До начала создания систем информационной безопасности ряд отечественных нормативных документов (ГОСТ Р ИСО/МЭК 15408 ГОСТ Р ИСО/МЭК 27000 ГОСТ Р ИСО/МЭК 17799) и международных стандартов (ISO 27001/17799) прямо требуют разработки основополагающих документов – Концепции и Политики информационной безопасности.

Однако, несмотря на это, многие системы информационной безопасности (как, впрочем, и информационные системы в целом) возникали в результате ряда нескоординированных между собой действий. Закупался антивирус, затем межсетевой экран, затем система резервного копирования. Никто не определял целей и задач защиты, принципов и способов достижения требуемого уровня безопасности информации, и самого этого уровня. Так получалась «лоскутная» система, не пригодная к планомерному развитию и сопровождению, к эффективной интеграции в ИТ-инфраструктуру предприятия, и, главное, не решающая задач обеспечения безопасности информации.

В результате, рано или поздно, владелец информационной системы сталкивается с необходимостью ответить на некоторые внешние вопросы, срочно разобраться в текущей ситуации и выработать основные положения о порядке защиты информации, выбрать базовые компоненты системы информационной безопасности, определить способы защиты. Иначе говоря, разработать Концепцию информационной безопасности.

В дальнейшем Концепция информационной безопасности используется для:

  • принятия обоснованных управленческих решений по разработке мер защиты информации;
  • выработки комплекса организационно-технических и технологических мероприятий по выявлению угроз информационной безопасности и предотвращению последствий их реализации;
  • координации деятельности подразделений по созданию, развитию и эксплуатации информационной системы с соблюдением требований обеспечения безопасности информации;
  • и, наконец, для формирования и реализации единой политики в области обеспечения информационной безопасности.

Если Концепция ИБ в общих чертах определяет, ЧТО необходимо сделать для защиты информации, то Политика детализирует положения Концепции, и говорит КАК, какими средствами и способами они должны быть реализованы.

Политика определяет также набор правил по работе с информационными ресурсами, и порядок контроля их выполнения. Она содержит перечень законодательных актов, ведомственных стандартов и организационно-распорядительных документов, на основании которых должна быть построена система обеспечения безопасности информации.

  • Разработка концепции и политики информационной безопасности
  • Расчет финансово-экономических показателей СОБИ, подготовка ТЭО СОБИ
  • Разработка ТЗ (ЧТЗ) на создание СОБИ и ее компонентов