Непрерывное ‎совершенствование‏ ‎концепции ‎ИБ

Регулярный ‎пересмотр ‎концепции ‎информационной‏ ‎безопасности ‎является‏ ‎необходимым‏ ‎условием ‎для ‎устранения‏ ‎выявленных ‎несоответствий‏ ‎и ‎уязвимостей, ‎а ‎также‏ ‎оптимизации‏ ‎мер ‎защиты‏ ‎реализованных ‎для‏ ‎исполнения ‎требований ‎с ‎точки ‎зрения‏ ‎их‏ ‎эффективности.

Особое ‎внимание‏ ‎следует ‎уделять‏ ‎повышению ‎практической ‎применимости ‎технических ‎средств‏ ‎и‏ ‎организационных‏ ‎процедур, ‎что‏ ‎позволит ‎повысить‏ ‎уровень ‎принятия‏ ‎мер‏ ‎защиты ‎персоналом.‏ ‎Кроме ‎того, ‎целесообразно ‎регулярно ‎анализировать‏ ‎формулировки ‎соответствующих‏ ‎мер‏ ‎защиты ‎на ‎предмет‏ ‎их ‎логичности‏ ‎и ‎однозначности ‎понимания, ‎внося‏ ‎при‏ ‎необходимости ‎соответствующие‏ ‎уточнения ‎и‏ ‎коррективы.

Ключевые ‎аспекты ‎непрерывного ‎совершенствования:

• устранение ‎выявленных‏ ‎несоответствий‏ ‎и ‎уязвимостей;
• оптимизация‏ ‎эффективности ‎мер‏ ‎защиты;
• повышение ‎уровня ‎зрелости ‎мер ‎защиты;
• повышение‏ ‎практической‏ ‎применимости‏ ‎и ‎приемлемости‏ ‎мер ‎защиты;
• регулярный‏ ‎анализ ‎мер‏ ‎защиты‏ ‎и ‎уровней‏ ‎их ‎зрелости.

Сертификация ‎СУИБ

Построение ‎и ‎эксплуатация‏ ‎эффективной ‎СУИБ‏ ‎является‏ ‎сложной ‎и ‎трудоёмкой‏ ‎задачей. ‎Тем‏ ‎не ‎менее ‎при ‎успешной‏ ‎реализации‏ ‎такой ‎системы,‏ ‎её ‎наличие‏ ‎и ‎функционирование ‎может ‎быть ‎весьма‏ ‎полезным‏ ‎как ‎для‏ ‎внутренних, ‎так‏ ‎и ‎для ‎внешних ‎целей ‎компании.

Можно‏ ‎отметить‏ ‎следующее:

• внутренние‏ ‎цели ‎включают‏ ‎прозрачное ‎документирование‏ ‎и ‎демонстрацию‏ ‎приверженности‏ ‎компании ‎вопросам‏ ‎информационной ‎безопасности. ‎Это ‎может ‎укрепить‏ ‎корпоративную ‎культуру‏ ‎и‏ ‎повысить ‎осведомлённость ‎сотрудников;
• во‏ ‎внешнем ‎аспекте‏ ‎наличие ‎сертифицированной ‎СУИБ ‎может‏ ‎служить‏ ‎важным ‎сигналом‏ ‎качества ‎и‏ ‎надёжности ‎для ‎клиентов, ‎партнёров ‎и‏ ‎иных‏ ‎заинтересованных ‎сторон.‏ ‎Таким ‎образом,‏ ‎это ‎может ‎обеспечить ‎организации ‎определённое‏ ‎конкурентное‏ ‎преимущество.‏ ‎Сертификат, ‎который‏ ‎покупают ‎за‏ ‎три ‎дня,‏ ‎не‏ ‎является ‎тем‏ ‎сертификатом, ‎который ‎позволит ‎компании ‎гордиться‏ ‎своей ‎СУИБ;
• кроме‏ ‎того,‏ ‎органы ‎государственной ‎власти‏ ‎могут ‎применять‏ ‎механизмы ‎сертификации ‎СУИБ ‎для‏ ‎повышения‏ ‎уровня ‎доверия‏ ‎граждан ‎к‏ ‎безопасности ‎электронных ‎государственных ‎услуг ‎и‏ ‎инфраструктуры.

