Вопрос 4. Типовые разделы концепции безопасности информации на примере компании (подразделения компании), имеющей выход в Интернет и обладающей ресурсами, к которым необходим доступ из Интернета

А. Общая часть

В данной части определяются объекты и субъекты безопасности информации, их взаимосвязь, а также угрозы безопасности информации.

А.1. Объекты и субъекты безопасности информации

Раздел «Объекты и субъекты безопасности информации (уровень КБИ). Этот раздел определяет, что именно понимается под состоянием безопасности информации в конкретной организации (на предприятии). Кроме того, в нем описывается информация, которая требует защиты, мотивируется необходимость ее защиты и указывается, кто именно осуществляет работу с защищаемой информацией, т.е. субъекты безопасности информации:

1) сотрудники организации (предприятия);

2) подразделения организации (предприятия);

3) организации (предприятия), которым передается или от которых получается информация;

4) клиенты организации (предприятия);

5) злоумышленники;

6) прочие лица.

Для организации (предприятия) — оператора сотовой связи стандарта GSM выделим следующие типовые бизнес-процессы:

1. Организация рассылки продукции в регионы: экспедиторские процессы; учет отгрузки.

2. Производство услуг.

3. Мониторинг производства услуг.

4. Контроль качества производства услуг: контроль действий персонала при производстве услуг.

5. Внедрение новых услуг: разработка; вывод на рынок; сопровождение.

6. Продажа услуг и обслуживание абонентов.

7. Мониторинг обслуживания абонентов.

8. Контроль качества обслуживания абонентов.

9. Контроль действий персонала при обслуживания абонентов.

10. Расторжение договора по инициативе абонента.

11. Расторжение договора по инициативе компании.

12. Взаимодействие с филиалами и представительствами.

13. Проведение внутреннего аудита.

14. Управление документацией.

15. Организация внутреннего обучения сотрудников компании.

16. Мониторинг дилерского обслуживания.

17. Регулирование дебиторской задолженности дилеров.

18. Взаимодействие подразделений компании при обслуживании абонентов.

19. Внедрение АСУП.

20. Заключение и сопровождение договоров.

21. Документооборот.

Типовые технические средства операторской компании:

1. Каналы связи: собственные, арендуемые.

2. Коммутационное и каналообразующее оборудование: маршрутизаторы; коммутаторы; мосты.

3. Центры хранения и обработки данных: архивы электронные и бумажные; серверы.

4. Абонентское оборудование: модемы; телефонные аппараты.

5. Рабочие места (рабочие станции).

Из приведенных перечней видно, что операторская компания характеризуется высокой сложностью организации как со стороны технических средств, так и со стороны бизнес-логики. Также очевидно, что и сама организационная структура компании оператора является весьма нетривиальной.

Из вышесказанного следует, что для данной компании оптимальной будет являться КБИ смешанного типа.

Раздел «Объекты и субъекты безопасности информации (уровень ПБИ)». В данном разделе описывается, как осуществляется привязка информации, подлежащей защите, к конкретным техническим средствам и носителям информации, используемым в компании.

Устанавливается соответствие вида: защищаемая информация → цель защиты (конфиденциальность, целостность или доступность) → технический ресурс (ресурсы), в котором обрабатывается, хранится или циркулирует информация.

Далее осуществляется привязка защищаемой информации к субъектам безопасности информации.

Устанавливается соответствие вида: информация → технический ресурс → права доступа (полный доступ, только чтение и т.д.) → объект безопасности информации.

Составляется общая структурная схема системы защиты информации в организации (на предприятии).

Пример архитектуры информационной системы для компании (подразделения компании), имеющей выход в Интернет и обладающей ресурсами, к которым необходим доступ из Интернета, приведен на рис. 1.

