блог Дорофеева

Если внимательно читать стандарт по управлению информационной безопасностью ISO 27001:2005, то можно натолкнуться на требования по контролю документации системы управления информационной безопасностью (раздел 4.3.2). Стандарт требует формализации процесса управления документацией СУИБ. Компания, желающая должна определить каким образом политики и процедуры по информационной безопасности будут проходить утверждение, как они будут пересматриваться, как будут регистрироваться изменения в документах, и как они будут распространяться. Так же не стоит забывать, что зачастую документам системы управления информационной безопасностью в компаниях присваивается гриф “Конфиденциально” и документы СУИБ должны храниться, передаваться и уничтожаться в соответствии с процедурами по работе с классифицированной информацией.

Возникает вопрос: как обеспечить выполнение данного требования? Хорошо если в компании уже работают процессы документооборота и можно использовать имеющиеся процедуры. А если нет? В этом случае нам необходимо разработать и внедрить процесс управления документацией СУИБ.

Давайте разберемся, какой может быть структура документа, формализующий процесс, и что он должен содержать.

Во-первых, мы должны определиться со структурой документации системы управления информационной безопасностью. Мне больше всего нравится “классический” вариант: политика-процедура-стандарт плюс положения об отделах и должностные инструкции. Я подробно писал об этой структуре в своей заметке: http://adorofeev.blogspot.com/2009/02/blog-post_08.html.

Во-вторых, мы должны определиться с такими обязательными реквизитами документа СУИБ как:

- версия документа;

- код документа;

- таблица с именами и должностями тех, кто разработал, согласовал и утвердил документ.

- дата вступления документа в силу;

- перечень мер ISO 27001:2005, которые формализованы в документе;

В-третьих, мы должны определить требования к содержанию документов в зависимости от их типов. Например, процедура может содержать следующие разделы:

- история изменений документа;

- цель документа;

- область применения;

- перечень используемых сокращений;

- связанные документы;

- описание процедуры;

- описание обязанностей;

- описание свидетельств для целей аудита.

В-четвертых, наш документ должен содержать:

- правила формирования кода документа и его версии;

- описание процедуры утверждения документации СУИБ;

- описание процедуры согласования документации СУИБ;

- описание процедуры внесения изменений документации СУИБ;

И, наконец, мы должны включить в него необходимые ссылки на документацию по классификации данных.

Александр Дорофеев (с)

Александр Дорофеев

Related Posts

1. Какой набор документов необходим для прохождения сертификации на соответствие ISO 27001? Часть первая.
2. Материалы тренинга "Аудит информационной безопасности". Часть вторая. Аудит системы управления информационной безопасностью
3. Политики и процедуры по информационной безопасности
4. Политика информационной безопасности
5. Документы по информационной безопасности

Метки: ISO 27001:2005, политика ИБ