До начала создания систем информационной безопасности ряд отечественных нормативных документов (ГОСТ Р ИСО/МЭК 15408 ГОСТ Р ИСО/МЭК 27000 ГОСТ Р ИСО/МЭК 17799) и международных стандартов (ISO 27001/17799) прямо требуют разработки основополагающих документов – Концепции и Политики информационной безопасности.
Однако, несмотря на это, многие системы информационной безопасности (как, впрочем, и информационные системы в целом) возникали в результате ряда нескоординированных между собой действий. Закупался антивирус, затем межсетевой экран, затем система резервного копирования. Никто не определял целей и задач защиты, принципов и способов достижения требуемого уровня безопасности информации, и самого этого уровня. Так получалась «лоскутная» система, не пригодная к планомерному развитию и сопровождению, к эффективной интеграции в ИТ-инфраструктуру предприятия, и, главное, не решающая задач обеспечения безопасности информации.
В результате, рано или поздно, владелец информационной системы сталкивается с необходимостью ответить на некоторые внешние вопросы, срочно разобраться в текущей ситуации и выработать основные положения о порядке защиты информации, выбрать базовые компоненты системы информационной безопасности, определить способы защиты. Иначе говоря, разработать Концепцию информационной безопасности.
В дальнейшем Концепция информационной безопасности используется для:
- принятия обоснованных управленческих решений по разработке мер защиты информации;
- выработки комплекса организационно-технических и технологических мероприятий по выявлению угроз информационной безопасности и предотвращению последствий их реализации;
- координации деятельности подразделений по созданию, развитию и эксплуатации информационной системы с соблюдением требований обеспечения безопасности информации;
- и, наконец, для формирования и реализации единой политики в области обеспечения информационной безопасности.
Если Концепция ИБ в общих чертах определяет, ЧТО необходимо сделать для защиты информации, то Политика детализирует положения Концепции, и говорит КАК, какими средствами и способами они должны быть реализованы.
Политика определяет также набор правил по работе с информационными ресурсами, и порядок контроля их выполнения. Она содержит перечень законодательных актов, ведомственных стандартов и организационно-распорядительных документов, на основании которых должна быть построена система обеспечения безопасности информации.
- Разработка концепции и политики информационной безопасности
- Расчет финансово-экономических показателей СОБИ, подготовка ТЭО СОБИ
- Разработка ТЗ (ЧТЗ) на создание СОБИ и ее компонентов