Ещё‏ ‎одним ‎фактором,‏ ‎стимулирующим ‎компании‏ ‎к ‎сертификации ‎СУИБ, ‎является ‎необходимость‏ ‎соответствия‏ ‎нормативным‏ ‎требованиям ‎и‏ ‎законодательству ‎в‏ ‎области ‎информационной‏ ‎безопасности.

Международный‏ ‎стандарт ‎ISO/IEC‏ ‎27001 ‎(и ‎его ‎российский ‎аналог)‏ ‎является ‎основополагающим‏ ‎в‏ ‎области ‎сертификации ‎СУИБ.‏ ‎Процедура ‎сертификации‏ ‎предусматривает ‎проверку ‎и ‎аудит‏ ‎независимыми‏ ‎компетентными ‎органами.

Для‏ ‎обеспечения ‎повторяемости‏ ‎и ‎воспроизводимости ‎результатов ‎сертификационных ‎аудитов‏ ‎необходимы‏ ‎опытные ‎и‏ ‎квалифицированные ‎аудиторы.‏ ‎Следовательно, ‎аудиторы ‎должны ‎продемонстрировать ‎наличие‏ ‎требуемых‏ ‎профессиональных‏ ‎знаний, ‎а‏ ‎также ‎знание‏ ‎и ‎соблюдение‏ ‎установленных‏ ‎правил ‎и‏ ‎процедур. ‎Данный ‎процесс ‎основывается ‎на‏ ‎дополнительных ‎стандартах‏ ‎ISO,‏ ‎призванных ‎гарантировать ‎высокий‏ ‎уровень ‎качества‏ ‎и ‎прослеживаемость ‎сертификатов.

Общепринятая ‎защита‏ ‎ИТ‏ ‎— ‎инфраструктуры‏ ‎и ‎информации‏ ‎в ‎целом ‎базируется ‎на ‎требованиях‏ ‎ISO/IEC‏ ‎27001. ‎Следовательно,‏ ‎внедрение ‎комплекса‏ ‎мер ‎информационной ‎безопасности ‎в ‎соответствии‏ ‎с‏ ‎этим‏ ‎стандартом ‎также‏ ‎может ‎быть‏ ‎сертифицировано ‎в‏ ‎России‏ ‎посредством ‎создания‏ ‎СУИБ. ‎При ‎этом ‎качественные ‎органы‏ ‎по ‎сертификации‏ ‎информационной‏ ‎безопасности ‎не ‎просто‏ ‎проверяют, ‎но‏ ‎и ‎помогают ‎интегрировать ‎требования‏ ‎ISO/IEC‏ ‎27001 ‎в‏ ‎компании.

Выдача ‎сертификата‏ ‎ISO ‎27001 ‎по ‎основам ‎информационной‏ ‎безопасности‏ ‎предполагает ‎проведение‏ ‎аудита ‎внешним‏ ‎аудитором, ‎имеющим ‎соответствующую ‎аккредитацию. ‎По‏ ‎результатам‏ ‎аудита‏ ‎формируется ‎отчёт,‏ ‎представляемый ‎в‏ ‎орган ‎по‏ ‎сертификации‏ ‎для ‎принятия‏ ‎решения ‎о ‎выдаче ‎сертификата ‎сроком‏ ‎на ‎три‏ ‎года.

