В статье автор рассматривание основные цели и задачи создания системы документов в области информационной безопасности в оборонном промышленном комплексе. Автором приведена структура организационно-распорядительных документов оборонно-промышленного предприятия, устанавливающих требования к иерархичности построения отдельных классов (видов) документов с разграничением их сферы действия и распространения.
Ключевые слова: система документов, система обеспечения информационной безопасности, виды документов, критическая информационная инфраструктура.
В настоящее время документационной обеспечение в области информационной безопасности (ИБ) представляет собой объединенную целевой направленностью упорядоченную совокупность документов, регламентирующих деятельность оборонно-промышленного предприятия (ОПП) в области обеспечения ИБ, взаимосвязанных по функционально-целевому назначению, сфере действия, области распространения, периоду действия, а также едиными требованиями к их оформлению.
Так, система документов в области обеспечения ИБ ОПП создается в целях:
– правового регулирования отношений в области обеспечения ИБ;
– стандартизации в области обеспечения ИБ;
– повышения эффективности и согласованности процесса управления ИБ;
– информационного обеспечения подготовки и принятия решений по обеспечению ИБ;
– эффективного использования (эксплуатации) средств обеспечения и контроля эффективности ИБ.
Основными задачами формирования системы документов в области ИБ являются:
– упорядочение номенклатуры документов по обеспечению ИБ;
– формирование обоснованных и согласованных правил, требований, норм и показателей по обеспечению ИБ;
– повышение эффективности проведения оценки соответствия требованиям по обеспечению ИБ.
Документы системы необходимо разрабатывать с учетом сферы действия в области ИБ [1–4].
С учетом требований [5] к документационному обеспечению объектами документирования выступает система обеспечения информационной безопасности (СОИБ) ОПП:
– организационная основа обеспечения ИБ;
– процессы обеспечения ИБ и реализующие их подсистемы обеспечения ИБ;
– процессы управления ИБ и система управления ИБ.
Документы в области обеспечения ИБ регулируют отношения, возникающие в процессе деятельности ОПП при:
– разработке, создании, применении и исполнении требований по обеспечению ИБ, предъявляемых к продукции, процессам, работам;
– создании защищаемых объектов информатизации;
– разработке и создании системы обеспечения ИБ средств информационной и телекоммуникационной инфраструктуры ОПП;
– планировании, организации и проведении мероприятий по защите объектов, сведения о которых относятся к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного распространения.
Предметы документирования в области ИБ описываются следующими видами документов [6]:
– основополагающие (уровень 1);
– системы стандартизации ОПП (уровень 2);
– организационно-распорядительные (уровень 3);
– информационно-справочные (уровень 4).
Общая структура документов СОИБ ОПП показана на рис. 1.
Рис. 1. Общая структура документов СОИБ ОПП
Основополагающие документы определяют требования к СОИБ в целом и включают Концепцию ИБ, Политики ИБ, персональных данных и значимые объекты критической информационной инфраструктуры.
Стандарты по обеспечению ИБ оформлены в комплекс документов по стандартизации «Система обеспечения информационной безопасности».
Как видно из рисунка, разрабатываемые документы в области ИБ могут относится к следующим уровням [6]:
– Уровень 1 — организация;
– Уровень 2 — процессы, процедуры обеспечения ИБ;
– Уровень 3 — ключевые объекты защиты;
– Уровень 4 — документирование (свидетельств выполнения требований ИБ).
Организационно-распорядительные документы фиксируют решения управленческих и других направлений деятельности ОПП в области ИБ в соответствии с законодательством Российской Федерации. Организационно-распорядительные документы содержат пункты поручений, обязательные к исполнению.
К основным распорядительным документам ОПП в области ИБ относятся — приказы, указания, планы (графики, программы).
Документы, устанавливающие правила в области ИБ, утверждают организационно-распорядительными документами ОПП. К документам, устанавливающим правила в области ИБ, относятся — политики, положения, регламенты, инструкции, методики, руководство.
Информационно-справочные документы содержат сведения, которые инициируют управленческие решения, позволяют выбрать тот или иной способ управленческого воздействия.
Информационно-справочные документы в области ИБ включают справки, отчеты, служебные/докладные записки, протоколы, памятки, письма, шаблоны, акты проверок или классификации объектов защиты, паспорта объектов защиты и перечни сведений, относящихся к конфиденциальной информации.
Все основополагающие документы помимо самостоятельного использования служат основой при разработке организационно-распорядительных документов ОПП в области ИБ.
В заключение хотелось бы отметить, что внедрение СОИБ ОПП позволяет реализовать процессный подход к обеспечению ИБ, что существенным образом позволят более системно и комплексно решить проблему защиты ОПП от внутренних и внешних угроз.
Литература:
1. Федеральный закон Российской Федерации от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» // СПС «Консультант плюс» [Электронный ресурс]. — URL: https://www.consultant.ru/document/cons_doc_LAW_220885 (дата обращения: 20.12.2024).
2. Федеральный закон Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных» // СПС «Консультант плюс» [Электронный ресурс]. — URL: https://www.consultant.ru/document/cons_doc_LAW_61801 (дата обращения: 20.12.2024).
3. Федеральный закон Российской Федерации от 29 июля 2004 года № 98-ФЗ «О коммерческой тайне» // СПС «Консультант плюс» [Электронный ресурс]. — URL: https://www.consultant.ru/document/cons_doc_LAW_48699 (дата обращения: 20.12.2024).
4. Приказ ФАПСИ от 13 июня 2001 года № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» // СПС «Консультант плюс» [Электронный ресурс]. — URL: https://www.consultant.ru/document/cons_doc_LAW_32924/ (дата обращения: 20.12.2024).
5. ГОСТ Р ИСО/МЭК 27001–2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
6. Михайличенко О. В., Коловангин С. В., Никифорова А. Г. Создание иерархической системы документов в области информационной безопасности. Стандартизация ИБ-процессов объектов КИИ // Защита информации. Инсайд. — 2021. — № 3 (99). — С. 30–36.
