Разработка нормативно-методической и организационно-распорядительной документации
При планировании работ по созданию систем обеспечения
информационной безопасности (СОИБ) или приведении СОИБ в соответствие с требованиями законодательства возникает задача подготовки нормативно-методической (НМД) и организационно-распорядительной документации (ОРД).
Комплекс НМД и ОРД устанавливает основные критерии для
построения СОИБ, а также регулирует все возникающие вопросы по обеспечению информационной безопасности (ИБ) Компании. Разработка и внедрение НМД и ОРД необходимы для нормального функционирования СОИБ, для единого понимания корпоративной стратегии развития ИБ всеми сотрудниками Компании.
В состав НМД и ОРД, как правило, входят следующие виды документов:
Цели разработки НМД и ОРД
Подготовка нормативной базы на предмет соответствия определенным критериям (законодательство, стандарты, внутренние требования).
Регламентирование всех внутренних процессов и видов деятельности Компании в области защиты информации.
Подготовка фундамента для внедрения и сопровождения СОИБ.
Этапы разработки НМД и ОРД
Разработка НМД и ОРД, как правило, происходит в несколько этапов
1. Планирование и подготовка к проведению работ
Разработка регламента взаимодействия Заказчика и Исполнителя.
Формирование рабочей группы проекта.
Разработка программы проведения работ.
Определение границ работ.
Определение критериев оценки.
Разработка опросных листов.
2. Обследование корпоративной информационной системы
Анализ существующих документов Компании.
Выполнение работ по исследованию текущего состояния информационной среды и информационной безопасности Компании.
Заполнение опросных листов.
3. Систематизация и анализ собранных в ходе обследования исходных данных
Анализ применяемых в Компании программно-технических средств.
Анализ организационно-распорядительных документов по информационной безопасности на соответствие требованиям российских и
зарубежных стандартов в области информационной безопасности.
Анализ рисков информационной безопасности.
Моделирование действий внутреннего и внешнего злоумышленника (при необходимости).
4. Разработка НМД и ОРД
Подготовка отчета с описанием обнаруженных замечаний и несоответствий в документации Заказчика.
Выработка рекомендаций по корректировке документации Заказчика на соответствие требованиям российских и зарубежных стандартов в
области информационной безопасности.
Разработка НМД и ОРД.
Положительные эффекты от разработки НМД и ОРД
Наличие четкого описания и регламентирования всех внутренних процессов, связанных с обеспечением ИБ Компании.
Разграничение зон ответственности и полномочий сотрудников Компании при выполнении прямых должностных обязанностей.
Определение вариантов реагирования и распределения ответственности в случае нарушения регламентов.
Соответствие документальной базы Компании и внедренной СОИБ определенным критериям (законодательство, стандарты, внутренние
требования).