ООО‏ ‎«ЦифраБез» ‎оказывает ‎помощь‏ ‎и ‎поддержку‏ ‎для ‎создания ‎СУИБ ‎в‏ ‎компании,‏ ‎а ‎также‏ ‎подготовит ‎её‏ ‎к ‎сертификации. ‎Однако ‎на ‎уровне‏ ‎ОИБВОП‏ ‎до ‎«Официального»‏ ‎мы ‎не‏ ‎рекомендуем ‎проводить ‎сертификацию, ‎так ‎как‏ ‎это‏ ‎не‏ ‎является ‎целесообразным.‏ ‎Сертификацию ‎необходимо‏ ‎проводить ‎выше‏ ‎уровня‏ ‎ОИБВОП ‎«Официальный»,‏ ‎но ‎это ‎не ‎отменяет ‎само‏ ‎создание ‎СУИБ‏ ‎и‏ ‎внедрение ‎мер ‎защиты‏ ‎для ‎исполнения‏ ‎требований ‎выбранного ‎уровня ‎ОИБВОП‏ ‎и‏ ‎ниже.

Внимание! ‎Материал‏ ‎охраняется ‎авторским‏ ‎правом ‎на ‎основании ‎статьи ‎1259‏ ‎ГК‏ ‎РФ.

Третьи ‎лица‏ ‎не ‎вправе‏ ‎использовать ‎с ‎целью ‎создания ‎каких-либо‏ ‎средств‏ ‎обработки‏ ‎представленной ‎информации‏ ‎и ‎размещённых‏ ‎на ‎данной‏ ‎странице‏ ‎результатов ‎интеллектуальной‏ ‎деятельности ‎каким-либо ‎образом ‎без ‎письменного‏ ‎согласия ‎ООО‏ ‎«ЦифраБез».‏ ‎Распространение ‎настоящей ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании ‎ссылки ‎на‏ ‎данную‏ ‎страницу.

Использование ‎результатов‏ ‎интеллектуальной ‎деятельности,‏ ‎если ‎такое ‎использование ‎осуществляется ‎без‏ ‎письменного‏ ‎согласия ‎ООО‏ ‎«ЦифраБез», ‎является‏ ‎незаконным ‎и ‎влечёт ‎ответственность, ‎установленную‏ ‎действующим‏ ‎законодательством‏ ‎РФ.

Использование ‎доступных‏ ‎источников ‎информации

Обеспечение ‎информационной ‎безопасности ‎является‏ ‎сложной ‎комплексной‏ ‎темой,‏ ‎требующей ‎всестороннего ‎изучения‏ ‎и ‎глубокого‏ ‎понимания ‎со ‎стороны ‎ответственных‏ ‎специалистов.‏ ‎К ‎счастью,‏ ‎в ‎распоряжении‏ ‎исследователей ‎и ‎практиков ‎имеется ‎широкий‏ ‎спектр‏ ‎доступных ‎информационных‏ ‎ресурсов, ‎которые‏ ‎могут ‎быть ‎задействованы ‎для ‎углубления‏ ‎знаний‏ ‎в‏ ‎данной ‎предметной‏ ‎области. ‎Эти‏ ‎ресурсы ‎включают‏ ‎в‏ ‎себя ‎нормативно-правовые‏ ‎акты ‎и ‎отраслевые ‎стандарты, ‎материалы‏ ‎сети ‎Интернет,‏ ‎а‏ ‎также ‎специализированную ‎научную‏ ‎и ‎профессиональную‏ ‎литературу. ‎Кроме ‎того, ‎важную‏ ‎роль‏ ‎играет ‎сетевое‏ ‎взаимодействие ‎с‏ ‎профильными ‎ассоциациями, ‎партнёрскими ‎организациями, ‎экспертными‏ ‎сообществами,‏ ‎государственными ‎органами.‏ ‎Такое ‎сотрудничество‏ ‎позволяет ‎осуществлять ‎эффективный ‎обмен ‎передовым‏ ‎опытом‏ ‎и‏ ‎актуальной ‎информацией‏ ‎в ‎сфере‏ ‎обеспечения ‎информационной‏ ‎безопасности.