Рис. 1. Пример архитектуры КИС для компании (подразделения компании), имеющей выход в Интернет и обладающей ресурсами, к которым необходим доступ из Интернета

А.2. Взаимосвязь объектов и субъектов безопасности информации

Раздел «Взаимосвязь объектов и субъектов безопасности информации (уровень КБИ)». В данном разделе устанавливают правила допуска сотрудников компании к информации, определяется соответствие между защищаемой информацией и правами подразделений на допуск к ней.

Определяются правила установления персональной ответственности сотрудников за соблюдение режима БИ. Персональная ответственность сотрудников компании за соблюдение требований по обеспечению безопасности информации строится на основе установления специального порядка доступа сотрудников к конфиденциальной и другой защищаемой информации, отражения вопросов ответственности в трудовых договорах (контрактах) или специальных соглашениях с сотрудниками, включая, при необходимости, принятие ими на себя обязанностей по нераспространению конфиденциальной информации и после увольнения из компании.

Раздел «Взаимосвязь объектов и субъектов безопасности информации (уровень ПБИ)». В данном разделе отражаются вопросы по обеспечению правил безопасности при доступе субъектов БИ к объектам БИ. В первую очередь, в данном разделе регламентируются требования к персоналу компании, поскольку именно он зачастую становится источником инцидентов, связанных с нарушением режима защиты информации:

1. Включение в должностные обязанности каждого сотрудника задач по обеспечению безопасности информации. Важно обеспечить на практике (а не на словах) строгое выполнение всеми сотрудниками своих обязанностей по отношению к безопасности информации. Халатное отношение к этим вопросам (так называемый человеческий фактор) может свести на нет все вложения в эту область и обречь на неудачу все попытки обеспечить безопасность компании. Учет человеческого фактора — это ключ к надежной защите информационных ресурсов.

2. Самостоятельная комплексная проверка силами отдела кадров компании личности принимаемого на работу, его рекомендаций, указанных в резюме сведений и т.д. Важно соблюдать такую процедуру комплексной проверки не только для сотрудников, которые будут работать напрямую с секретной или конфиденциальной информацией (такие сотрудники обычно тщательно проверяются), но и для персонала, который может косвенно (или случайно) иметь дело с критичной для компании информацией.

3. Соглашение о конфиденциальности, запрещающее сотруднику разглашать информацию, начиная с определенного уровня (грифа) секретности. В подобном юридически проработанном соглашении необходимо учесть степень ответственности за его невыполнение сотрудником компании, а также период действия соглашения, в том числе и после увольнения сотрудника.

В соответствии со стандартом, при приеме на работу новых сотрудников необходимо, чтобы они ознакомились и подписали:

письменную формулировку их должностных обязанностей;

письменную формулировку прав доступа к ресурсам компании (в том числе и информационным);

соглашение о конфиденциальности;

специальные соглашения о перлюстрации всех видов служебной корреспонденции (мониторинг сетевых данных, телефонных переговоров, факсов и т.д.).

4. Правила тренинга. Необходимо наладить процесс постоянного повышения уровня технической грамотности и информированности пользователей в области БИ. Для этого требуется регулярное проведение тренингов по общим правилам информационной защиты. Этим будет достигнуто постоянное напоминание пользователям основных правил и требований компании по обеспечению безопасности информации. Особенно важно проводить подобные тренинги для новых сотрудников и в случае внесения в информационную систему каких-либо изменений (замена технологий, прикладных автоматизированных систем, оборудования, ОС, ключевых приложений, принятие новых правил или инструкций и т.д.)

А.3. Угрозы безопасности информации

Раздел «Угрозы безопасности информации (уровень КБИ)». Данный раздел описывает взаимосвязи вида: типовая угроза БИ (нарушение конфиденциальности, целостности или доступности) → защищаемая информация, чувствительная к данному виду угрозы, → возможный субъект БИ, осуществляющий угрозу.

