Предлагаемая модель в той или иной степени может быть применена в коммерческой организации. Условно назовем набор нормативных документов по информационной безопасности пакетом и структурируем его таким образом, чтобы им было удобно пользоваться.

В зависимости от специфики работы организации список перечисленных документов может быть расширен. Например, между стандартами и процедурами могут быть помещены политики информационной безопасности при работе в различных информационных системах, а аварийный план предварен документом по анализу рисков информационной безопасности.

Наименование документаЧто описаноНазначение
Концепция информационной безопасностиОсновные принципы информационной безопасности организации. Например, взаимоотношения между ключевыми субъектами: организация - клиент, пользователь - администратор - контролер, подразделение безопасности - остальные подразделенияСлужит основой для всех остальных документов, в том числе для планов, стратегий и смет. Например: "Согласно пункту N Концепции "О необходимости обеспечения защищенного обращения клиентов к организации", следует приобрести межсетевой экран в следующей конфигурации..."
Стандарты информационной безопасностиНормы по принципиальным вопросам информационной безопасности, указанным в концепции. Например, кто отвечает за безопасность на данном пользовательском рабочем месте, какова модель злоумышленника для организации, какие аспекты безопасности наиболее важныСлужат для определения того, что же, собственно, должны обеспечивать все мероприятия по безопасности, какое состояние организации считается безопасным
Процедуры информационной безопасностиМероприятия по соблюдению обозначенных стандартов безопасностиУказывает пользователям, администраторам, контролерам, какие действия, в каких системах и в каком порядке нужно производить
Методики по информационной безопасностиПорядок выполнения процедур информационной безопасностиЯвляется максимально подробным пошаговым руководством по выполнению процедур, вплоть до "выбрать закладку З и щелкнуть мышкой по кнопке К"
Аварийный планЧто и как делать, если произошло нечто нештатное, не указанное в предыдущих документах: авария, вторжение злоумышленника, сбой электропитания и т. д.Предназначен для определения мероприятий, необходимых для подготовки к возможным инцидентам, указывает последовательность действий во время того или иного нарушения безопасности, процедуры по возвращению в рабочее состояние после завершения аварийного события

Поделитесь материалом с коллегами и друзьями