Базовые документы в области политики информационной безопасности

Для многих организаций использование соответствующих нормативных документов является одним из условий их функционирования. При создании системы информационной безопасности необходимо также учитывать, что в различных странах действуют различные специфические нормы, регламентирующие применение информационных технологий на своих территориях. Такие особенности имеются и в законодательстве Российской Федерации.

Наиболее часто при аудите информационных систем и создании положений об информационной безопасности используются следующие стандарты - СТО БР ИББС-1.0–2006, ISO/IEC 27001-2005, ISO/IEC 17799-2005, ISO/IEC 13335, ГОСТ Р ИСО/МЭК 15408, стандарты BS и ГОСТ Р, описывающих общий подход к реализации наиболее часто используемых организационных и технических средств и методов защиты информации, позволяющих создать необходимую для компании политику информационной безопасности.

Так в стандарте ISO/IEC 17799-2005 «Управление информационной безопасностью – Информационные технологии», построенном на основе британского стандарта «Практические рекомендации по управлению информационной безопасностью», приведены рекомендации по классификации объектов защиты и указаны аспекты информационной безопасности, которые должны быть определены в политике безопасности конкретной организации:

• определение информационной безопасности и перечень составляющих ее элементов;
• разъяснение основных положений политики информационной безопасности компании, принципов ее построения и используемых стандартов в области ИБ:
  • реализуемая инфрастуктура ИБ;
  • классификация информационными ресурсами и система управления ими;
  • порядок подготовки персонала по вопросам информационной безопасности и порядок их допуска к работе;
  • порядок обеспечения физической безопасности информационных ресурсов и обеспечивающих систем;
  • порядок администрирования информационных ресурсов;
  • порядок управления доступом к средствам вычислительной техники, программному обеспечению и корпоративным данным;
  • порядок разработки и сопровождения информационных систем;
  • система организации защиты от вредоносных программ;
  • система обеспечения непрерывности функционирования информационных систем;
  • порядок управления инцидентами в области ИБ;
  • порядок изменения политики информационной безопасности.
• должностные обязанности ответственных за обеспечение информационной безопасности лиц и сотрудников организации;
• организационно-распорядительные документы, регламентирующие политику информационной безопасности.

Стандарт ГОСТ Р ИСО/МЭК 15408 (ISO 15408) «Общие критерии оценки безопасности информационных технологий» позволяет оценить адекватность встроенных в информационную систему компании механизмов информационной защиты политикам безопасности предприятия. Стандарт позволяет провести анализ угроз безопасности КИС, определить необходимый профиль защиты информационной системы, произвести оценку соответствия требований безопасности существующей модели угроз и информационных рисков, на основании которой разрабатывается система защиты информации.

Использование руководящего документа Гостехкомиссии России «АС. Защита от НСД к информации. Классификация АС и требования по защите информации» позволяет определить необходимый класс защищенности информационной системы предприятия, установить степени конфиденциальности различной информации и условия ее обработки
Использование руководящего документа Гостехкомиссии России «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), позволяет определить необходимые работы по защите конфиденциальной информации.

При создании системы информационной безопасности необходимо использовать и другие стандарты: ITIL, СММ и т. д., напрямую не описывающие системы информационной безопасности, но обеспечивающие качество функционирования сервисов и служб компании, в том числе и обеспечивающих политику информационной безопасности в соответствии с установленными стандартами, непрерывное совершенствование качества реализованных систем.

Разработка политики информационной безопасности.