Козьминых С.И. Организация защиты информации в ОВД. Ч. 2

111

–отрицательное заключение по результатам государственной аттестации руководителяпредприятия.

Специальные экспертизы предприятий выполняются по следующим направлениям:

–режимсекретности;

–противодействиеиностраннойтехническойразведке;

–защитаинформацииотутечкипотехническимканалам.

Экспертные комиссии формируются при Федеральной службе безопасности Российской Федерации в территориальных органах безопасности, Федеральной службе по техническому и экспертному контролю и их органах на местах и аттестационныхцентрах.

Системалицензированияпостроенанаследующихосновныхпринципах:

1.Лицензированиевобласти защитыинформацииявляетсяобязательным.

2.Деятельность в области защиты информации физических и юридических лиц, непрошедшихлицензирование, запрещена.

3.Лицензии на право деятельности в области защиты информации выдаются только юридическим лицам независимо от организационно-правовой формы, так какфизическиелицаневсостоянииудовлетворитьустановленнымтребованиям.

4.Лицензии выдаются только предприятиям, зарегистрированным на территорииРоссийскойФедерации.

5.Лицензии выдаются только на основании специальной экспертизы заявителя на соответствие предъявляемым к предприятию требованиям и аттестации руководителяпредприятия.

6.Для получения лицензии предприятие обязано предъявить определенный переченьдокументов.

К заявлению на получение лицензии необходимо приложить следующие документы:

– копиюсвидетельстваогосударственнойрегистрациипредприятия;

– копииучредительныхдокументов, заверенныхнотариусом;

– копии документов на право собственности или аренды имущества, необходимогодляведениязаявленнойдеятельности;

– справкуналоговогоорганаопостановкенаучет;

– представление органов государственной власти Российской Федерации с ходатайствомовыдачелицензии;

– документ, подтверждающийоплатурассмотрениязаявления.

Проведение экспертизы осуществляется экспертными комиссиями лицензионногоцентралибоаттестационнымицентрами.

Предприятие несет ответственность за достоверность представленных сведений. Орган, выдающий лицензию, вправе провести проверку достоверности представляемыхсведений.

Оформление лицензии и ее выдача (уведомление об отказе в выдаче) производится в тридцатидневный срок со дня подачи заявления со всеми необходимыми документами.

Для рассмотрения спорных вопросов, возникающих при экспертизе предпри- ятия-заявителя, может проводиться дополнительная независимая экспертиза. Состав экспертной комиссии формируется государственным органом по лицензированию по согласованию с предприятием-заявителем. Заключение экспертной ко-

112

миссии является определяющим для принятия соответствующего решения в связи сзаявлениемовыдачелицензии.

Время, затраченное на экспертизу, в срок, установленный для выдачи лицензии, невключается.

Финансирование издержек за проведение дополнительной независимой экспертизынесетсторона, признаннаявиновнойвконфликте.

Действия органов, осуществляющих лицензирование, могут быть обжалованы всудебныхорганахвустановленномпорядке.

Органы, уполномоченные на ведение лицензионной деятельности, приостанавливаютдействиелицензииилианнулируютеевслучаях:

–представлениялицензиатомсоответствующегозаявления;

–ликвидации юридического лица или прекращения действия свидетельства о государственнойрегистрациифизическоголицавкачествепредпринимателя;

–обнаружения недостоверных данных в документах, представленных для получениялицензии;

–нарушениялицензиатомусловийдействиялицензии;

–использования лицензии для рекламирования не предусмотренных в ней видовдеятельности;

–нарушения лицензиатом законодательства Российской Федерации, требований соблюдения налоговой дисциплины и соответствующих нормативных документов;

–невыполнения лицензиатом предписаний и распоряжений государственных органов или приостановление ими деятельности предприятия в соответствии с законамиРоссийскойФедерации.

Вслучае приостановления действия лицензии или ее аннулирования лицензиат информируется в письменном виде органом, выдавшим лицензию, не позднее пяти дней со дня принятия решения. В десятидневный срок после получения уведомлениявладелецлицензииобязансдатьееворган, выдавшийлицензию.

Учет лицензиатов ведется государственными органами по лицензированию на основаниисведений, поступающихотлицензионныхцентров.

Контроль и надзор за полнотой и качеством проводимых лицензиатами работ осуществляется при контроле государственными органами по лицензированию, лицензионными центрами качества выполненных лицензиатами работ по реклама- циямпредприятий-потребителей.

