Корпоративная нормативная база по защите информации
Корпоративное нормативное регулирование
В силу множественности форм собственности, возможных вариантов структурного построения корпораций (предприятий, организаций, учреждений) и организации ими бизнес-процессов, корпоративные нормативные базы отличаются значительным разнообразием.
Основное назначение корпоративной нормативной базы состоит в регулировании отношений в области защиты информации, организации с учетом специфики и масштабов ее бизнес-процессов. В соответствии с общепризнанным принципом методологического и концептуального единства всех решений по защите информации нормативная база должна образовывать единую упорядоченную систему документов, построенную на так называемых типовых образцах. Под типовым образцом понимается такой документ, который отработан в соответствии с действующим законодательством, прошел достаточно широкую общественную апробацию и утвержден уполномоченными органами государственной власти. Часто в качестве аналога типовых документов используются так называемые «хорошие практики», т.е. методические рекомендации, получившие общественное признание в кругу специалистов, в том числе на мировом уровне.
В настоящее время исчерпывающий перечень типовых документов в области обеспечения информационной безопасности отсутствует, но тем не менее существует ряд практических рекомендаций по формированию структуры корпоративной нормативной базы. Одна из них состоит в том, что весь массив документов разбивается на ряд групп (сборников): нормативно-правовые акты; стандарты; корпоративные нормативные акты; методические материалы.
К этим группам сборников целесообразно также добавить массив информационно-справочной литературы.
К группе стандартов должны быть отнесены такие документы, которые содержат эталонные требования к определенным образцам продукции, работ и услуг. Стандартов достаточно много, и их целесообразно разделить на подгруппы: концептуальные, проектирования систем защиты информации, оформления технической и организационной документации, защиты информации и контроля защищенности информации, защищенных информационных технологий. Стандарты, в том числе и ряд ГОСТов в области защиты информации, имеют рекомендательный характер как «хорошие практики», утвержденные международными организациями (международные стандарты), либо национальным органом Российской Федерации по стандартизации (национальные стандарты).
Документы корпоративного уровня, регламентирующие различные аспекты организации деятельности по защите информации, должны составлять наиболее представительную группу рассматриваемой нормативной базы. В минимальный набор таких документов входят положения о службе безопасности корпорации и ее структурных подразделениях. Типовой формат этих документов предусматривает наличие следующих разделов:
· общая часть, в которой формулируется цель создания той или иной структуры, ее основные задачи;
· источники норм или перечень нормативных актов, на основе которых организована деятельность службы и ее структурных подразделений;
· функции службы, включающие подробное изложение специальных мероприятий, которые должна осуществлять служба безопасности и ее подразделения для выполнения поставленных перед ними задач;
· структура и состав службы как организационной основы осуществления функциональной деятельности;
· номенклатура должностей, определяющая квалификационные требования к штатному и нештатному персоналу службы;
· права и обязанности руководителя службы и его подразделений, на основе которых задается правовой статус службы безопасности в общей системе управления предприятием, и меры ответственности за выполнение поставленных задач.
Следующую подгруппу нормативных документов корпорации так называемого процедурного уровня составляют инструкции по организации конкретных видов деятельности по обеспечению безопасности организации (специальных мероприятий), которые предусмотрены в утвержденном положении о службе безопасности. В перечень таких инструкций входят:
· порядок организации охраны предприятия;
· организация пропускного и внутриобъектового режима;
· организация эксплуатации технических средств охраны и защиты информации;
· организация секретного делопроизводства;
· порядок взаимодействия с правоохранительными органами;
· порядок применения физической силы и огнестрельного оружия;
· организация служебных расследований по фактам нарушения установленных требований безопасности;
· администрирование комплексов и средств защиты информации и т.д.
Общий объем необходимых инструкций, их содержание и структура определяются службой безопасности с учетом специфики и масштабов бизнес-процессов организации и утверждаются на уровне руководства, что позволяет применить к нарушителям установленных требований меры дисциплинарного воздействия.
Не менее актуальным в составе корпоративной нормативной базы является массив должностных инструкций конкретных работников, входящих в состав службы безопасности и его подразделений. Типовая структура должностной инструкции предусматривает наличие описания функциональных обязанностей сотрудника, его права по их выполнению, а также меры ответственности за нарушение своих обязанностей.
В группу информационно-справочных документов можно отнести такие материалы, которые в систематизированном виде содержат некоторую совокупность методических сведений, необходимых и достаточных для получения четкого и однозначного представления о тех или иных аспектах используемых комплексов защиты информации. В качестве основных подгрупп этой группы документов могут быть выделены словари (глоссарии), учебно-методические пособия и справочники.
Корпоративная нормативная база, как и любое другое средство защиты информации, имеет свой срок морального старения, определяющий жизненный цикл документов. При нынешних условиях бурной информатизации процессов управления организацией, широкого внедрения современных информационных технологий их срок составляет от одного до трех лет. Такой же период необходимо устанавливать и для пересмотра, переработки и переутверждения нормативных документов корпоративного уровня.
В последнее время широкое внедрение компьютерных технологий и острая потребность в обеспечении их информационной безопасности привели к появлению ряда интересных решений проблемы унификации и стандартизации в рассматриваемой сфере. Эти решения являются «хорошими практиками», утвержденными на уровне международных стандартов. В частности, предложены унифицированные подходы по формированию нормативно-методической базы по управлению (менеджменту) комплексами обеспечения информационной безопасности на основе политики безопасности корпорации.
Дата добавления: 2016-04-14; просмотров: 3392;