Раздел «Угрозы безопасности информации (уровень ПБИ)». В данном разделе на основе составленной схемы информационной системы компании, логической схемы циркулирования защищаемой информации в компании и соответствующего раздела КБИ устанавливаются и детализируются взаимосвязи вида: типовая угроза БИ безопасности (нарушение конфиденциальности, целостности или доступности) → защищаемая информация, чувствительная к данному виду угрозы → возможный субъект БИ, осуществляющий угрозу → объект БИ, через который осуществляется воздействие, → технические и иные возможности для осуществления воздействия.

Б. «Модель обеспечения безопасности информации»

Данная часть содержит описание модели в КБИ и детализацию в ПБИ и включает нижеперечисленные пункты в обязательном порядке:

Б.1. Пункт «Организационные меры по защите информации»

Пункт предусматривает:

1. Создание группы по безопасности информации. На уровне КБИ формируется группа, на уровне ПБИ детализируются:

• правила внесения в КБИ и ПБИ изменений, принятие их новых версий, согласование списков ответственных лиц;

• отслеживание и анализ важных изменений в структуре информационных ресурсов компании на предмет выявления новых угроз;

• изучение и анализ инцидентов с безопасностью информации;

• принятие инициатив по усилению мер безопасности информации.

2. Координацию вопросов, связанных с внедрением средств обеспечения БИ. На уровне КБИ определяются ответственные лица, на уровне ПБИ детализируются:

• выработка соглашений о разграничении ответственности за обеспечение БИ внутри организации;

• выработка специальных методик и политик, связанных с безопасностью информации: анализ рисков, классификация систем и информации по уровням безопасности;

• поддержание в организации безопасности информации, в частности регулярное информирование персонала по этим вопросам;

• обеспечение обязательности учета вопросов БИ при стратегическом и оперативном планировании;

• обеспечение обратной связи (оценка адекватности принимаемых мер безопасности в существующих системах) и координация внедрения средств обеспечения БИ в новые системы или сервисы;

• анализ инцидентов в области БИ, выработка рекомендаций.

3. Распределение ответственности за обеспечение безопасности. На уровне КБИ определяются ответственные лица, на уровне ПИ Б детализируются:

• определение ресурсов, имеющих отношение к БИ, по каждой системе;

• разграничение ответственности, закрепленное документально, для каждого ресурса (или процесса) должен быть назначен ответственный сотрудник из числа руководителей;

• определение и закрепление документально списка прав доступа (матрица доступа) для каждого ресурса.

4. Процесс внедрения новых компонент КИС. Данный пункт излагается на уровне ПБИ и включает:

• правила проверки соответствия новых компонент существующей политике управления пользователями, где указываются цели и задачи пользователей;

• правила проверки на совместимость с существующими частями системы.

Б.2. Пункт «Классификация и управление ресурсами»

Пункт включает на уровне КБИ описание всех информационных ресурсов компании, инвентаризация ресурсов на уровне ПБИ детализирует:

• информационные ресурсы: базы данных и файлы данных, системную документацию, пользовательскую документацию, учебные материалы, инструкции по эксплуатации или по поддержке, планы по поддержанию непрерывности бизнеса, мероприятия по устранению неисправностей, архивы информации или данных;

• программные ресурсы: приложения, операционные системы и системное программное обеспечение, средства разработки;

• физические ресурсы: вычислительную технику (процессоры, мониторы, переносные компьютеры), коммуникационное оборудование (маршрутизаторы, телефонные станции, факсы, автоответчики, модемы), магнитные носители (кассеты и диски), другое техническое оборудование (источники питания, кондиционеры);

• вычислительные и коммуникационные сервисы, вспомогательные услуги: отопление, освещение и т.п.

Б.3. Пункт «Классификация ресурсов»

На уровне КБИ определяются принципы классификации ресурсов, на уровне ПБИ детализируются для каждого класса правила:

• копирования;

• хранения;

• передачи почтой, факсом, электронной почтой;

• передачи голосом, включая мобильные телефоны, голосовую почту;

• уничтожения информации с конкретного ресурса.

