Жизненный цикл концепции информационной безопасности

Концепция информационной безопасности не является раз и навсегда созданным документом. Разные части концепции подвержены более или менее значительным изменениям, начиная с момента разработки и утверждения.

Разработка. Процесс разработки детально рассмотрен в предыдущем разделе. Данный этап жизненного цикла концепции информационной безопасности характеризуется активной работой по сбору исходных данных для создания концепции и оценкой экономических параметров концепции.

Кроме собственно разработки самой концепции, на данном этапе необходимо подготовить ряд документов по ее реализации. В дальнейшем, следуя общепринятой практике, мы будем понимать под концепцией информационной безопасности всю совокупность документов, подготовленных на этапе разработки.

Результатом данного этапа является проект концепции ИБ в составе следующих документов:

1. Собственно КИБ — документ, отражающий систему взглядов компании на проблему ИБ.
2. Политика информационной безопасности — документ, воплощающий положения КИБ в технические решения.
3. Свод норм, правил и инструкций по ИБ.
4. Технико-экономическое обоснование реализации мероприятий по обеспечению ИБ.
5. План по реализации положений концепции ИБ.
6. План мероприятий по защите информации в переходный период.
7. План обучения сотрудников.
8. Пояснительная записка.
9. Проект приказа о принятии концепции ИБ.

Эти документы выносятся на следующий этап — этап утверждения концепции ИБ.

Утверждение. Концепция информационной безопасности по возможности утверждается коллегиальным органом управления компании — советом директоров. Если утверждение коллегиальным органом по каким-либо причинам невозможно, концепция утверждается руководителем компании. Перед утверждением концепция согласуется с руководителями структурных подразделений компании.

На этапе утверждения (в процессе согласования) возможно проведение корректировки отдельных положений концепции в соответствии с пожеланиями руководителей подразделений.

После утверждения концепции издается приказ о введении в компании руководящего документа — концепции информационной безопасности и иных нормативных документов, разработанных в ее рамках.

Приказ определяет:

1. начало действия документов;
2. длительность переходного периода;
3. лиц, ответственных в подразделениях эа выполнение положений документов концепции;
4. рабочий орган (состав и полномочия) по реализации мероприятий, предусмотренных в концепции.

Реализация. Этап реализации концепции является наиболее длительным и трудоемким. Как уже упоминалось выше, для крупных компаний имеет смысл еще на этапе разработки структурировать этап реализации по времени с целью обеспечения поэтапной защиты информационных ресурсов компании.

Для экономии временных и финансовых ресурсов рекомендуется каждый этап реализации (или логически объединенную группу этапов) выполнять в следующей последовательности:

1. эскизный (системный) проект (на подсистему, систему для подразделения и т.д.) информационной безопасности;
2. разработка ТЗ на рабочий проект;
3. рабочее проектирование;
4. строительство, монтаж, наладка;
5. приемка;
6. запуск.

По окончании работ по данной схеме для каждого этапа целесообразно проводить анализ полученной системы информационной безопасности. Это связано с тем, что, как и любая информационная система, система информационной безопасности обладает так называемой «гибкостью» — может выполнять не только основные, но и дополнительные полезные функции. Поэтому по окончании работ одного этапа может выясниться, что на следующем этапе, возможно, не потребуется полных вложений в оборудование, программные средства, организационные мероприятия и т.д. Таким образом, данный подход позволит избежать ненужной избыточности в системе ИБ.

Корректировка. Этап корректировки неизбежен для каждой концепции информационной безопасности. Возможны два варианта проведения корректировки — плановая и внеочередная.

Плановая корректировка концепции проводится согласно утвержденному времени корректировки концепции (рекомендуется не реже одного раза в два года).

Внеплановая корректировка концепции производится:

1. при выявлении новых видов атак на корпоративные информационные системы;
2. выявлении уязвимости собственной корпоративной информационной системы;
3. выявлении слабости в установленных системах защиты;
4. появлении новых бизнес-процессов и соответственно новой, чувствительной к воздействиям злоумышленников информации;
5. реорганизации компании;
6. изменении структуры КИС;
7. появлении новых угроз для компании, связанных с НСД к информации;
8. изменении внешних нормативных документов (законы, постановления правительства и т.д.).

В зависимости от весомости причин, вызвавших необходимость корректировки концепции, корректировке может подлежать:

1. вся концепция вплоть до нормативной части (собственно КИБ) — полная переработка (происходит достаточно редко, не чаще одного раза в 3...5 лет);
2. переработка ПИБ, инструкций, требований и положений — частичная корректировка (относительно редко, один раз в 2...3 года);
3. корректировка инструкций, положений и т.п. — мелкая корректировка (относительно часто, один раз в 1...2 года).

Полная переработка производится по той же методике, что и разработка концепции, за исключением того, что при правильно функционирующей системе обеспечения информационной безопасности сбор исходных данных не нужен, так как вся система полностью документирована.

Частичная и мелкая корректировка выполняются как отдельные этапы разработки концепции.