В‏ ‎компании ‎должна‏ ‎быть ‎создана ‎внутренняя ‎база ‎знаний‏ ‎для ‎специалистов‏ ‎по‏ ‎информационной ‎безопасности, ‎где‏ ‎указываются ‎доступные‏ ‎источники ‎и ‎собирается ‎нарабатываемый‏ ‎со‏ ‎временем ‎опыт.

Управленческий‏ ‎анализ

Руководство ‎компании‏ ‎должно ‎регулярно ‎проводить ‎управленческий ‎анализ‏ ‎процесса‏ ‎обеспечения ‎информационной‏ ‎безопасности. ‎При‏ ‎необходимости, ‎например, ‎при ‎участившихся ‎инцидентах‏ ‎или‏ ‎существенном‏ ‎изменении ‎внешних‏ ‎условий, ‎такие‏ ‎оценки ‎следует‏ ‎выполнять‏ ‎и ‎вне‏ ‎плановых ‎сроков. ‎Все ‎результаты ‎и‏ ‎принятые ‎решения‏ ‎подлежат‏ ‎документированию.

Ключевые ‎вопросы ‎для‏ ‎рассмотрения ‎в‏ ‎рамках ‎управленческого ‎анализа:

• Изменились ‎ли‏ ‎факторы,‏ ‎определяющие ‎подход‏ ‎к ‎обеспечению‏ ‎информационной ‎безопасности?
• Остаются ‎ли ‎цели ‎информационной‏ ‎безопасности‏ ‎актуальными ‎и‏ ‎адекватными?
• Соответствует ‎ли‏ ‎политика ‎информационной ‎безопасности ‎современным ‎реалиям‏ ‎компании‏ ‎и‏ ‎законодательным ‎требованиям?

Акцент‏ ‎при ‎оценке‏ ‎эффективности ‎процесса‏ ‎информационной‏ ‎безопасности ‎делается‏ ‎не ‎на ‎проверке ‎отдельных ‎мер‏ ‎безопасности, ‎а‏ ‎на‏ ‎комплексном ‎анализе. ‎Например,‏ ‎безопасная ‎эксплуатация‏ ‎интернет-портала ‎может ‎оказаться ‎слишком‏ ‎затратной‏ ‎для ‎небольшой‏ ‎компании, ‎что‏ ‎может ‎послужить ‎основанием ‎для ‎передачи‏ ‎управления‏ ‎порталом ‎внешнему‏ ‎поставщику ‎услуг.

Кроме‏ ‎того, ‎целесообразно ‎проанализировать, ‎насколько ‎зарекомендовала‏ ‎себя‏ ‎организация‏ ‎обеспечения ‎информационной‏ ‎безопасности. ‎Если‏ ‎будет ‎установлено,‏ ‎что‏ ‎меры ‎безопасности‏ ‎неэффективны ‎или ‎чрезмерно ‎затраты, ‎это‏ ‎может ‎послужить‏ ‎основанием‏ ‎для ‎пересмотра ‎и‏ ‎адаптации ‎всей‏ ‎стратегии ‎информационной ‎безопасности ‎компании.‏ ‎При‏ ‎этом ‎руководству‏ ‎следует ‎ответить‏ ‎на ‎следующие ‎вопросы:

• Является ‎ли ‎стратегия‏ ‎информационной‏ ‎безопасности ‎по-прежнему‏ ‎адекватной?
• Соответствует ‎ли‏ ‎концепция ‎информационной ‎безопасности ‎целям ‎компании,‏ ‎в‏ ‎том‏ ‎числе ‎законодательным‏ ‎требованиям?
• Обеспечивает ‎ли‏ ‎существующая ‎организация‏ ‎информационной‏ ‎безопасности ‎эффективную‏ ‎реализацию ‎целей?
• Не ‎требуется ‎ли ‎усиление‏ ‎её ‎статуса‏ ‎или‏ ‎более ‎тесная ‎интеграция‏ ‎в ‎бизнес-процессы?
• Являются‏ ‎ли ‎затраты ‎на ‎обеспечение‏ ‎информационной‏ ‎безопасности ‎оправданными‏ ‎и ‎соразмерными?