3. Сертификация средств защиты информации

Национальным органом по сертификации является Госстандарт Российской Федерации. Госстандартом в 1994 г. утверждены Правила по проведению сертификации в Российской Федерации, в соответствии с которыми целями сертификацииявляются:

–создание условий для деятельности предприятий и предпринимателей на товарномрынкеРоссийскойФедерациииучастиявмеждународнойторговле;

–содействиепотребителямвкомпетентномвыборепродукции;

–содействиеэкспортуиповышениеконкурентоспособностипродукции;

–защита потребителя от недобросовестности изготовителя (продавца, исполнителя);

–контроль безопасности продукции для окружающей среды, жизни и имуще-

ства;

–подтверждениепоказателейкачествапродукции, заявленныхизготовителями.

113

Сертификация средств защиты информации, прежде всего, подразумевает проверку их качественных характеристик для реализации основной функции – защиты информации на основании государственных стандартов и требований по безопасности информации. Применительно к сведениям, составляющим государственную тайну, общие принципы организации сертификации средств защиты информации определены нормами ст. 28 Федерального закона «О государственной тайне» – средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

Организация сертификации средств защиты информации возлагается на Федеральное агентство контроля экспорта и технологий, Министерство обороны Российской Федерации в соответствии с функциями, возложенными на них законодательством Российской Федерации. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством Российской Федерации. Одним из основных руководящих документов по сертификации защиты информации в настоящее время является Положение о сертификации средств защиты информации (утвер. Постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608, с изм. от 23 апреля 1996 г., 29 марта

1999 г., 17 декабря 2004 г., 21 апреля 2010 г.).

Настоящее Положение устанавливает порядок сертификации средств защиты информациивРоссийскойФедерациииееучрежденияхзарубежом.

Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информацииявляютсясредствамизащитыинформации.

Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных ФедеральнойслужбойбезопасностиРоссийскойФедерации.

Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам(далее– системасертификации).

Системы сертификации создаются Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами РоссийскойФедерации(далее– федеральныеорганыпосертификации).

Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции. Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны (далее – Межведомственная комиссия). В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств

114

защиты информации, подлежащих сертификации, и требования, которым эти средствадолжныудовлетворять.

Участникамисертификациисредствзащитыинформацииявляются:

–федеральныйорганпосертификации;

–центральный орган системы сертификации (создаваемый при необходимости) – орган, возглавляющийсистемусертификацииоднороднойпродукции;

–органы по сертификации средств защиты информации – органы, проводящие сертификациюопределеннойпродукции;

–испытательные лаборатории – лаборатории, проводящие сертификационные испытания(отдельныевидыэтихиспытаний) определеннойпродукции.

Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации, в ходе которой федеральные органы по сертификации определяют возможности выполнения этими органами и лабораториями работ по сертификации средств защиты информации и оформляют официальное разрешение на право проведения указанных работ. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующиевидыдеятельности.

Федеральныйорганпосертификациивпределахсвоейкомпетенции:

–создаетсистемысертификации;

–осуществляет выбор способа подтверждения соответствия средств защиты информациитребованиямнормативныхдокументов;

–устанавливает правила аккредитации центральных органов систем сертификации, органов по сертификации средств защиты информации и испытательных лабораторий;

–определяетцентральныйоргандлякаждойсистемысертификации;

–выдаетсертификатыилицензиинаприменениезнакасоответствия;

–ведет государственный реестр участников сертификации и сертифицированныхсредствзащитыинформации;

–осуществляет государственные контроль и надзор за соблюдением участниками сертификации правил сертификации и за сертифицированными средствами защитыинформации, атакжеустанавливаетпорядокинспекционногоконтроля;

–рассматриваетапелляцииповопросамсертификации;

–представляет на государственную регистрацию в Комитет Российской Федерации по стандартизации, метрологии и сертификации системы сертификации и знаксоответствия;

–устанавливаетпорядокпризнаниязарубежныхсертификатов;

–приостанавливаетилиотменяетдействиевыданныхсертификатов. Центральныйоргансистемысертификации:

–организует работы по формированию системы сертификации и руководство ею, координирует деятельность органов по сертификации средств защиты информацииииспытательныхлабораторий, входящихвсистемусертификации;

–ведет учет входящих в систему сертификации органов по сертификации средств защиты информации и испытательных лабораторий, выданных и аннулированныхсертификатовилицензийнаприменениезнакасоответствия;

–обеспечивает участников сертификации информацией о деятельности системысертификации.

115

При отсутствии в системе сертификации центрального органа его функции выполняютсяфедеральныморганомпосертификации.

