деятельности, так как их состав напрямую зависит от реализуемых технологий и состава используемых продуктов и систем обеспечения ИБ.
При разработке внутренних нормативных документов в области обеспечения ИБ необходимо обеспечить, чтобы разрабатываемые документы:
— носили не рекомендательный, а обязательный характер;
— были выполнимыми и контролируемыми, не рекомендуется включать в состав этих документов положения, контроль реализации которых затруднен или невозможен;
— были адекватны требованиям и условиям ведения деятельности (включая угрозы и риски ИБ), в том числе в условиях их изменчивости;
— не противоречили друг другу.
Оформление и содержание документов по обеспечению ИБ должны соответствовать установленным в организации нормам к содержанию и оформлению внутренних документов. Тем не менее в отношении содержания политики информационной безопасности организации и в отношении частных политик ИБ целесообразно руководствоваться положениями ГОСТ Р ИСО/МЭК 17799 «Информационная технология. Практические правила управления информационной безопасностью». В соответствии с указанным стандартом в политику ИБ организации рекомендуется включать следующие положения:
— определение информационной безопасности организации, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;
— изложение целей и принципов информационной безопасности, сформулированных руководством;
— краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например:
— соответствие законодательным требованиям и договорным обязательствам;
— требования в отношении обучения вопросам безопасности;
— предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;
— управление непрерывностью бизнеса;
— ответственность за нарушения политики безопасности;
— определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;
— ссылки на документы, дополняющие политику информационной безопасности, например, частные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.
Пример основополагающей политики ИБ организации приведен на рис. 5.
При разработке структуры частных политик целесообразно исключать повторения одинаковых правил в различных частных политиках. При необходимости повторения в какой-либо частной политике ИБ правила или группы правил, содержащихся в другой (существующей) частной политике ИБ, целесообразно использовать ссылку на существующую частную политику ИБ. Например, включение в политику обеспечения ИБ какого-либо технологического процесса требований по антивирусной защите целесообразно осуществить в виде ссылки на политику антивирусной защиты (при ее наличии).
К инструкциям, руководствам (регламентам), методическим указаниям по обеспечению ИБ, как правило, предъявляются повышенные требования четкости и ясности изложения текста. Документы этого уровня, в отличие от документов вышестоящего уровня, описывают конкретные приемы и порядок действий сотрудников для решения определенных им (например, ролью) задач либо конкретные ограничения.
Рекомендуется, чтобы инструкции, руководства (регламенты), методические указания по обеспечению ИБ содержали:
— определение субъекта (субъектов), деятельность которых регламентируется инструкцией, и /или наименование деятельности (процесса), которая описывается инструкцией;
— ресурсы, необходимые для выполнения деятельности (процесса);
— детальное описание выполняемых операций, включая накладываемые ограничения, и результат выполнения операций;
— обязанности субъекта (субъектов) в рамках выполнения регламентируемой деятельности;
— права и ответственность субъекта (субъектов).
Недостаточно только разработать и ввести в действие документы по обеспечению ИБ. Документы должны иметь поддержку их жизненного цикла и быть актуальными осуществляемой организацией деятельности, а также внутренним и внешним условиям реализации этой деятельности. Менеджмент документов по обеспечению ИБ направлен на обеспечение разработки, учета, использования, хранения, проверки, обновления (поддержание актуального состояния) и изменения документов по обеспечению ИБ организации.
Менеджмент документов по обеспечению ИБ должен учитывать существующие требования законодательных актов и нормативных документов Российской Федерации, нормативных актов органов- регуляторов и внутренних документов организации. Документы должны сохраняться удобочитаемыми, легко идентифицируемыми и доступными. В организации должны существовать и быть документированы деятельности, направленные на идентификацию, хранение, защиту, поиск, обеспечение времени хранения документов, правила по их утилизации.
Модель менеджмента документов по обеспечению ИБ, гармонизированная с моделью менеджмента ИБ, определенной стандартом ГОСТ Р ИСО/МЭК 27001, приведена на рис. 6.
На этапе «Планирование документационного обеспечения» реализуются следующие процессы менеджмента документов по обеспечению ИБ:
— определение потребностей организации по обеспечению ИБ;
— разработка, согласование и утверждение основополагающей (корпоративной) политики ИБ организации и частных политик ИБ;
— разработка, согласование и утверждение документов, содержащих описания основных процессов обеспечения ИБ (например, менеджмент инцидентов ИБ, менеджмент рисков ИБ, оценка ИБ организации, обучение и осведомление персонала и др.).
К разработке и согласованию корпоративной политики ИБ и частных политик ИБ организации должны привлекаться представители следующих служб организации, ответственных за реализацию управленческих, основных производственных и вспомогательных процессов организации, связанных с ее информационной сферой:
— лица из состава высшего руководства организации;
— профильных (основных производственных) подразделений;
— службы информатизации;
— службы безопасности (информационной безопасности).
Все документы, составляющие политику ИБ организации, должны быть согласованы, введены в действие и учтены в соответствующем реестре. Корпоративная политика ИБ должна быть утверждена руководителем организации (например, председателем, генеральным директором, президентом, руководителем филиала). Частные политики ИБ могут быть утверждены руководителем организации или его заместителем по вопросам ИБ.
Документы, содержащие требования информационной безопасности к процессам, могут быть утверждены руководителем организации, его заместителем по вопросам ИБ или иными должностными
