Практикум по информационной безопасности: Учебно-методическое пособие, страница 15


Для повышения эффективности деятельности РГК требуется проведение предварительного обучения членов группы. Содержание программы обучения в значительной степени зависит от знаний специалистов в области информационной безопасности. Тем не менее, они должны быть ознакомлены с целями и задачами проекта по классификации, организацией деятельности группы и формами шаблонов интервью, своей ролью и ответственностью за результаты, а также получить представление о роли и месте выполняемой ими работы в общей организации и создании системы информационной безопасности.

2.5   Результаты классификации

Форма деятельности РГК - интервьюирование внешними консультантами специалистов - членов РГК - по заранее разработанным шаблонам. Результаты интервью обрабатываются с целью выявления возможных противоречий в назначенных категориях конфиденциальности и по другим параметрам. Затем проводится согласование результатов с участием всех членов РГК, и их утверждение под роспись. После этого результаты РГК отправляются на утверждение владельцев информационных активов и, наконец, утверждаются (приказом) высшим руководителем компании.

Результатом деятельности РГК является также оценка состояния защищенности классифицированных информационных активов и рекомендации по тем мерам, которые следует предпринять (немедленно или в краткосрочной перспективе) для укрепления защиты конфиденциальных данных. На основании этих рекомендаций далее разрабатывается план защиты, подлежащий реализации.

Важным результатом деятельности РГК является приобретение специалистами компетенции в вопросах категоризации информационных активов. Это позволит в дальнейшем выполнять подобную работу, опираясь, в основном, на собственные силы. Для того, чтобы это можно было реализовать на практике, результатом деятельности РГК должны стать как минимум два документа: Методология и Стандарт классификации данных по степени конфиденциальности.

В Методологии фиксируются принципы и используемые подходы для классификации информационных активов по степени конфиденциальности. Фиксируются формулировки признаков отнесения актива к той или иной категории конфиденциальности. Приводятся поясняющие примеры. В документ включаются шаблоны опросных листов и разбор некоторых типовых ситуаций, которые требуют дополнительных согласований при классификации.


Стандарт классификации данных по степени конфиденциальности определяет цели и задачи, соответствие выполняемой классификации требованиям законодательства, роли и ответственность владельцев и пользователей информационных активов в процессе классификации. Стандарт фиксирует принятые в компании категории конфиденциальности и описание их отличительных признаков, а также область его применения. Кроме того, определяется порядок и причины внесения изменений в классификацию информации, устанавливается, кто осуществляет контроль исполнения стандарта, кто осуществляет его внедрение и отвечает за внесение изменений в действующую классификацию.

3.  Организационно-распорядительные документы 3.1    Рекомендации стандартов ИБ

В разделе 1.4 были представлены некоторые основные типы документов, которые в системе ИБ являются компонентом организационно-административного обеспечения. При этом отмечено, что основополагающими в области обеспечения ИБ являются Политика ИБ и политики ИБ по отдельным направлениям деятельности.

В соответствии с рекомендациями международных стандартов в области планирования информационной безопасности и управления ею (основные указаны в разделе 2.3, к ним же относится отечественный стандарт ГОСТ Р ИСО/МЭК 15408-2002, список может быть продолжен) политики безопасности, включая Поли гику ИБ компании - основополагающий документ -   должны содержать следующее:

•  определение предмета, основных целей и задач политики ИБ;

•  условия применения политики, возможные ограничения и исключения;

•  позицию   руководства   компании   в   отношении   реализации     положений политики и организации режима ИБ в компании в целом;

•  права, обязанности и степень ответственности сотрудников разных уровней за соблюдение политики;

•  порядок действий в ситуации, вызвавшей нарушения положений политики ИБ.

В отечественной практике стратегию компании в области информационной безопасности определяет Концепция ИБ (раздел 1.4). Политики рассматриваются в качестве документов, поддерживающих тактику действий по достижению желаемого уровня защищенности информационных активов. В международной практике принято