Система ИБ любой компании начинается с локальных нормативных актов, регламентирующих деятельность и порядок реализации мер защиты информации. Недостаточное внимание к вопросам создания системы организационной документации отрицательно влияет и на состояние защищенности информационных активов, и на выполнение обязательных нормативно-правовых требований ИБ.  Кроме того, анализ документации является первым шагом как при проверке со стороны регулирующих государственных органов, так и при внешнем аудите системы ИБ.

При этом, проверяющие сталкиваются с рядом проблем, наиболее частые из которых:

  • документы не систематизированы и не согласованны между собой, их сложно актуализировать и пересматривать;
  • содержание документов чрезмерно объемно и непонятно;
  • документы не соответствуют актуальным требованиям защиты информации.

Решение этих проблем зачастую затягивается на месяцы и годы из-за большого объема различных нормативно-правовых требований, недостаточного количества специалистов и ресурсов.

На базе многолетнего опыта работы как на стороне заказчиков, так и в качестве сторонних консультантов и аналитиков, специалисты СТЭП ЛОДЖИК разработали собственный подход к созданию четкой, гибкой и удобной в использовании системы документации по защите информации. Такой подход основан на следующих принципах:

  • учет существующей культуры организационной документации;
  • четкая систематизация и иерархия документов;
  • идентифицируемость документов;
  • однозначность и минимальная достаточность;
  • согласованность и минимальное пересечение документов между собой;
  • обеспечение жизненного цикла документов.

Специалисты СТЭП ЛОДЖИК разрабатывают документы индивидуально для каждого заказчика, исходя из его потребностей в соблюдении нормативных требований и рекомендаций по защите информации:

  • требования к организации обработки персональных данных;
  • требования к обеспечению защиты персональных данных;
  • требования защиты информации в государственных информационных системах;
  • требования защиты информации в автоматизированных системах управления;
  • требования безопасности использования криптографических средств;
  • требования Банка России к защите информации в национальной платежной системе;
  • рекомендации к системам менеджмента ИБ стандарта ISO/IEC 27001 (ГОСТ Р ИСО МЭК 27001).

Работа состоит из следующих этапов:

1. Сбор исходных данных и определение требований к документам.

2. Формирование структуры документов по защите информации.

3. Разработка и согласование документов.