9.3.4 Документальне оформлення політики безпеки

• загальний, у якому визначається відношення керівництва органі­зації до проблеми інформаційної безпеки організації;

• організаційний, у якому наводиться перелік підрозділів, робочих груп, посадових осіб, які відповідають за роботи у сфері захисту інформації, їхніх функції, викладаються підходи, що застосовую­ться до персоналу (опис посад з точки зору безпеки інформації, організація навчання та перепідготовки персоналу, порядок реа­гування на порушення режиму безпеки та ін.);

• класифікаційний, де визначаються матеріальні та інформаційні ресурси, які є у наявності у організації, та необхідний рівень їхнього захисту;

• розділ, у якому визначаються ПРД до інформації;

• розділ, у якому визначається підхід щодо керування об'єктами та обладнанням організації;

• розділ, у якому висвітлюються питання фізичного захисту;

• розділ, у якому висвітлюються питання захисту інформації від витоку технічними каналами;

• розділ, де викладено порядок розробки та супроводження систе­ми, модернізації апаратного та програмного забезпечення;

• розділ, який регламентує порядок проведення відновлювальних робіт і забезпечення неперервного функціонування організації у цілому та окремих складових та об'єктів організації;

• юридичний розділ, у якому приводиться підтвердження відповід­ності політики безпеки законодавству України.

9.4 Система менеджменту інформаційної безпеки та її оцінка

Як уже відзначалося, у процесі впровадження стандартів мене­джменту інформаційної безпеки створюється так звана система ме­неджменту інформаційної безпеки, мета якої скорочення матеріаль­них втрат, зв'язаних з порушенням інформаційної безпеки. Основна ідея стандарту - допомогти комерційним та державним господар-

394

Розділ 9 Основи управління інформаційною безпекою

ським організаціям вирішити достатньо складне завдання: не тіль­ки забезпечити надійний захист інформації, але також організувати ефективний доступ до даних та нормальну роботу з ними.

Для того, щоб впевнитися, що система менеджменту інформа­ційної безпеки відповідає своєму призначення, здійснюється її оцін­ка. Коли здійснюється забезпечення безпеки державних інформацій­них ресурсів, то оцінка здійснюється у формі державної експертизи відповідно до Положення державну експертизу у сфері технічного захисту інформації від 2000 року. У положення приведені загальні положення державної експертизи у сфері захисту інформації, права та обов'язки суб'єктів експертизи, порядок організації та проведення експертизи.

Відповідно до міжнародного стандарту ISO 17799 здійснюється аудит системи менеджменту інформаційної безпеки.

Для одержання сертифіката система менеджменту інформацій­ної безпеки підприємства оцінюється аудитором ISO 17799. Аудитор не може одночасно бути консультантом. Аудит по ISO 17799 склада­ється з аналізу документації з системи менеджменту інформаційної безпеки, а також; вибіркового контролю в організації, який дозволяє впевнитися, що реальна практика відповідає опису системи.

Акредитовану сертифікацію можуть здійснювати лише ті серти­фікаційні товариства, які пройшли акредитацію ISO. сертифікат, ви­даний такою організацією, признається на міжнародному рівні. Сут­тєве зростання сертифікації відповідно очікується у зв'язку з роз­витком електронної комерції. Одночасно серйозний інтерес до ISO 17799 проявляється і з сторони інших секторів державної та комер­ційної діяльності. До таких галузей відносяться: державні податкові органи та органи внутрішніх справ; банки, фінансові компанії, тор­говельні фірми, телекомунікаційні компанії, медичні заклади, під­приємства транспорту та туристичні фірми і т.ін.

На теперішній час, у зв'язку з апробацією стандарту ISO 17799, іде широка полеміка з метою удосконалення стандарту та розробки його наступної версії.

395