Органыпосертификациисредствзащитыинформации:

–сертифицируют средства защиты информации, выдают сертификаты и лицензии на применение знака соответствия с представлением копий в федеральные органыпосертификациииведутихучет;

–приостанавливают либо отменяют действие выданных ими сертификатов и лицензийнаприменениезнакасоответствия;

–принимают решение о проведении повторной сертификации при изменениях

втехнологии изготовления и конструкции (составе) сертифицированных средств защитыинформации;

–формируют фонд нормативных документов, необходимых для сертифика-

ции;

–представляют изготовителям по их требованию необходимую информацию в пределахсвоейкомпетенции.

Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют заключения и протоколы, которые направляют в соответствующий орган по сертификации средств защиты информациииизготовителям.

Испытательные лаборатории несут ответственность за полноту испытаний средствзащитыинформацииидостоверностьихрезультатов.

Изготовители:

–производят (реализуют) средства защиты информации только при наличии сертификата;

–извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средствзащитыинформации;

–маркируют сертифицированные средства защиты информации знаком соответствиявпорядке, установленномдляданнойсистемысертификации;

–указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя;

–применяют сертификат и знак соответствия, руководствуясь законодательством Российской Федерации и правилами, установленными для данной системы сертификации;

–обеспечивают соответствие средств защиты информации требованиям нормативныхдокументовпозащитеинформации;

–обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих сертификацию, и контроль сертифицированныхсредствзащитыинформации;

–прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов или по истечении срока действия сертификата, атакжевслучаеприостановкидействиясертификатаилиегоотмены.

Изготовителидолжныиметьлицензиюнасоответствующийвиддеятельности. Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку на проведение сертификации, к которой могут быть приложены схема проведения сертификации, государственные стандарты и

116

иные нормативные и методические документы, требованиям которых должны соответствоватьсертифицируемыесредствазащитыинформации.

Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации с указанием схемы ее проведения, испытательной лаборатории, осуществляющей испытания средств защиты информации, и нормативных документов, требованиям которыхдолжнысоответствоватьсертифицируемыесредствазащитыинформации, а при необходимости – решение о проведении и сроках предварительной проверки производствасредствзащитыинформации.

Для признания зарубежного сертификата изготовитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который извещает изготовителя о признании сертификата или необходимости проведения сертификационных испытаний в срок не позднее одного месяца после получения указанных документов. В случае признания зарубежного сертификата федеральный орган по сертификации оформляет и выдает изготовителю сертификат соответствия установленного образца. Сертификация импортируемых средств защиты информациипроводитсяпотемжеправилам, чтоиотечественных.

Основными схемами проведения сертификации средств защиты информации являются:

–для единичных образцов средств защиты информации – проведение испытанийэтихобразцовнасоответствиетребованиямпозащитеинформации;

–для серийного производства средств защиты информации – проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований. Кроме того, допускается предварительнаяпроверкапроизводствапоспециальноразработаннойпрограмме.

Срокдействиясертификатанеможетпревышатьпятилет.

Испытания сертифицируемых средств защиты информации проводятся на образцах, технология изготовления и конструкция (состав) которых должны соответствоватьобразцам, поставляемымпотребителю(заказчику).

Вотдельных случаях по согласованию с органом по сертификации средств защиты информации допускается проведение испытаний на испытательной базе изготовителя. При этом орган по сертификации средств защиты информации определяет условия, необходимые для обеспечения объективности результатов испытаний.

Вслучае отсутствия к началу проведения сертификации аккредитованных испытательных лабораторий орган по сертификации средств защиты информации определяет возможность, место и условия проведения испытаний, обеспечивающиеобъективностьихрезультатов.

Сроки проведения испытаний устанавливаются договором между изготовителемииспытательнойлабораторией.

Изготовителю должна быть предоставлена возможность ознакомиться с условиями испытаний и хранения образцов средств защиты информации в испытательнойлаборатории.

При несоответствии результатов испытаний требованиям нормативных и методических документов по защите информации орган по сертификации средств защиты информации принимает решение об отказе в выдаче сертифи-

117

ката и направляет изготовителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата изготовитель имеет право обратиться в центральный орган системы сертификации, федеральный орган по сертификации или в Межведомственную комиссию для дополнительного рассмотрения полученных при испытаниях результатов.

Федеральный орган по сертификации и органы по сертификации средств защиты информации имеют право приостанавливать или аннулировать действие сертификатавследующихслучаях:

–изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;

–изменение технологии изготовления, конструкции (состава), комплектности средствзащитыинформацииисистемыконтроляихкачества;

–отказ изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осуществляющими государственные контроль и надзор, инспекционный контроль за сертификацией и сертифицированными средствами защиты информации.

