Базовые документы в области политики информационной безопасности

Использование существующих международных стандартов, обобщающих опыт зарубежных компаний, при создании системы информационной безопасности позволяет не только упростить её создание, но и обеспечивает гарантию её надежности и простоты сопровождения. Кроме того, для многих организаций использование соответствующих нормативных документов является одним из условий их функционирования. При создании системы информационной безопасности необходимо также учитывать, что в различных странах действуют различные специфические нормы, регламентирующие применение информационных технологий на своих территориях. Такие особенности имеются и в законодательстве Российской Федерации.

Наиболее часто при аудите информационных систем и создании положений об информационной безопасности используются следующие стандарты - СТО БР ИББС-1.0–2006, ISO/IEC 27001-2005, ISO/IEC 17799-2005, ISO/IEC 13335, ГОСТ Р ИСО/МЭК 15408, стандарты BS и ГОСТ Р, описывающих общий подход к реализации наиболее часто используемых организационных и технических средств и методов защиты информации, позволяющих создать необходимую для компании политику информационной безопасности.

Так в стандарте ISO/IEC 17799-2005 «Управление информационной безопасностью – Информационные технологии», построенном на основе британского стандарта «Практические рекомендации по управлению информационной безопасностью», приведены рекомендации по классификации объектов защиты и указаны аспекты информационной безопасности, которые должны быть определены в политике безопасности конкретной организации:

  • определение информационной безопасности и перечень составляющих ее элементов;
  • разъяснение основных положений политики информационной безопасности компании, принципов ее построения и используемых стандартов в области ИБ:

    • реализуемая инфрастуктура ИБ;
    • классификация информационными ресурсами и система управления ими;
    • порядок подготовки персонала по вопросам информационной безопасности и порядок их допуска к работе;
    • порядок обеспечения физической безопасности информационных ресурсов и   обеспечивающих систем;
    • порядок администрирования информационных ресурсов;
    • порядок управления доступом к средствам вычислительной техники, программному обеспечению и корпоративным данным;
    • порядок разработки и сопровождения информационных систем;
    • система организации защиты от вредоносных программ;
    • система обеспечения непрерывности функционирования информационных систем;
    • порядок управления инцидентами в области ИБ;
    • порядок изменения политики информационной безопасности.

  • должностные обязанности ответственных за обеспечение информационной безопасности  лиц и сотрудников организации;
  • организационно-распорядительные документы, регламентирующие политику информационной безопасности.

Стандарт ГОСТ Р ИСО/МЭК 15408 (ISO 15408) «Общие критерии оценки безопасности информационных технологий» позволяет оценить адекватность встроенных в информационную систему компании механизмов информационной защиты политикам безопасности предприятия. Стандарт позволяет провести анализ угроз безопасности КИС, определить необходимый профиль защиты информационной системы, произвести оценку соответствия требований безопасности существующей модели угроз и информационных рисков, на основании которой разрабатывается система защиты информации.

Использование  руководящего документа Гостехкомиссии России «АС. Защита от НСД к информации. Классификация АС и требования по защите информации» позволяет определить необходимый класс защищенности информационной системы предприятия, установить степени конфиденциальности различной информации и условия ее обработки
Использование руководящего документа Гостехкомиссии России «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), позволяет определить необходимые работы по защите конфиденциальной информации.

При создании системы информационной безопасности необходимо использовать и другие стандарты - ITIL, СММ и тд, непрямую не описывающие системы информационной безопасности, но обеспечивающие качество функционирования сервисов и служб компании, в том числе и обеспечивающих политику информационной безопасности в соответствии с установленными стандартами, непрерывное совершенствование качества реализованных систем

Более подробную информацию вы можете получить, связавшись со специалистами нашей компании.

Разработка политики информационной безопасности