Корректирующие‏ ‎меры

Результаты ‎оценки ‎эффективности ‎должны ‎систематически‏ ‎применяться‏ ‎для ‎реализации‏ ‎соответствующих ‎корректирующих‏ ‎мер. ‎Это ‎может ‎подразумевать ‎необходимость‏ ‎модификации‏ ‎целей‏ ‎информационной ‎безопасности,‏ ‎стратегии ‎и/или‏ ‎концепции, ‎а‏ ‎также‏ ‎адаптации ‎организационной‏ ‎структуры ‎к ‎изменившимся ‎требованиям. ‎В‏ ‎ряде ‎случаев‏ ‎целесообразно‏ ‎осуществить ‎фундаментальные ‎изменения‏ ‎в ‎бизнес-процессах‏ ‎или ‎ИТ-инфраструктуре, ‎а ‎также‏ ‎отказаться‏ ‎от ‎определённых‏ ‎бизнес-процессов ‎или‏ ‎передать ‎их ‎на ‎аутсорсинг, ‎если‏ ‎их‏ ‎безопасное ‎функционирование‏ ‎более ‎не‏ ‎может ‎быть ‎гарантировано ‎имеющимися ‎ресурсами.‏ ‎При‏ ‎внедрении‏ ‎более ‎масштабных‏ ‎преобразований ‎и‏ ‎реализации ‎значительных‏ ‎улучшений‏ ‎цикл ‎управления‏ ‎замыкается ‎повторным ‎запуском ‎этапа ‎планирования.

Внимание!‏ ‎Материал ‎охраняется‏ ‎авторским‏ ‎правом ‎на ‎основании‏ ‎статьи ‎1259‏ ‎ГК ‎РФ.

Осведомлённость ‎и‏ ‎связь

На ‎всех ‎этапах ‎процесса ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎коммуникация‏ ‎является ‎ключевым ‎элементом‏ ‎для ‎достижения‏ ‎поставленных ‎целей. ‎Недопонимания ‎и‏ ‎пробелы‏ ‎в ‎знаниях‏ ‎являются ‎наиболее‏ ‎частыми ‎причинами ‎возникающих ‎проблем ‎с‏ ‎взаимодействием‏ ‎внутри ‎команды‏ ‎внедрения. ‎В‏ ‎связи ‎с ‎этим ‎на ‎всех‏ ‎уровнях‏ ‎и‏ ‎во ‎всех‏ ‎подразделениях ‎компании‏ ‎необходимо ‎обеспечить‏ ‎бесперебойный‏ ‎информационный ‎поток‏ ‎о ‎событиях ‎и ‎мерах ‎в‏ ‎области ‎информационной‏ ‎безопасности.‏ ‎Как ‎минимум ‎в‏ ‎компании ‎должно‏ ‎быть ‎обеспечено:

