Как правильно оформить документы по информационной безопасности?

Для правильного оформления документов по информационной безопасности рекомендуется следовать таким шагам: 1

1. Оценить информационную инфраструктуру компании на предмет уязвимости и принять меры, перечисленные в политике безопасности. 1
2. Создать методические материалы и инструкции, регламентирующие работу с информацией. 1 Например, прописать перечень разрешённых для использования интернет-ресурсов, правила доступа к защищаемым объектам и информационным активам и т. д.. 1
3. Внедрить утверждённые инструменты защиты данных, которые ещё не используются компанией. 1
4. Ознакомить персонал с утверждёнными положениями. 1 Например, можно провести инструктаж или семинар. 1 В конце таких мероприятий сотрудники обычно ставят подписи в подтверждение, что ознакомлены с документами. 1
5. Регулярно проводить аудит для оценки эффективности внедрённой политики информационной безопасности. 1
6. Периодически актуализировать принятую документацию. 1 Например, при необходимости расширить арсенал средств защиты. 1

Некоторые документы, которые могут потребоваться для оформления информационной безопасности:

• Политика информационной безопасности. 15 В ней должны быть прописаны чёткие цели, методы их достижения и меры ответственности за нарушение политики. 1
• Приказ о назначении ответственного за информационную безопасность. 2 Документом устанавливают персональную ответственность сотрудника за защиту персональных данных и вменяют ему определённые обязанности. 2
• Положения о защите персональных, секретных, конфиденциальных сведений, о правилах пользования внутренней информационной сетью, использования интернет-ресурсов. 3
• Распоряжения о назначении ответственных лиц по обеспечению безопасности обработки персональных данных, о правилах хранения электронных и бумажных носителей ценных сведений, определения порядка допуска к ним. 3
• Должностные инструкции специалистов, ответственных за программное обеспечение, работу технических средств, контролирующих доступность сведений. 3
• Модель угроз безопасности, составленная на основе анализа. 3
• Утверждённый список лиц с доступом к информации, имеющей стратегическое значение. 3
• Правила проведения процедуры идентификации пользователей, установки (инсталляции) программного обеспечения, резервирования баз данных, их восстановления при возникновении нештатных ситуаций. 3
• Формы журналов учёта приёма/выдачи съёмных носителей данных, технических средств для обработки и передачи информации, проведения инструктажей по вопросам защиты данных, безопасного пользования персональными компьютерами. 3

Чтобы документы внутреннего пользования действительно помогали обеспечивать надёжную работу системы, важно, чтобы их разрабатывали при участии ИБ-специалистов. 3