• Рабочие часы: 10:00 - 19.00
  • info@globaltrust.ru

GlobalTrust

Разработка и независимая экспертиза документации

image_pdfimage_print

Наш опыт разработки документации по информационной безопасности

Мы разрабатываем и постоянно совершенствуем самую большую из существующих коллекций русскоязычных организационно-распорядительных документов по информационной безопасности, накопили огромный опыт в разработке проектной документации на системы защиты информации и планов обеспечения непрерывности бизнеса.

Мы принимали участие в разработке первых русскоязычных профилей защиты еще до принятия Общих критериев в качестве международного стандарта в 1999 году, а затем российского национального стандарта.

Услуги GlobalTrust по разработке документов позволяют нашим заказчикам воспользоваться существующим опытом и наработками, экономить время и деньги, избежать характерных ошибок и заложить прочный фундамент для управления информационной безопасностью в организации.

Вы можете заказать у нас разработку:

  • Политик и других организационно-распорядительных документов по информационной безопасности
  • Планов обеспечения непрерывности бизнеса и аварийных процедур
  • Профилей защиты и заданий по безопасности

Вы также можете заказать у нас готовые комплекты типовых документов по информационной безопасности и осуществлять их доработку собственными силами или с нашей помощью.

GlobalTrust также оказывает услуги по независимой экспертизе проектной, нормативной и организационно-распорядительной документации по ИБ, которая уже имеется у заказчика или разрабатывается в ходе реализации соответствующих проектов в сфере защиты информации.

Разработка политик информационной безопасности

В основе организационный мер защиты информации лежат политики безопасности организации (ПБ), от эффективности которых в наибольшей степени зависит успешность мероприятий по обеспечению ИБ.

В современной практике обеспечения ИБ термин «политика безопасности» может употребляться как в широком, так и в узком смысле слова. В широком смысле, ПБ определяется как система документированных управленческих решений по обеспечению ИБ организации. В узком смысле под ПБ обычно понимают локальный нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения ИБ.

Примерами таких документов могут служить «Политика управления паролями», «Политика управления доступом к ресурсам корпоративной сети», «Политика обеспечения ИБ при взаимодействии с сетью Интернет» и т.п. Использование нескольких специализированных нормативных документов обычно является предпочтительней создания «Общего руководства по обеспечению ИБ организации».

Например, в компании Cisco Systems, Inc. стараются чтобы размер ПБ не превышал 2 страниц. В редких случаях размер ПБ может достигать 4-5 страниц (3). По нашему опыту содержательная часть типовой ПБ на русском языке обычно не превышает 7 страниц. Этот подход, однако, не противоречит созданию «Концепции обеспечения ИБ», которая бы содержала ссылки на множество специализированных ПБ и увязывала бы их в единую систему организационных мер по защите информации.

Разработка политик безопасности собственными силами – длительный и трудоемкий процесс, требующего высокого профессионализма, отличного знания нормативной базы в области ИБ и, помимо всего прочего, писательского таланта. Этот процесс обычно занимает многие месяцы и не всегда завершается успешно.

Большинство организаций не располагают собственными людскими ресурсами, необходимыми для квалифицированной разработки и внедрения ПБ. Отыскать готовые политики безопасности, которые бы оказались применимыми в вашей организации, соответствовали бы ее структуре и требованиям безопасности нереально. Несмотря на доступность соответствующих, в основном англоязычных, ресурсов в сети Интернет они являются непригодными для практического использования и могут служить только основой для разработки собственных ПБ.

GlobalTrust располагает самой большой коллекцией шаблонов типовых документов, эффективность которых проверена на практике. При разработке ПБ мы опираемся, помимо собственного опыта, на международные стандарты ИБ, такие как ISO 17799, ISO 15408, ISO 13335, COBIT, ITIL, а также на руководящие документы и рекомендации ФСТЭК и ФСБ.

Независимая экспертиза документов по ИБ

Экспертиза проектной документации и организационно-распорядительных документов в области защиты информации – независимая оценка соответствия или несоответствии данной документации требованиям Законодательства РФ, нормативно-правовым актам, международным, национальным и отраслевым стандартам информационной безопасности. В ходе экспертизы производится анализ представленных заказчиком документов с точки зрения их полноты, непротиворечивости, технической состоятельности и реализуемости, экономической обоснованности и эффективности проектных решений, соответствия законодательству, нормативным требованиям и передовому опыту в сфере защиты информации. В случае необходимости проводится дополнительная независимая юридическая экспертиза отдельных документов.

Независимая экспертиза документации является важнейшим этапом обеспечения ИБ, позволяющим значительно повысить качество и эффективности реализуемых проектов в сфере разработки, внедрения, сопровождения и нормативно-правового регулирования систем и процессов обеспечения ИБ. Поэтому данная услуга становится все более востребованной у заказчиков. Она отличается небольшими сроками проведения (от 10 рабочих дней) и выгодной (по сравнению со стоимостью проекта) ценой и позволяет получить значительно большую отдачу от подрядчика на вложенные в проект средства.

GlobalTrust проводит экспертизу любых документов в сфере ИБ, включая, но не ограничиваясь, следующими:

  • технические и рабочие проекты систем защиты информации и персональных данных
  • технические задания
  • политики безопасности и любые организационно-распорядительные документы по обеспечению ИБ
  • концепции создания систем защиты информации
  • стратегии обеспечения информационной безопасности и планы работ
  • задания по безопасности и профили защиты
  • профили рисков ИБ, реестры рисков и планы их обработки
  • планы обеспечения непрерывности бизнеса и ИТ-сервисов
  • модели угроз и нарушителей
  • отчеты по результатам предпроектных обследований, аудитов ИБ, анализа защищенности и пентестов
  • аттестационная документация
  • и прочее

Экспертиза технических проектов проводится по следующим критериям:

  • Соответствие отчетной документации техническому заданию
  • Соответствие отчетной документации законодательным и нормативным актам, регулирующим данную сферу деятельности
  • Экономическую целесообразность реализации проекта на создание системы защиты информации
  • Возможность реализации проекта на создание системы защиты информации

Результат экспертной оценки (экспертное заключение) содержит:

  • сведения об объекте Экспертизы
  • сведения о предмете Экспертизы
  • вид Экспертизы
  • сведения об экспертах
  • реквизиты Договора, в отношении которого проводилась Экспертиза
  • исходные данные, предоставленные Заказчиком для проведения Экспертизы
  • результаты проведения экспертных исследований (при наличии)
  • описание методики проведения Экспертизы
  • содержание проведенной Экспертизы, включая описание недостатков/недоработок, выявленные в ходе проведения Экспертизы со ссылками на нормативно-правовые документы
  • выводы эксперта (экспертной организации) о соответствии/несоответствии отчетной документации требованиям Договора, с указанием рекомендаций по их устранению

Заказ услуг