Разработка ОРД по информационной безопасности

Процесс обеспечения информационной безопасности является непрерывным и происходит в рамках жизненного цикла не только системы информационной безопасности, но и всего бизнеса компании. Поэтому мероприятия по совершенствованию системы информационной безопасности требуют постоянной корректировки документации и пересмотра правил, обеспечивающих функционирование системы информационной безопасности.

В состав работ по разработке пакета нормативной документации по информационной безопасности может быть как самостоятельной услугой «Разработка организационно-распорядительной документации», так и неотъемлемой частью работ в рамках «Комплексного аудита информационной безопасности».

В разработку пакета организационно-распорядительной документации входят:

- определение комплексных критериев для построения системы информационной безопасности - определение приемлемых уровней риска (совместно со службой безопасности).

- разработка концепции обеспечения информационной безопасности Заказчика, включающей в себя:

  • описание задач, решаемых для достижения целей защиты информации;
  • описание основных объектов защиты, угроз их безопасности, учитывая специфику деятельности;
  • основные принципы взаимодействия подразделений для наиболее эффективного достижения целей системы информационной безопасности;
  • перспективную программу создания системы информационной безопасности;
  • разработку требований к системе информационной безопасности, включающих:

- общие принципы защиты информационного ресурса, классифицированные в соответствии с угрозами информационной безопасности;

- требования к организационному и правовому обеспечению информационной безопасности с учетом выбранного критерия;

- описание конкретных мер защиты, рекомендованных для построения системы информационной безопасности с учетом выбранного критерия;

- требования к настройкам используемого в информационной системе активного сетевого оборудования, операционных систем, системы управления базами данных, почтовых систем и Интернет-обозревателей;

- описание требований к средствам защиты информации в корпоративной сети;

- требования по настройке элементов системы защиты.

  • Проведение технико-экономической оценки мероприятий по обеспечению информационной безопасности.
  • Разработка эскизного проекта обеспечения безопасности на объекте.
  • Разработка организационно-распорядительной документации согласно заданию, а также на основании результатов проведенного исследования.
  • Разработка плана защиты, включающего календарный план построения системы информационной безопасности.
  • Рекомендации по управлению информационной безопасностью (оценка и переоценка рисков предприятия).
  • Рекомендации по сопровождению корпоративной системы обеспечения безопасности.

Структура организационно-нормативной документации  

  • документ высшего уровня (концепция ИБ), определяющий цели и задачи защиты информации, объекты, подлежащие защите, техническую политику и принципы построения защиты, модель угроз, выбор уровней защиты, порядок аттестации объектов информатизации и контроль эффективности защиты;
  • политика ИБ, состоящая из требований к персоналу, степени ответственности, структуры и необходимого уровня защищённости подсистем, статуса и должностных обязанностей сотрудников отдела защиты информации;
  • разработка инструкций и процедур применения правил ИБ.

 Методические документы, на базе которых проводится разработка пакета организационно-нормативной документации  

  • Российское законодательство;
  • стандарты в области информационной безопасности РФ и рекомендации регулирующих органов;
  • страслевые стандарты;
  • система технических регламентов;
  • нормативные документы национальной системы стандартизации;
  • ГОСТы по стандартизации;
  • требования ФСБ России, ФСТЭК России, МВД и Минобороны;
  • международные стандарты (такие как ISO 27001, ISO 27002 и др.).