Понятия и документы

Сначала, как всегда, необходимо договориться о терминах. Под англоязычным термином policy понимают обычно достаточно широкий спектр документов. Порой, говоря о такой политике, даже подразумевают весь набор нормативной документации по информационной безопасности на предприятии. Мы же будем использовать следующие понятия:

· концепция — политика верхнего уровня, определяющая общие принципы информационной безопасности для предприятия;

· стандарты или правила — политики по отдельным направлениям информационной безопасности предприятия, формулирующие принципы и правила для данного направления;

· процедуры — документы, описывающие права и обязанности участников одного или нескольких логически объединенных процессов обеспечения информационной безопасности;

· инструкции или методики — документы, детально описывающие, как и что должно делаться в рамках направления, процесса или системы для обеспечения соответствия стандартам.

Поскольку мы будем говорить в основном о документе верхнего уровня, то есть о концепции, следует избегать попыток назвать его стратегией. В данном случае концепция — это статичный документ, определяющий принципы, а стратегия — динамический документ, определяющий цели и пути их достижения.

Кроме того, в общей схеме нормативного обеспечения информационной безопасности следует выделить документы, которые условно можно отнести к аварийному плану. Здесь тоже существуют понятия, которые иногда путают между собой. Наиболее известные из них пришли из западных практик безопасности, это план восстановления информационных систем после аварии или катастрофы (Disaster Recovery Plan, DRP); анализ негативных последствий реализации угроз информационной безопасности для бизнес-процессов предприятия (Business Impact Analysis, BIA); план восстановления бизнес-процессов после наступления негативных событий (Business Continuity Plan, BCP).

Начиная разрабатывать очередной документ, следует помнить о том, какое место он займет в общей структуре нормативного обеспечения предприятия. Поскольку все документы должны быть, с одной стороны, непротиворечивы, а с другой — взаимосвязаны, выбрать правильное место документа в структуре немаловажно. Соответственно, если при планировании разработки документа его будущее место в иерархии не может быть определено, возможно следует пересмотреть формат документа. Быть может, для сохранения логичности его надо разбить на два или более документов, либо, наоборот, включить отдельным разделом в уже существующий документ.