Б.4. Пункт «Физическая безопасность»

В данном пункте излагаются требования к безопасности:

• оборудования;

• кабельной системы;

• уничтожения отработавшего оборудования;

• рабочего места.

Рекомендуемый к использованию стандарт ISO 17799¹ описывает эти требования следующим образом.

Безопасность оборудования;

а) оборудование должно располагаться с учетом требования минимизации доступа в рабочее помещение лиц, не связанных с обслуживанием этого оборудования;

б) системы обработки и хранения информации, содержащие важные данные, должны быть расположены так, чтобы минимизировать возможность случайного нли преднамеренного доступа к ним неуполномоченных лиц в процессе их обработки;

в) объекты, требующие специальной защиты, должны быть изолированы;

г) меры защиты должны быть приняты для минимизации следующих потенциальных угроз: кража, огонь, взрыв, дым, вода, пыль, вибрация, химические вещества, побочные электромагнитные излучения и наводки;

д) политика компании должна запрещать прием пищи, напитков и курение вблизи оборудования;

е) оборудование должно подвергаться регулярным осмотрам и дистанционному контролю с целью обнаружения признаков, которые могут повлечь за собой отказ системы;

ж) использование специальных средств защиты, таких как накладка на клавиатуру, необходимых в случае расположения оборудования в промышленных зонах;

з) должны быть учтены воздействия от происшествий на соседних объектах (пожар у соседей, наводнение или затопление верхнего этажа, взрыв на улице н т.д.).

Безопасность кабельной системы:

а) силовые и телекоммуникационные линии в информационно-обрабатывающую систему должны проходить под землей (если возможно); в противном случае, им требуется адекватная альтернативная защита;

б) сетевые кабели должны быть защищены от несанкционированного подключения или повреждения; этого можно достигнуть при помощи их прокладки вне общедоступных зон;

в) с целью снижения влияния электромагнитных помех силовые кабели должны быть разделены с коммуникационными;

д) для важных или особо важных систем должны быть предусмотрены следующие меры защиты:

линии связи должны быть закрыты защитными коробами, кроссовые помещения и шкафы должны надежно запираться и опечатываться; контроль целостности должен осуществляться регулярно;

линии связи должны быть продублированы;

применение оптического кабеля;

обнаружение несанкционированных подключений к линиям связи и оповещение персонала.

Безопасное уничтожение отработавшего оборудования:

а) устройства хранения информации, содержащие ценную информацию, при выведении из эксплуатации должны быть физически уничтожены, либо должно быть проведено гарантированное стирание с них остаточной информации;

б) все оборудование, включая носители информации, перед передачей его другому владельцу (или списанием) должно быть проверено на предмет отсутствия в нем важной информации или лицензионного программного обеспечения;

в) дальнейшая судьба поврежденных устройств хранения, содержащих важную информацию (уничтожение или ремонт), определяется на основе заключения экспертной комиссии.

Безопасность рабочего места:

а) документы на всех видах носителей и вычислительная техника, в случае если ими не пользуются, а также в нерабочее время должны храниться в запираемом помещении;

б) ценная информация, когда она не используется, должна храниться в защищенном месте (огнеупорный сейф, выделенное помещение);

в) персональные компьютеры, терминалы и принтеры не должны оставаться без присмотра во время обработки информации и должны защищаться блокираторами клавиатуры, паролями или иными методами на время отсутствия пользователя;

г) должны быть приняты надежные меры, исключающие несанкционированное использование копировальной техники в нерабочее время;

д) распечатки, содержащие ценную (конфиденциальную) информацию, должны изыматься из печатающего устройства немедленно.

Б.5. Пункт «Управление непрерывностью бизнеса»

Данный пункт разрабатывается только на уровне ПИБ, в КБИ он имеет ссылочный характер.