Порядок оплаты работ по обязательной сертификации средств защиты информации определяется федеральным органом по сертификации по согласованию с Министерством финансов Российской Федерации. Оплата работ по сертификации конкретных средств защиты информации осуществляется на основании договоров междуучастникамисертификации.

Инспекционный контроль сертифицированных средств защиты информации осуществляют органы, проводившие сертификацию этих средств защиты информации.

При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать апелляцию в орган по сертификации средств защиты информации, в центральный орган системы сертификации, в федеральный орган по сертификации или в Межведомственную комиссию. Указанные организации в месячный срок рассматривают апелляцию с привлечением заинтересованныхсторониизвещаютподателяапелляцииопринятомрешении.

Органы, осуществляющие сертификацию средств защиты информации, несут ответственность, установленную законодательством Российской Федерации, за выполнение возложенных на них обязанностей, обеспечение защиты государственной тайны и других конфиденциальных сведений, сохранность материальных ценностей, предоставленных изготовителем, а также за соблюдением авторских прав изготовителя при сертификационных испытаниях средств защиты информации.

Порядокпроведениясертификацииоснованнаследующихпринципах:

1.Обязанность сертификации изделий, обеспечивающих защиту государственнойтайны.

2.Обязательность использования криптографических алгоритмов, являющихся стандартами.

3.Принятие на сертификацию только изделий от заявителей, имеющих лицен-

зию.

Таким образом, в соответствии с вышеназванными документами разработаны

ивведены в действие перечни средств защиты информации, подлежащих обязательнойсертификации.

118

Государственным организациям и предприятиям запрещено использование в информационных системах шифровальных средств (в том числе электронной подписи и защищенных технических средств хранения, обработки и передачи информации), не имеющих сертификата. Кроме этого в области информационных технологий действуют системы добровольной сертификации банковских технологий (МЕКАС) исредствсвязи.

Осуществляетсяследующийпорядоксертификации:

1.В Центральный орган по сертификации подается заявление и полный комплекттехническойдокументации.

2.Центральный орган назначает испытательный центр (лабораторию) для проведенияиспытания.

3.Испытания проводятся на основании хозяйственного договора между заявителемииспытательнымцентром.

4.Сертификация(экспертиза материалови подготовкадокументовдлявыдачи) осуществляетсяЦентральныморганом. Сертификатвыдаетсянасрокдопятилет.

Кроме указанных целей, сертификация средств защиты информации необходима также для решения вопросов экономической безопасности предприятия в связи с постоянным ростом компьютерных преступлений. Правовой основой предупреждения компьютерных преступлений является Указ Президента Российской Федерации «Омерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставление услугвобластишифрованияинформации» от03 апреля1995 г. №334.

ПриведемнекоторыевыдержкиизданногоУказа:

– государственным организациям и предприятиям запрещено использование шифровальных средств, технических средств хранения, обработки и передачи информации, неимеющихсертификата;

– запрещено размещение государственных заказов на предприятиях, в организациях, использующихуказанныесредства, неимеющиесертификата;

– запретить деятельность физических и юридических лиц в области шифровальныхизащищенныхсредствбезлицензии;

– запретить ввоз на территорию России нелицензированных шифровальных средствизащищеннойтехникииностранногопроизводства;

– создать Федеральный центр защиты экономической информации (для планирования комплексных программ экономической безопасности российских финансовыхструктур).

После получения сертификата на право выпуска продукции или оказания услуг за организацией осуществляется государственный контроль (надзор) по соблюдениютребованийтехническихрегламентов.

Контрольные вопросы

1.Что представляет собой процесс лицензирования деятельности по защите информациивРоссийскойФедерации?

2.Чтотакоесертификатнасредствозащитыинформации? Длячегооннужен?

3.Какие нормативные правовые документы Российской Федерации являются базовымидлялицензированияисертификациивобластизащитыинформации?

4.Какие государственные органы Российской Федерации уполномочены на ведениелицензионнойдеятельностивобластизащитыинформации?

119

5.Какие органы являются участниками сертификации средств защиты информации?

6.По какой основной схеме проводится сертификации средств защиты информации?

7.На каких принципах основана процедура проведения сертификации средств защитыинформации?

