Разработка организационно-распорядительной документации

documents-1427202_eЗащита информации включает в себя комплекс организационных и технических мер, направленных на обеспечение безопасности свойств информации (конфиденциальность, целостность, доступность). Очевидно, что базисом системы защиты информации являются организационные меры, которые должны быть задокументированы в форме приказов, перечней, регламентов, инструкций, положений, руководств, регламентов, стандартов и т.д. Но и технические меры также предваряются разработкой документации, например: технический паспорт, модель угроз, техническое задание на разработку системы защиты информации, технический проект и т.д.

Разработка организационно-распорядительной и технической документации, отвечающей требованиям безопасности информации, регламентирующей процессы системы защиты информации на всех этапах её существования, сложная и трудоёмкая задача.  Во многих организациях или отсутствует документация, или это набор документов — шаблонов, наличие которых не влияет на процессы, связанные с деятельностью по защите информации.

Перечень необходимых документов может меняться в зависимости от специфики объектов информатизации, на которых планируется обрабатывать защищаемую информацию. Первоначально определяются защищаемые объекты, назначаются лица, ответственные за организацию защиты информации, устанавливаются угрозы безопасности защищаемой информации, разрабатывается техническое задание на создание защищённого объекта информатизации. На следующих этапах выполняется проектирование, ввод в действие и сопровождение объекта. На каждом из этапов разрабатывается соответствующая документация: эскизный проект; технический проект; рабочая документация, материалы по аттестации объекта информатизации и т.д. Важно, чтобы на всех этапах жизненного цикла объекта информатизации поддерживалась соответствующая документация ( в соответствии с ГОСТ Р ИСО/МЭК 27001 – 2006 это этапы: планирование; осуществление; проверка; действие).