Процесс управления непрерывным ведением бизнеса:

1) описание рисков, их вероятностей, возможных последствий, включая идентификацию и расстановку приоритетов для критичных бизнес-процессов;

2) описание ущерба в случае прерывания бизнеса и создание бизнес-целей для информационно-обрабатывающей системы компании;

3) выбор подходящей схемы страхования, которая может являться одной из форм поддержки непрерывности ведения бизнеса;

4) формализация и документирование стратегии ведения непрерывного Бизнеса, содержащей согласованные цели бизнеса и приоритеты;

5) регулярное тестирование и обновление планов и процессов.

План непрерывности бизнеса:

1) распределение ответственности и определение всех контраварияных процедур (порядок действий в аварийной ситуации);

2) внедрение контраварийных процедур для восстановления систем в отведенный период времени; особое внимание уделяется оценке зависимости бизнеса от внешних связей;

3) документирование всех процессов и процедур;

4) соответствующее обучение персонала порядку действий в аварийных ситуациях, включая управление в кризисных процессах;

5) тестирование и обновление планов. Основы планирования непрерывности бизнеса:

1) условия вступления планов в действие (как оценить ситуацию, кто в нее вовлечен);

2) контраварийные процедуры, описывающие действия в случае инцидентов, представляющих опасность для бизнес-операций или/и человеческой жизни; процедуры должны включать в себя мероприятия по связям с общественностью и органами власти;

3) процедуры нейтрализации неисправностей, в которых описываются действия по выведению жизненно важных бизнес-нужд или служб поддержки во временное альтернативное помещение и возвращение их в соответствующий период времени;

4) процедуры восстановления, в которых описаны действия по возвращению к нормальному процессу бизнес-операций;

5) разработка программы, в которой описано, как и когда план будет протестирован и процесс внедрения этого плана;

6) действия по информированию и обучению, которые помогают персоналу понимать процесс обеспечения непрерывности бизнеса и гарантируют, что этот процесс продолжает быть эффективным;

7) личная ответственность — кто именно отвечает за выполнение каждого компонента плана, с указанием дублирующих лиц.

Тестирование планов обеспечения непрерывности бизнеса:

1) базовые тесты различных сценариев (обсуждение мероприятий по восстановлению бизнеса в случае различных ситуаций);

2) моделирование (практический тренинг персонала по действиям в критической ситуации);

3) тестирование технических мероприятий по восстановлению (для гарантии того, что информационная система будет эффективно восстановлена);

4) тестирование технических мероприятий по восстановлению в альтернативном месте (запуск бизнес-процессов вместе с восстановительными мероприятиями вне основного места расположения);

5) тесты систем и поставщиков услуг (гарантия, что внешние предоставляемые сервисы и продукты будут соответствовать контрактным обязательствам); б) комплексные учения (тестирование того, что компания, персонал, оборудование, информационная система могут справиться с нештатной ситуацией).

Обеспечение и переоценка планов обеспечения непрерывности бизнеса — примеры ситуаций, когда требуется изменение планов в случае Обновления ОС, покупки нового оборудования и изменений:

• в составе персонала;

• адресах или телефонных номерах;

• стратегии бизнеса;

• местоположении и информационных ресурсах;

• законодательстве;

• подрядчиках, поставщиках и ключевых заказчиках;

• процессах, при добавлении новых или снятии старых;

• в рисках (операционных и финансовых).

В. Экономическая часть концепции безопасности информации

В.1. Модель оценки риска от реализации угроз

Данный раздел содержит формальное описание модели оценки рисков от реализации угроз, связанных с нарушением режима БИ.

В дальнейшем все финансовые показатели, связанные с инвестициями в систему защиты информации и с реализацией требований КБИ и ПБИ, оцениваются с использованием данной модели.

В.2. Методика расчета финансовых затрат на реализацию концепции

Экономический подход к защите информации можно сформулировать следующим образом: «Если размер затрат на получение какой-либо информации превышает ее стоимость или тот ущерб, который может быть нанесен, если она станет доступна конкуренту, то система защиты выгодна». Этот принцип не нашел (да и не мог найти) своего отражения в области защиты государственных тайн. Для рынка же эта идея очевидна — нужно, чтобы стоимость системы защиты информации не превышала стоимости самой информации.

