При планировании работ по созданию систем обеспечения информационной безопасности (СОИБ) или приведении СОИБ в соответствие с требованиями законодательства возникает задача подготовки нормативно-методической (НМД) и организационно-распорядительной документации (ОРД).

Комплекс НМД и ОРД устанавливает основные критерии для построения СОИБ, а также регулирует все возникающие вопросы по обеспечению информационной безопасности (ИБ) Компании. Разработка и внедрение НМД и ОРД необходимы для нормального функционирования СОИБ, для единого понимания корпоративной стратегии развития ИБ всеми сотрудниками Компании.

В состав НМД и ОРД, как правило, входят следующие виды документов:

• Концепции ИБ
• Политики ИБ
• Стандарты Компании
• Положения
• Методические рекомендации
• Инструкции
• Регламенты
• Приказы

Цели разработки НМД и ОРД

• Подготовка нормативной базы на предмет соответствия определенным критериям (законодательство, стандарты, внутренние требования).
• Регламентирование всех внутренних процессов и видов деятельности Компании в области защиты информации.
• Подготовка фундамента для внедрения и сопровождения СОИБ.

Этапы разработки НМД и ОРД

Разработка НМД и ОРД, как правило, происходит в несколько этапов:

1. Планирование и подготовка к проведению работ

• Разработка регламента взаимодействия Заказчика и Исполнителя.
• Формирование рабочей группы проекта.
• Разработка программы проведения работ.
• Определение границ работ.
• Определение критериев оценки.
• Разработка опросных листов.

2. Обследование корпоративной информационной системы

• Анализ существующих документов Компании.
• Выполнение работ по исследованию текущего состояния информационной среды и информационной безопасности Компании.
• Заполнение опросных листов.

3. Систематизация и анализ собранных в ходе обследования исходных данных

• Анализ применяемых в Компании программно-технических средств.
• Анализ организационно-распорядительных документов по информационной безопасности на соответствие требованиям российских и зарубежных стандартов в области информационной безопасности.
• Анализ рисков информационной безопасности.
• Моделирование действий внутреннего и внешнего злоумышленника (при необходимости).

4. Разработка НМД и ОРД

• Подготовка отчета с описанием обнаруженных замечаний и несоответствий в документации Заказчика.
• Выработка рекомендаций по корректировке документации Заказчика на соответствие требованиям российских и зарубежных стандартов в области информационной безопасности.
• Разработка НМД и ОРД.

Положительные эффекты от разработки НМД и ОРД

• Наличие четкого описания и регламентирования всех внутренних процессов, связанных с обеспечением ИБ Компании.
• Разграничение зон ответственности и полномочий сотрудников Компании при выполнении прямых должностных обязанностей.
• Определение вариантов реагирования и распределения ответственности в случае нарушения регламентов.
• Соответствие документальной базы Компании и внедренной СОИБ определенным критериям (законодательство, стандарты, внутренние требования).