Разработка нормативных документов по информационной безопасности

Мы разрабатываем все виды нормативных документов по информационной безопасности.
Наиболее востребованной услугой является разработка Политики информационной безопасности. При наличии в организации нормативных документов по информационной безопасности (ИБ), они учитываются при разработке, при необходимости дорабатываются и включаются в состав Политики ИБ. Все документы разрабатываются с учетом существующего штата, организационной структуры предприятия, а также с учетом технических особенностей осуществления производственного процесса. При разработке документов учитываются рекомендации, полученные по итогам проведения экспертизы ИБ, если она проводилась ранее.

Проект по разработке политики ИБ состоит из следующих этапов:

1. Сбор информации о предприятии и проведение интервью с ключевыми специалистами.
2. Анализ существующей в организации нормативной базы по обеспечению информационной безопасности.
3. Разработка проекта Политики ИБ, совместные чтения проекта с заказчиками.
4. Доработка проекта Политики ИБ и согласование его с заказчиком.
5. Презентация проекта Политики ИБ для специалистов заказчика и разъяснение его основных положений.

При разработке политики информационной безопасности для государственных органов мы руководствуемся, в том числе, методическими пособиями по разработке политики информационной безопасности на территории Республики Узбекистан  (Приложение № 10 к протоколу Республиканской комиссии по координации реализации Комплексной программы развития Национальной информационно-коммуникационной системы Республики Узбекистан на 2013-2020 годы от 23 февраля 2016 года № 7)

В качестве источников рекомендаций по совершенствованию системы обеспечения ИБ могут будут использованы:
• Государственный стандарт Республики Узбекистан O`z DSt ISO/IEC 27001:2016 «Информационная технология. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования»
• Государственный стандарт Республики Узбекистан O`z DSt ISO/IEC 27002:2016 «Информационная технология. Методы обеспечения безопасности. Практические правила управления информационной безопасностью»
• Государственный стандарт O'z DSt ISO 9001:2009 «Системы менеджмента качества. Требования»

«...
Практически все специалисты рекомендуют начинать с создания политики обеспечения ИБ. Здесь многие совершают распространенную ошибку: находят готовый шаблон в Интернете или просят у коллег, которые его уже сделали, редактируют, утверждают и рапортуют о выполнении этого пункта плана. Без учета специфики предприятия такой документ будет чистейшей формальностью, но может ещё и сослужить не очень хорошую службу – ведь при слепом копировании часто утверждается множество процедур, которые на практике в небольших организациях зачастую не применяются, например, процедуры резервного копирования, создание резервных центров обработки данных. Проверяющий орган наверняка обратит внимание на утвержденную процедуру и отсутствие её реализации на практике.
Если нет возможности привлечь внешних специалистов для разработки политики ИБ, то хорошим решением будет документирование существующих практик по обеспечению ИБ, например, процедур предоставления доступа к информационным сервисам предприятия, управления антивирусным ПО. Таким образом, постепенно будет формироваться действительно работающий документ, и для администратора, и для пользователей, и для руководства - будут проясняться «правила игры», а значит, станет меньше обид у пользователей, которым перекрывают доступы.
Другой плюс создания политики ИБ - это единообразие принимаемых решений, что очень полезно при текучке кадров, новым сотрудникам можно будет апеллировать не к сложившейся практике и собственному опыту, а к конкретному документу. Важно понимать, что политика ИБ это «живой» документ, его положения должны пересматриваться под нужды предприятия, только тогда он будет работать.
...»
Фрагмент статьи К. Шудровой и А. Ракитского «С чего начинается информационная безопасность на предприятии? Кадры решают всё.»

У нас есть успешный опыт разработки и согласования Политики информационной безопасности для нескольких органов государственного и хозяйственного управления Республики Узбекистан.

Мы также готовы оказать услуги по экспертизе информационной безопасности.