Жизненный цикл концепции
Главная » ЗИ компании » Разработка концепции ИБ » Жизненный цикл концепции

Жизненный цикл концепции информационной безопасности


Концепция информационной безопасности не является раз и навсегда созданным документом. Разные части концепции подвержены более или менее значительным изменениям, начиная с момента разработки и утверждения.


Разработка. Процесс разработки детально рассмотрен в предыдущем разделе. Данный этап жизненного цикла концепции информационной безопасности характеризуется активной работой по сбору исходных данных для создания концепции и оценкой экономических параметров концепции.

Кроме собственно разработки самой концепции, на данном этапе необходимо подготовить ряд документов по ее реализации. В дальнейшем, следуя общепринятой практике, мы будем понимать под концепцией информационной безопасности всю совокупность документов, подготовленных на этапе разработки.

Результатом данного этапа является проект концепции ИБ в составе следующих документов:

  1. Собственно КИБ — документ, отражающий систему взглядов компании на проблему ИБ.
  2. Политика информационной безопасности — документ, воплощающий положения КИБ в технические решения.
  3. Свод норм, правил и инструкций по ИБ.
  4. Технико-экономическое обоснование реализации мероприятий по обеспечению ИБ.
  5. План по реализации положений концепции ИБ.
  6. План мероприятий по защите информации в переходный период.
  7. План обучения сотрудников.
  8. Пояснительная записка.
  9. Проект приказа о принятии концепции ИБ.

Эти документы выносятся на следующий этап — этап утверждения концепции ИБ.


Утверждение. Концепция информационной безопасности по возможности утверждается коллегиальным органом управления компании — советом директоров. Если утверждение коллегиальным органом по каким-либо причинам невозможно, концепция утверждается руководителем компании. Перед утверждением концепция согласуется с руководителями структурных подразделений компании.

На этапе утверждения (в процессе согласования) возможно проведение корректировки отдельных положений концепции в соответствии с пожеланиями руководителей подразделений.

После утверждения концепции издается приказ о введении в компании руководящего документа — концепции информационной безопасности и иных нормативных документов, разработанных в ее рамках.

Приказ определяет:

  1. начало действия документов;
  2. длительность переходного периода;
  3. лиц, ответственных в подразделениях эа выполнение положений документов концепции;
  4. рабочий орган (состав и полномочия) по реализации мероприятий, предусмотренных в концепции.

Реализация. Этап реализации концепции является наиболее длительным и трудоемким. Как уже упоминалось выше, для крупных компаний имеет смысл еще на этапе разработки структурировать этап реализации по времени с целью обеспечения поэтапной защиты информационных ресурсов компании.

Для экономии временных и финансовых ресурсов рекомендуется каждый этап реализации (или логически объединенную группу этапов) выполнять в следующей последовательности:

  1. эскизный (системный) проект (на подсистему, систему для подразделения и т.д.) информационной безопасности;
  2. разработка ТЗ на рабочий проект;
  3. рабочее проектирование;
  4. строительство, монтаж, наладка;
  5. приемка;
  6. запуск.

По окончании работ по данной схеме для каждого этапа целесообразно проводить анализ полученной системы информационной безопасности. Это связано с тем, что, как и любая информационная система, система информационной безопасности обладает так называемой «гибкостью» — может выполнять не только основные, но и дополнительные полезные функции. Поэтому по окончании работ одного этапа может выясниться, что на следующем этапе, возможно, не потребуется полных вложений в оборудование, программные средства, организационные мероприятия и т.д. Таким образом, данный подход позволит избежать ненужной избыточности в системе ИБ.


Корректировка. Этап корректировки неизбежен для каждой концепции информационной безопасности. Возможны два варианта проведения корректировки — плановая и внеочередная.

Плановая корректировка концепции проводится согласно утвержденному времени корректировки концепции (рекомендуется не реже одного раза в два года).

Внеплановая корректировка концепции производится:

  1. при выявлении новых видов атак на корпоративные информационные системы;
  2. выявлении уязвимости собственной корпоративной информационной системы;
  3. выявлении слабости в установленных системах защиты;
  4. появлении новых бизнес-процессов и соответственно новой, чувствительной к воздействиям злоумышленников информации;
  5. реорганизации компании;
  6. изменении структуры КИС;
  7. появлении новых угроз для компании, связанных с НСД к информации;
  8. изменении внешних нормативных документов (законы, постановления правительства и т.д.).

В зависимости от весомости причин, вызвавших необходимость корректировки концепции, корректировке может подлежать:

  1. вся концепция вплоть до нормативной части (собственно КИБ) — полная переработка (происходит достаточно редко, не чаще одного раза в 3...5 лет);
  2. переработка ПИБ, инструкций, требований и положений — частичная корректировка (относительно редко, один раз в 2...3 года);
  3. корректировка инструкций, положений и т.п. — мелкая корректировка (относительно часто, один раз в 1...2 года).

Полная переработка производится по той же методике, что и разработка концепции, за исключением того, что при правильно функционирующей системе обеспечения информационной безопасности сбор исходных данных не нужен, так как вся система полностью документирована.

Частичная и мелкая корректировка выполняются как отдельные этапы разработки концепции.


Поиск информации на сайте Пожалуйста, введите запрос и нажмите «Найти!»