• отчётность ‎перед ‎руководством.‏ ‎Руководству‏ ‎компании ‎необходимо‏ ‎периодически ‎предоставлять‏ ‎информацию ‎о ‎важных ‎проблемах, ‎результатах‏ ‎проверок‏ ‎и ‎аудитов,‏ ‎а ‎также‏ ‎о ‎новых ‎тенденциях, ‎изменяющихся ‎условиях‏ ‎или‏ ‎возможностях‏ ‎для ‎улучшения,‏ ‎чтобы ‎оно‏ ‎могло ‎надлежащим‏ ‎образом‏ ‎выполнять ‎свои‏ ‎управленческие ‎функции. ‎Для ‎принятия ‎верных‏ ‎решений ‎при‏ ‎управлении‏ ‎и ‎регулировании ‎процесса‏ ‎обеспечения ‎информационной‏ ‎безопасности ‎руководству ‎компании ‎требуются‏ ‎представлять‏ ‎ключевые ‎показатели‏ ‎состояния ‎информационной‏ ‎безопасности ‎(метрики). ‎Эти ‎показатели ‎должны‏ ‎быть‏ ‎представлены ‎в‏ ‎управленческих ‎отчётах,‏ ‎которые ‎подразделение ‎по ‎информационной ‎безопасности‏ ‎должно‏ ‎регулярно‏ ‎предоставлять ‎руководству‏ ‎в ‎соответствующей‏ ‎форме. ‎Руководство,‏ ‎ознакомившись‏ ‎с ‎управленческими‏ ‎отчётами, ‎при ‎необходимости, ‎предпримет ‎требуемые‏ ‎управленческие ‎действия.‏ ‎В‏ ‎компании ‎следует ‎создать‏ ‎комитет ‎по‏ ‎информационной ‎безопасности ‎и ‎его‏ ‎решения‏ ‎направлять ‎на‏ ‎утверждение ‎руководству‏ ‎компании;
• информационный ‎поток. ‎Недостаточная ‎коммуникация ‎и‏ ‎отсутствие‏ ‎информации ‎могут‏ ‎приводить ‎как‏ ‎к ‎проблемам ‎информационной ‎безопасности, ‎так‏ ‎и‏ ‎к‏ ‎неправильным ‎решениям‏ ‎или ‎ненужным‏ ‎рабочим ‎шагам‏ ‎с‏ ‎потерей ‎драгоценного‏ ‎времени. ‎Сотрудников ‎нужно ‎информировать ‎о‏ ‎смысле ‎и‏ ‎цели‏ ‎мер ‎защиты, ‎особенно‏ ‎если ‎они‏ ‎влекут ‎за ‎собой ‎дополнительную‏ ‎нагрузку‏ ‎или ‎приводят‏ ‎к ‎дополнительным‏ ‎неудобствам. ‎Кроме ‎того, ‎сотрудники ‎должны‏ ‎быть‏ ‎осведомлены ‎о‏ ‎связанных ‎с‏ ‎их ‎работой ‎правовых ‎вопросах ‎информационной‏ ‎безопасности‏ ‎и‏ ‎защиты ‎данных.‏ ‎Сотрудников ‎также‏ ‎следует ‎включать‏ ‎в‏ ‎планирование ‎реализации‏ ‎мер, ‎чтобы ‎они ‎могли ‎вносить‏ ‎собственные ‎идеи‏ ‎и‏ ‎оценивать ‎их ‎практическую‏ ‎применимость, ‎имели‏ ‎возможность ‎давать ‎обратную ‎связь,‏ ‎обсуждать‏ ‎проекты ‎локальных‏ ‎актов ‎по‏ ‎информационной ‎безопасности. ‎Для ‎этого ‎в‏ ‎компании‏ ‎должен ‎быть‏ ‎создан ‎отдельный‏ ‎информационный ‎ресурс ‎по ‎информационной ‎безопасности;
• классификация‏ ‎информации.‏ ‎Чтобы‏ ‎обеспечить ‎надлежащую‏ ‎защиту ‎информации,‏ ‎её ‎значимость‏ ‎для‏ ‎компании ‎должна‏ ‎быть ‎чётко ‎определена. ‎Для ‎более‏ ‎простого ‎обмена‏ ‎информацией‏ ‎о ‎ценности ‎различных‏ ‎видов ‎информации,‏ ‎как ‎внутри ‎компании, ‎так‏ ‎и‏ ‎с ‎другими‏ ‎организациями, ‎требуется‏ ‎схема ‎классификации ‎и ‎маркирования, ‎описывающая‏ ‎уровни‏ ‎конфиденциальности ‎(ценности).‏ ‎Для ‎этого‏ ‎в ‎компании ‎должен ‎быть ‎утверждён‏ ‎перечень‏ ‎защищаемой‏ ‎информации;
