В статье автор рассматривание основные цели и задачи создания системы документов в области информационной безопасности в оборонном промышленном комплексе. Автором приведена структура организационно-распорядительных документов оборонно-промышленного предприятия, устанавливающих требования к иерархичности построения отдельных классов (видов) документов с разграничением их сферы действия и распространения.

Ключевые слова: система документов, система обеспечения информационной безопасности, виды документов, критическая информационная инфраструктура.

В настоящее время документационной обеспечение в области информационной безопасности (ИБ) представляет собой объединенную целевой направленностью упорядоченную совокупность документов, регламентирующих деятельность оборонно-промышленного предприятия (ОПП) в области обеспечения ИБ, взаимосвязанных по функционально-целевому назначению, сфере действия, области распространения, периоду действия, а также едиными требованиями к их оформлению.

Так, система документов в области обеспечения ИБ ОПП создается в целях:

– правового регулирования отношений в области обеспечения ИБ;

– стандартизации в области обеспечения ИБ;

– повышения эффективности и согласованности процесса управления ИБ;

– информационного обеспечения подготовки и принятия решений по обеспечению ИБ;

– эффективного использования (эксплуатации) средств обеспечения и контроля эффективности ИБ.

Основными задачами формирования системы документов в области ИБ являются:

– упорядочение номенклатуры документов по обеспечению ИБ;

– формирование обоснованных и согласованных правил, требований, норм и показателей по обеспечению ИБ;

– повышение эффективности проведения оценки соответствия требованиям по обеспечению ИБ.

Документы системы необходимо разрабатывать с учетом сферы действия в области ИБ [1–4].

С учетом требований [5] к документационному обеспечению объектами документирования выступает система обеспечения информационной безопасности (СОИБ) ОПП:

– организационная основа обеспечения ИБ;

– процессы обеспечения ИБ и реализующие их подсистемы обеспечения ИБ;

– процессы управления ИБ и система управления ИБ.

Документы в области обеспечения ИБ регулируют отношения, возникающие в процессе деятельности ОПП при:

– разработке, создании, применении и исполнении требований по обеспечению ИБ, предъявляемых к продукции, процессам, работам;

– создании защищаемых объектов информатизации;

– разработке и создании системы обеспечения ИБ средств информационной и телекоммуникационной инфраструктуры ОПП;

– планировании, организации и проведении мероприятий по защите объектов, сведения о которых относятся к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного распространения.

Предметы документирования в области ИБ описываются следующими видами документов [6]:

– основополагающие (уровень 1);

– системы стандартизации ОПП (уровень 2);

– организационно-распорядительные (уровень 3);

– информационно-справочные (уровень 4).

Общая структура документов СОИБ ОПП показана на рис. 1.

Рис. 1. Общая структура документов СОИБ ОПП

Основополагающие документы определяют требования к СОИБ в целом и включают Концепцию ИБ, Политики ИБ, персональных данных и значимые объекты критической информационной инфраструктуры.

Стандарты по обеспечению ИБ оформлены в комплекс документов по стандартизации «Система обеспечения информационной безопасности».

Как видно из рисунка, разрабатываемые документы в области ИБ могут относится к следующим уровням [6]:

– Уровень 1 — организация;

– Уровень 2 — процессы, процедуры обеспечения ИБ;

– Уровень 3 — ключевые объекты защиты;

– Уровень 4 — документирование (свидетельств выполнения требований ИБ).

Организационно-распорядительные документы фиксируют решения управленческих и других направлений деятельности ОПП в области ИБ в соответствии с законодательством Российской Федерации. Организационно-распорядительные документы содержат пункты поручений, обязательные к исполнению.

К основным распорядительным документам ОПП в области ИБ относятся — приказы, указания, планы (графики, программы).

Документы, устанавливающие правила в области ИБ, утверждают организационно-распорядительными документами ОПП. К документам, устанавливающим правила в области ИБ, относятся — политики, положения, регламенты, инструкции, методики, руководство.

Информационно-справочные документы содержат сведения, которые инициируют управленческие решения, позволяют выбрать тот или иной способ управленческого воздействия.

Информационно-справочные документы в области ИБ включают справки, отчеты, служебные/докладные записки, протоколы, памятки, письма, шаблоны, акты проверок или классификации объектов защиты, паспорта объектов защиты и перечни сведений, относящихся к конфиденциальной информации.

Все основополагающие документы помимо самостоятельного использования служат основой при разработке организационно-распорядительных документов ОПП в области ИБ.

В заключение хотелось бы отметить, что внедрение СОИБ ОПП позволяет реализовать процессный подход к обеспечению ИБ, что существенным образом позволят более системно и комплексно решить проблему защиты ОПП от внутренних и внешних угроз.

Литература:

1. Федеральный закон Российской Федерации от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» // СПС «Консультант плюс» [Электронный ресурс]. — URL: https://www.consultant.ru/document/cons_doc_LAW_220885 (дата обращения: 20.12.2024).

2. Федеральный закон Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных» // СПС «Консультант плюс» [Электронный ресурс]. — URL: https://www.consultant.ru/document/cons_doc_LAW_61801 (дата обращения: 20.12.2024).

3. Федеральный закон Российской Федерации от 29 июля 2004 года № 98-ФЗ «О коммерческой тайне» // СПС «Консультант плюс» [Электронный ресурс]. — URL: https://www.consultant.ru/document/cons_doc_LAW_48699 (дата обращения: 20.12.2024).

4. Приказ ФАПСИ от 13 июня 2001 года № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» // СПС «Консультант плюс» [Электронный ресурс]. — URL: https://www.consultant.ru/document/cons_doc_LAW_32924/ (дата обращения: 20.12.2024).

5. ГОСТ Р ИСО/МЭК 27001–2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

6. Михайличенко О. В., Коловангин С. В., Никифорова А. Г. Создание иерархической системы документов в области информационной безопасности. Стандартизация ИБ-процессов объектов КИИ // Защита информации. Инсайд. — 2021. — № 3 (99). — С. 30–36.