При организации охраны коммерческой информации следует руководствоваться соображениями разумности и не гнаться за 100%-ной защитой, допуская возможность хищения (порчи или блокирования) части данных.

Главное требование к системе БИ с экономической точки зрения формулируется следующим образом: система БИ должна повысить доходы (или снизить расходы) при ведении основной деятельности компании.

Достичь увеличения доходов и снижения расходов можно несколькими путями:

• увеличить финансовые поступления от текущих клиентов;

• минимизировать затраты на поиск и привлечение новых клиентов;

• снизить затраты на поддержку существующих клиентов;

• повысить производительность и т.д.

То, что система защиты решает часть или все из вышеперечисленных задач, понимают многие. Но главная проблема в том, чтобы размер инвестиций в систему защиты не превышал получаемую от ее внедрения выгоду.

Таким образом, для обоснования необходимости приобретения системы защиты необходимо выяснить, что позволит решить та или иная система защиты, а также подсчитать все плюсы и минусы от ее внедрения.

Фактически необходимо подсчитать доходы и расходы от внедрения системы защиты и представить полученное технико-экономическое обоснование руководству. Первую задачу решает механизм подсчета возврата инвестиций (ROI), а вторую — расчет совокупной стоимости владения (ТСО).

Г. Техническая часть концепции информационной безопасности

Данная часть концепции полностью излагается в ПБИ.

Г.1. Требования к системам и средствам

В данном разделе необходимо сформулировать требования к средствам защиты информации, которые будут использоваться в компании. К таким системам и средствам относятся:

1) межсетевые экраны;

2) системы контроля;

3) системы построения VPN;

4) системы обнаружения атак;

5) системы анализа защищенности (сканеры безопасности);

6) обманные системы.

Г.2. Требования к поставщикам

Данный раздел полностью разрабатывается в рамках нормативной части концепции (собственно КБИ) и не затрагивает ПБИ. В нем формулируются требования к поставщикам систем и средств защиты информации.

В данный раздел рекомендуется включать требования:

1) к наличию (отсутствию) лицензии от государственных организаций, специализирующихся в области защиты информации;

2) к наличию (отсутствию) сертификатов на продукцию;

3) к аудиту системы информационной безопасности;

4) к аттестации системы информационной безопасности;

5) к поддержке конкретных стандартов;

6) к совместимости с имеющимися решениями;

7) к форме собственности поставщика;

8) к финансовой ответственности поставщика или производителя. Конкретные требования формируются на основе общей политики работы с поставщиками и субподрядчиками компании.

Г.З. Требования к эксплуатации

Данный раздел разрабатывается на уровне КБИ. На уровне ПБИ требования к эксплуатации определяются инструкциями по эксплуатации конкретных систем и средств защиты информации.

В разделе излагаются следующие вопросы:

1. Общие положения:

• область регламентации (какие средства, для защиты какой информации и т.д.);

• требования к ознакомлению персонала с инструкциями по эксплуатации;

• ссылки на документы, регламентирующие вопросы эксплуатации.

2. Порядок обращения со средствами защиты:

• требования к эксплуатации;

• требования к квалификации персонала;

• порядок установки средств защиты информации;

• порядок контроля целостности ПО и оборудования;

• порядок действий при обнаружении фактов нарушения целостности ПО или оборудования;

• порядок сдачи системы защиты или средств защиты в эксплуатацию;

• порядок технического обслуживания систем и средств защиты информации.

3. Требования к помещениям:

• уровень защиты, обеспечиваемый в помещении;

• контроль доступа в помещения;

• рекомендации по выбору помещения;

• рекомендации по защите помещений от пожара, затопления и т.д.;

• требования к сигнализации;

• требования к защите от утечки информации по побочным каналам, 4. Порядок доступа в помещения, где расположены системы и средства защиты информации:

• права для сотрудников по доступу,

• правила проведения в помещении работ

• правила уборки и иного обслуживания помещений;

• правила действия в чрезвычайных ситуациях;

• правила проверки помещений.

