Ознакомительная версия.
— лица из состава высшего руководства организации;
— профильных (основных производственных) подразделений;
— службы информатизации;
— службы безопасности (информационной безопасности).
Все документы, составляющие политику ИБ организации, должны быть согласованы, введены в действие и учтены в соответствующем реестре. Корпоративная политика ИБ должна быть утверждена руководителем организации (например, председателем, генеральным директором, президентом, руководителем филиала). Частные политики ИБ могут быть утверждены руководителем организации или его заместителем по вопросам ИБ.
Документы, содержащие требования информационной безопасности к процессам, могут быть утверждены руководителем организации, его заместителем по вопросам ИБ или иными должностными лицами, в компетенцию которых входят вопросы, отраженные в этих документах.
В организации должно быть определено лицо (или лица), ответственное (или ответственные) за реализацию политики ИБ организации, ее поддержку в актуальном состоянии, включающее пересмотр политики в соответствии с установленным в организации порядком.
В организации должно быть определено лицо (или лица), ответственное (или ответственные) за контроль реализации политики ИБ организации. Как правило, не допускается выполнение этими же сотрудниками организации функций по обеспечению реализации политики ИБ организации.
На этапе «Реализация документационного обеспечения» осуществляются следующие процессы менеджмента документов по обеспечению ИБ:
— внедрение в деятельность организации принятых документов политики ИБ, разработанных на этапе «Планирование документационного обеспечения» и содержащих описания основных процессов обеспечения ИБ;
— разработка, согласование и утверждение документов второго и третьего уровней нормативного обеспечения ИБ организации (см. рис. 1);
— внедрение утвержденных документов второго и третьего уровней;
— управление регистрационными данными о реализации требований нормативных актов по обеспечению ИБ организации, являющихся свидетельствами реализации процессов и задач обеспечения ИБ.
Ответственность за организацию работ в соответствии с требованиями, определенными документами второго и третьего уровня, возлагается решением руководства организации посредством соответствующих распорядительных документов.
Все документы второго и третьего уровней должны быть согласованы, введены в действие и учтены в соответствующем реестре (каталоге), который может быть организован и размещен в электронном виде во внутрикорпоративной системе.
Документы, содержащие требования информационной безопасности к процессам, могут быть утверждены руководителем организации, его заместителем по вопросам ИБ или иными должностными лицами, в компетенцию которых входят вопросы, отраженные в этих документах.
Документы, содержащие требования информационной безопасности к задачам, могут быть утверждены лицами, ответственными за реализацию соответствующих процессов ИБ.
На этапе «Оценка адекватности документационного обеспечения» реализуются следующие процессы менеджмента документов по обеспечению ИБ:
— проверка соответствия деятельности по обеспечению ИБ действующим документам по обеспечению ИБ;
— проверка адекватности самих документов реальным потребностям организации по обеспечению ИБ.
Проверка может производиться как путем проведения мониторинга, так и путем проведения внутреннего аудита ИБ (внутреннего контроля) или внешнего аудита ИБ.
При проведении аудита ИБ положения документов политики ИБ, нормативных документов по обеспечению ИБ являются критериями аудита ИБ, а записи — свидетельствами реализации требований.
На этапе «Совершенствование документационного обеспечения» на основе результатов проведения мониторинга, а также внешнего или внутреннего аудита ИБ производится внесение изменений (актуализация) в соответствующие документы, разработка новых, вывод из действия устаревших.
Если же рассмотреть жизненный цикл отдельного документа, то в нем также выделяются отдельные стадии, которые в свою очередь коррелируются со стадиями жизненного цикла всей системы документов. В качестве примера можно рассмотреть модель жизненного цикла документа, приведенную в международном стандарте ISO 11442 Technical product documentation. Document management и представленную на рис. 7.
Фаза, в которой устанавливается фактическое содержание документа, является фазой разработки. По решению разработчика о завершении разработки документа должна быть инициирована фаза утверждения. Данная фаза характеризуется статусом документа «в рассмотрении». Документ с указанным статусом все еще находится в собственности разработчика, и в отношении его использования действуют те же ограничения. Опубликование является независимой деятельностью по отношению к утверждению. Следовательно, в целях согласования с выпуском других документов в рамках проекта должен быть определен срок опубликования документа. Фаза, в которой опубликованные документы находятся на хранении и доступны авторизованным пользователям для чтения и копирования, называется фазой хранения. Фаза пересмотра подразумевает собой получение копии хранящегося документа, передачу на пересмотр, а также присвоение ей статуса «в подготовке». Фаза архивации обуславливается перемещением документов из хранилища действующих документов в архив для хранения на установленный период.
Рассмотренная модель жизненного цикла документа может быть взята организациями за основу при формировании и внедрении системы менеджмента документов по обеспечению ИБ.
Обзор современных средств управления доступом
(ЗАО «Инфосистема Джет»)
Алексей Лаврухин, директор по развитию
Вячеслав Петрухин, консультант
Центр информационной безопасности
Компания «Инфосистемы Джет»
Управление доступом относится к числу приоритетных задач обеспечения информационной безопасности. При всей важности встроенных и наложенных средств защиты информации эффект от их использования может быть сведен на нет, если политика предоставления доступа в организации является неоптимальной и непродуманной и основывается на устаревших средствах управления доступом. По этим причинам внедрение современных средств управления доступом является одним из основных направлений деятельности по обеспечению защиты информации компании «Инфосистемы Джет».
Ознакомительная версия.
