В. Андрианов - Обеспечение информационной безопасности бизнеса

К документам второго уровня относятся документы, содержащие положения так называемых «частных» политик ИБ, т. е. документы, детализирующие положения основополагающей политики ИБ организации в отношении одной или нескольких областей ИБ, а также в отношении отдельных видов и технологий деятельности организации. Эти документы, как правило, определяют цели, назначение, состав работ (процессов деятельности), необходимых как для реализации деятельности в той или иной области ИБ, так и для реализации отдельной технологии обеспечения ИБ, а также необходимые требования в рамках реализуемой деятельности. Количество частных политик зависит от номенклатуры необходимых видов деятельности по обеспечению ИБ, определенных основополагающей политикой ИБ организации. Частные политики ИБ определяют деятельность лиц или группы лиц, ответственных за реализацию комплекса мероприятий соответствующей области ИБ.

К документам третьего уровня относятся документы, содержащие требования ИБ, применяемые к операционным процедурам (порядку выполнения действий или операций) обеспечения ИБ. Данные документы содержат правила и параметры, устанавливающие способы осуществления и выполнения конкретных видов работ в рамках процессов, связанных с ИБ технологических процессов, реализуемых в организации. Кроме того, данные виды документов могут содержать различного рода ограничения по выполнению отдельных действий, связанных с реализацией защитных мер в используемых технологических процессах (технические задания, регламенты, порядки, инструкции). В документах третьего уровня можно выделить следующие группы документов.

— Документы, регламентирующие реализацию процессов. Определяют роли, задействованные в реализации конкретных процессов, а также порядок действий исполнителя каждой роли и взаимодействие между ними. К этим документам можно отнести различного рода регламенты, порядки. Данные документы можно считать документами должностных лиц, ответственных за вверенные им участки работ по обеспечению ИБ. Введение в действие в организации таких документов позволяет упорядочить деятельность, что создает условия для ее эффективного контроля. Кроме того, к данной группе документов можно отнести документы, содержащие различного рода ограничения (требования) по выполнению отдельных действий, связанных с реализацией защитных мер в используемых технологических процессах. Такие документы, как правило, необходимы там, где затруднительно формализовать реализуемую деятельность. К этим документам можно отнести различные положения, своды правил, требования.

— Документы, определяющие порядок действий конкретного должностного лица в рамках реализации своей роли в конкретном процессе. Это уже документы исполнителей ролей в рамках процессов деятельности. К ним относятся различного рода инструкции, маршрутные карты и т. п. Кроме порядка действий исполнителя определенной роли в таком документе могут быть определены и требования, которые данное должностное лицо должно выполнять в процессе своей деятельности.

К документам четвертого уровня, относятся свидетельства выполненной деятельности по обеспечению ИБ. Данные документы отражают результаты (промежуточные и окончательные) реализации процессов деятельности. Обычно к ним относятся различные журналы (бумажные и электронные), отчеты, протоколы и т. д. Данные документы необходимы в основном для осуществления контрольной деятельности, а также для обеспечения условий для восстановления хода работ в рамках расследования и иных случаях. С точки зрения контрольных органов отсутствие подобных свидетельств, даже при наличии регламентирующих деятельность документов, может означать, что регламентированная деятельность либо реализуется произвольным образом, в том числе и с нарушениями, либо не реализуется вовсе.

Не редки случаи, когда в организациях придается слабое значение вопросам обеспечения ИБ, включая нормативное обеспечение данного направления деятельности. В таких ситуациях отсутствие документов «верхнего» уровня, определяющих цели и задачи обеспечения ИБ организации, как показано на рис. 2, означает, что руководство организации не ощущает потребности в ИБ и не будет потребителем результатов этой деятельности. В таких условиях работа службы обеспечения информационной безопасности организации не востребована и не ясна для руководства организации и подразделений бизнеса. В результате руководство организации воспринимает риски ИБ как риски бизнеса и реагирует на них не методами улучшения качества и стабилизации информационных процессов, а через экономические, финансовые, юридические, организационные, контрольные и иные механизмы. В отдельных случаях это может эффективным (перенос рисков на клиентов/контрагентов и т. п.), но чаще подобные меры более сложны, чем меры реагирования ИБ на риски в информационной сфере.