Гл а в а 10. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1.Общая характеристика состояния аудиторской деятельности

вобласти информационной безопасности

На сегодняшний день в Российской Федерации имеется определенный опыт проведения оценки (аттестации) на соответствие требованиям защиты информации, в частности аттестации объектов информатизации и автоматизированных систем (АС). Технология контроля (оценки) защищенности информации, принятая в Российской Федерации, основанная на базе руководящих документов Гостехкомиссии России при Президенте Российской Федерации (ФСТЭК России), значительно отличается от технологий, применяемых в настоящее время в международной практике. Возникла необходимость интеграции с международными системами безопасности, которые определены в ст. 5 Федерального закона «О безопасности» 1992 г., а также выработки и принятия единой согласованной системы взглядов, которая определила бы направления развития и регулирования деятельности по аудиту ИБ в Российской Федерации, включая разработку единой методологии его проведения.

К настоящему времени назрела необходимость разработки государственной технической политики в области создания и совершенствования инструментального обеспечения аудита ИБ организаций и системы информационных технологий. Сегодня в аудиторских фирмах при проведении инспекторского контроля государственными органами, при аттестационных испытаниях применяется программное обеспечение, разработанное преимущественно зарубежными фирмами. Следовательно, необходимо формировать подходы по развитию инструментального обеспечения, а также разработать отечественные программные и аппаратные средства проведенияаудитаИБ.

На данный момент как в стране в целом, так и в различных ведомствах практически не осуществляется разработка правового обеспечения для проведения аудита ИБ организаций и системы информационной технологии, что затрудняет правовое регулирование отношений между заказчиком и аудитором, между государственными органами аттестации и компаниями, фирмами или частными организациями. Проведение аудита в области ИБ является высокоинтеллектуальным видом деятельности, имеющим прямое отношение к национальной безопасности, в силу чего аудиторская деятельность в области ИБ является особым видом услуг, на которые не должны распространяться положения действующих в настоящее время правовых документов, регулирующих порядок предоставления услуг в Российской Федерации.

В Российской Федерации действует ряд документов, регулирующих аудиторскую деятельность, которая преимущественно направлена на оценку досто-

120

верности финансовой отчетности или же на проведение сертификационного аудита по стандартам менеджмента качества (ИСО 9000) и охраны окружающей среды (ИСО 14000). К таким документам относятся:

–Федеральный закон от 7 августа 2001 г. № 119-ФЗ «Об аудиторской деятельности» (14 декабря 2001 г. вступил в силу Федеральный закон «О внесении изменений и дополнений в Федеральный закон «Об аудиторской деятельно-

сти»» № 164-ФЗ);

–Федеральные правила (стандарты) аудиторской деятельности, утвержденные

постановлением Правительства Российской Федерации от 23 сентября 2002 г.

№696;

–стандартыаудитаРоссийскойКоллегииаудиторов(РКА);

–ГОСТРИСО19011-2003 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента», утвержденный постановлениемГосстандарта Российской Федерациии введенный вдействиес1 апреля

2004 г.

Необходимо отметить, что Федеральный закон «Об аудиторской деятельности», Федеральные правила (стандарты) аудиторской деятельности, а также Стандарты аудита РКА определяют положения процедурного плана, профессиональной этики и принципов деятельности в области аудита. В данных документах содержатся положения и требования, которые регламентируют следующие области, относящиеся к аудиту:

–основныепринципыаудита;

–этапыпроведенияаудита;

–взаимоотношения аудиторов с представителями проверяемой организации;

–формыпредставлениярезультатоваудита.

Документы ориентированы на оценку финансовой отчетности и не содержат критериев для аудита ИБ, в то же время их положения процедурного характера могут быть взяты в качестве основы для формирования подходов по аудиту ИБ, но требуется разработка (принятие) критериев, используемых в аудиторской деятельностипооценкесоответствиявобластиИБ.

Руководящие указания по проведению внутренних и внешних аудитов систем менеджмента качества и/или экологического менеджмента, определяемые ГОСТРИСО19011, также могут быть использованы при разработке процедурных положений по проведению аудита ИБ. Однако определенная стандартом модель проведенияаудитадолжнабытьадаптированадляобластиаудитаИБ.

В настоящее время и в Российской Федерации и за рубежом отсутствует единыйиобщепринятыйстандартвобласти аудитаинформационнойбезопасности. За рубежом используются самые различные как национальные, так и международные стандарты, прямо или косвенно имеющие отношение к проведению аудита ИБ, в той или иной мере рассматривающие вопросы осуществления аудиторской деятельности в областях безопасности СИТ и ИБ организаций. К таким документам в первуюочередьследуетотнести:

– «Цели управления для информационной и смежных технологий» (Control

Objectives for Information and related Technology, CobiT);

– ISO/IEC 17799:2000 «Информационная технология – кодекс установившейся практики для менеджмента информационной безопасности» (ISO/IEC 17799:2000

Information technology – Code of practice for information security management);