• документирование. ‎Для‏ ‎обеспечения ‎непрерывности‏ ‎и ‎последовательности‏ ‎всего‏ ‎процесса ‎информационной‏ ‎безопасности ‎необходимо ‎его ‎постоянно ‎документировать.‏ ‎Только ‎так‏ ‎различные‏ ‎шаги ‎процесса ‎и‏ ‎принятые ‎решения‏ ‎становятся ‎контролируемые. ‎Кроме ‎того,‏ ‎полная‏ ‎документация ‎гарантирует,‏ ‎что ‎аналогичные‏ ‎работы ‎выполняются ‎должным ‎образом, ‎делая‏ ‎процессы‏ ‎измеримыми ‎и‏ ‎воспроизводимыми. ‎Документация‏ ‎также ‎помогает ‎выявлять ‎основные ‎слабости‏ ‎в‏ ‎процессе‏ ‎и ‎избегать‏ ‎повторения ‎ошибок.‏ ‎Необходимая ‎документация‏ ‎выполняет‏ ‎различные ‎функции‏ ‎в ‎различных ‎мероприятиях ‎по ‎информационной‏ ‎безопасности ‎и‏ ‎ориентирована‏ ‎на ‎разные ‎целевые‏ ‎аудитории. ‎Можно‏ ‎выделить ‎следующие ‎виды ‎документации:
• Техническая‏ ‎документация‏ ‎и ‎документация‏ ‎рабочих ‎процессов‏ ‎(целевая ‎аудитория ‎— ‎эксперты, ‎техники).‏ ‎При‏ ‎сбоях ‎или‏ ‎инцидентах ‎должна‏ ‎быть ‎возможность ‎восстановить ‎желаемое ‎состояние‏ ‎бизнес-процессов‏ ‎и‏ ‎соответствующих ‎ИТ-систем.‏ ‎Технические ‎детали‏ ‎и ‎рабочие‏ ‎процессы‏ ‎должны ‎быть‏ ‎задокументированы ‎таким ‎образом, ‎чтобы ‎это‏ ‎можно ‎было‏ ‎сделать‏ ‎в ‎разумные ‎сроки‏ ‎и ‎как‏ ‎можно ‎с ‎наименьшей ‎квалификацией‏ ‎персонала,‏ ‎чтобы ‎даже‏ ‎уборщица, ‎в‏ ‎случае ‎необходимости ‎могла ‎восстановить ‎работоспособность;
• Отчёты‏ ‎для‏ ‎руководства ‎(целевая‏ ‎аудитория ‎—‏ ‎высшее ‎руководство, ‎руководство ‎безопасностью). ‎Вся‏ ‎информация,‏ ‎необходимая‏ ‎руководству ‎для‏ ‎выполнения ‎своих‏ ‎управленческих ‎и‏ ‎контрольных‏ ‎функций, ‎должна‏ ‎фиксироваться ‎с ‎требуемой ‎степенью ‎детализации‏ ‎(например, ‎результаты‏ ‎аудитов,‏ ‎измерения ‎эффективности, ‎отчёты‏ ‎об ‎инцидентах‏ ‎безопасности);
• Документирование ‎управленческих ‎решений ‎(целевая‏ ‎аудитория‏ ‎— ‎высшее‏ ‎руководство). ‎Высшее‏ ‎руководство ‎должно ‎документировать ‎и ‎обосновать‏ ‎выбранную‏ ‎стратегию ‎информационной‏ ‎безопасности. ‎Кроме‏ ‎того, ‎решения, ‎касающиеся ‎аспектов ‎безопасности,‏ ‎должны‏ ‎быть‏ ‎задокументированы ‎на‏ ‎всех ‎уровнях,‏ ‎чтобы ‎они‏ ‎были‏ ‎прослеживаемые, ‎контролируемые‏ ‎и ‎воспроизводимы ‎в ‎любое ‎время.