Д. Нормативная часть концепции информационной безопасности

Д.1. Перечень нормативных документов, разрабатываемых в рамках концепции

В рамках КБИ составляется перечень документов, который необходимо разработать в рамках концепции. Сами документы разрабатываются на уровне ПБИ, Ниже приведен примерный перечень документов для разработки в рамках КБИ и ПБИ.

Нормативные документы:

1. Положение о категорировании ресурсов КИС.

2. Положение о категорировании пользователей КИС.

3. Порядок обращения с информацией, подлежащей защите.

4. Правила парольной защиты.

5. Правила защиты от вирусов и злонамеренного программного обеспечения.

6. Требования по контролю за физическим доступом.

7. Требования по физической защите оборудования.

8. Инструкция по безопасному уничтожению информации или оборудования.

9. Инструкция по безопасности рабочего места (документов на рабочем столе на экране монитора).

10. Правила осуществления удаленного доступа.

11. Правила осуществления локального доступа.

12. Требования резервного сохранения информации.

13. Требования мониторинга и ведения диагностических лог-файлов.

14. Требование мониторинга доступа и использования систем и ведения лог-файлов.

15. Требования при обращении с носителями данных.

16. Требования по неэлектронному информационному обмену.

17. Требования при регистрации пользователей.

18. Требования по проверке прав пользователей.

19. Требования по контролю доступа в операционную систему.

20. Требование к процедуре входа в систему (log on).

21. Правила использования системных утилит

22 Правила удаленной работы мобильных пользователей.

23. Требование распределения ответственности при обеспечении безопасности.

24. Правила безопасности при выборе персонала.

25. Требования контроля оперативных изменений.

26 Требования проверки входных данных.

27 Требования по контролю программ операционной системы.

28. Требования по контролю доступа к исходным текстам программ и библиотек.

29. Требования контроля вносимых изменений.

30. Требование обеспечения непрерывности бизнеса.

31. Требования соблюдения авторского права на программное обеспечение.

32. Требования обеспечения сохранности улик (свидетельств, доказательств).

33. Требования по управлению системным аудитом.

Инструкции:

1. По приему на работу и допуску новых сотрудников к работе в информационной системе и наделения их необходимыми полномочиями по доступу к ресурсам системы.

2. По увольнению работников и лишению их прав доступа в систему.

3. По действиям различных категорий персонала, включая сотрудников отдела безопасности информации, по ликвидации последствий кризисных (аварийных или нештатных) ситуаций в случае их возникновения.

4. Действия персонала по ликвидации последствий кризисных (аварийных или нештатных) ситуаций в случае их возникновения.

5. Процедуры контроля в случае инцидентов.

Д.2. Взаимосвязь нормативных документов, разрабатываемых в рамках концепции

Взаимосвязь документов, разрабатываемых в рамках концепции информационной безопасности, схематично представлена на рис. 2.

Рис. 2. Последовательность разработки нормативной документации в рамках КБИ и ПБИ

1 ISO/IEC 17799 — стандарт информационной безопасности, опубликованный в 2005 году организациями ISO и IEC. Он озаглавлен Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности (англ. Information technology - Security techniques - Code of practice for information security management). Текущая версия стандарта является переработкой версии, опубликованной в 2000 году, которая являлась полной копией Британского стандарта BS 7799-1:1999.

Стандарт предоставляет лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности. Безопасность информации определяется стандартом как «сохранение конфиденциальности (уверенности в том, что информация доступна только тем, кто уполномочен иметь такой доступ), целостности (гарантии точности и полноты информации и методов её обработки) и доступности (гарантии в том, что уполномоченные пользователи имеют доступ к информации и связанным ресурсам)».