— определение субъекта (субъектов), деятельность которых регламентируется инструкцией, и /или наименование деятельности (процесса), которая описывается инструкцией;

— ресурсы, необходимые для выполнения деятельности (процесса);

— детальное описание выполняемых операций, включая накладываемые ограничения, и результат выполнения операций;

— обязанности субъекта (субъектов) в рамках выполнения регламентируемой деятельности;

— права и ответственность субъекта (субъектов).

Недостаточно только разработать и ввести в действие документы по обеспечению ИБ. Документы должны иметь поддержку их жизненного цикла и быть актуальными осуществляемой организацией деятельности, а также внутренним и внешним условиям реализации этой деятельности. Менеджмент документов по обеспечению ИБ направлен на обеспечение разработки, учета, использования, хранения, проверки, обновления (поддержание актуального состояния) и изменения документов по обеспечению ИБ организации.

Менеджмент документов по обеспечению ИБ должен учитывать существующие требования законодательных актов и нормативных документов Российской Федерации, нормативных актов органов-регуляторов и внутренних документов организации. Документы должны сохраняться удобочитаемыми, легко идентифицируемыми и доступными. В организации должны существовать и быть документированы деятельности, направленные на идентификацию, хранение, защиту, поиск, обеспечение времени хранения документов, правила по их утилизации.

Модель менеджмента документов по обеспечению ИБ, гармонизированная с моделью менеджмента ИБ, определенной стандартом ГОСТ Р ИСО/МЭК 27001, приведена на рис. 6.

На этапе «Планирование документационного обеспечения» реализуются следующие процессы менеджмента документов по обеспечению ИБ:

— определение потребностей организации по обеспечению ИБ;

— разработка, согласование и утверждение основополагающей (корпоративной) политики ИБ организации и частных политик ИБ;

— разработка, согласование и утверждение документов, содержащих описания основных процессов обеспечения ИБ (например, менеджмент инцидентов ИБ, менеджмент рисков ИБ, оценка ИБ организации, обучение и осведомление персонала и др.).

К разработке и согласованию корпоративной политики ИБ и частных политик ИБ организации должны привлекаться представители следующих служб организации, ответственных за реализацию управленческих, основных производственных и вспомогательных процессов организации, связанных с ее информационной сферой:

— лица из состава высшего руководства организации;

— профильных (основных производственных) подразделений;

— службы информатизации;

— службы безопасности (информационной безопасности).

Все документы, составляющие политику ИБ организации, должны быть согласованы, введены в действие и учтены в соответствующем реестре. Корпоративная политика ИБ должна быть утверждена руководителем организации (например, председателем, генеральным директором, президентом, руководителем филиала). Частные политики ИБ могут быть утверждены руководителем организации или его заместителем по вопросам ИБ.

Документы, содержащие требования информационной безопасности к процессам, могут быть утверждены руководителем организации, его заместителем по вопросам ИБ или иными должностными лицами, в компетенцию которых входят вопросы, отраженные в этих документах.