Формальные‏ ‎требования ‎к‏ ‎документации

Документация‏ ‎не ‎обязательно ‎должна‏ ‎вестись ‎исключительно‏ ‎в ‎бумажной ‎форме. ‎Выбор‏ ‎средства‏ ‎документирования ‎должен‏ ‎определяться ‎в‏ ‎соответствии ‎с ‎конкретными ‎потребностями. ‎Так,‏ ‎для‏ ‎нужд ‎кризисного‏ ‎управления ‎целесообразно‏ ‎использование ‎удалённого ‎программного ‎обеспечения ‎(защищённого‏ ‎облачного‏ ‎ресурса),‏ ‎позволяющего ‎заблаговременно‏ ‎фиксировать ‎все‏ ‎необходимые ‎мероприятия‏ ‎и‏ ‎контактные ‎лица,‏ ‎что ‎обеспечивает ‎его ‎мобильную ‎доступность‏ ‎в ‎чрезвычайных‏ ‎ситуациях,‏ ‎например, ‎на ‎переносном‏ ‎ноутбуке ‎с‏ ‎доступом ‎к ‎этому ‎ресурсу.‏ ‎Однако,‏ ‎в ‎зависимости‏ ‎от ‎характера‏ ‎кризисного ‎события, ‎предпочтительной ‎может ‎оказаться‏ ‎удобная‏ ‎бумажная ‎справочная‏ ‎документация.

Следует ‎учитывать‏ ‎законодательные ‎или ‎договорные ‎требования ‎к‏ ‎документированию,‏ ‎например,‏ ‎в ‎отношении‏ ‎сроков ‎хранения‏ ‎и ‎детализации‏ ‎содержания.‏ ‎Документация ‎выполняет‏ ‎свою ‎функцию ‎лишь ‎при ‎условии‏ ‎регулярного ‎составления‏ ‎и‏ ‎поддержания ‎её ‎актуальности.‏ ‎Кроме ‎того,‏ ‎она ‎должна ‎быть ‎структурирована‏ ‎и‏ ‎систематизирована ‎для‏ ‎обеспечения ‎доступности‏ ‎при ‎необходимости. ‎Авторство ‎и ‎даты‏ ‎создания‏ ‎различных ‎элементов‏ ‎документации ‎должны‏ ‎быть ‎видны. ‎При ‎наличии ‎ссылок‏ ‎на‏ ‎другие‏ ‎документы, ‎их‏ ‎источники ‎должны‏ ‎быть ‎явно‏ ‎указаны,‏ ‎а ‎сами‏ ‎документы ‎должны ‎быть ‎доступны.

Документация, ‎имеющая‏ ‎отношение ‎к‏ ‎вопросам‏ ‎информационной ‎безопасности, ‎может‏ ‎содержать ‎конфиденциальную‏ ‎информацию ‎и, ‎соответственно, ‎требует‏ ‎надлежащей‏ ‎защиты. ‎Помимо‏ ‎потребности ‎в‏ ‎защите, ‎должны ‎быть ‎установлены ‎регламенты‏ ‎хранения‏ ‎и ‎уничтожения.‏ ‎В ‎описаниях‏ ‎процессов ‎и ‎процедур ‎следует ‎определять‏ ‎необходимость‏ ‎анализа‏ ‎документации, ‎её‏ ‎пересмотра, ‎ответственных‏ ‎лиц, ‎а‏ ‎также‏ ‎круг ‎лиц,‏ ‎имеющих ‎доступ ‎к ‎ней. ‎Документация,‏ ‎содержащая ‎конфиденциальную‏ ‎информацию,‏ ‎не ‎может ‎располагаться‏ ‎на ‎внутреннем‏ ‎информационном ‎ресурсе ‎по ‎информационной‏ ‎безопасности‏ ‎компании, ‎а‏ ‎должна ‎храниться‏ ‎только ‎в ‎защищённых ‎местах.

Внимание! ‎Материал‏ ‎охраняется‏ ‎авторским ‎правом‏ ‎на ‎основании‏ ‎статьи ‎1259 ‎ГК ‎РФ.