Нормативные документы

В государстве есть законы. В организации есть правила и требования. Любая¹⁾ сложная система снабжается руководством по эксплуатации, где написано, что и как делать, а чего делать нельзя. Чтобы не лишиться гарантии, не потерять работу, не оказаться в тюрьме. Все это нормативные документы, определяющие, предписывающие и регламентирующие.

Доктрина информационной безопасности РФ – как Конституции, такая же глобальная и такая же, в практическом смысле, бесполезная. Но она подводит фундамент под все остальное. Определяет «кто есть кто».

Федеральная служба по техническому и экспортному контролю занимается обеспечением информационной безопасности ключевых систем, противодействием техническим разведкам и технической защитой информации. Они решают, какая информация должны быть секретной и как надо эту секретность обеспечивать. Многочисленные приказы ФСТЭК определяют все эти вещи до мелочей.

Федеральная служба безопасности тоже имеет отношение к этой деятельности и их приказы в области информационной безопасности также являются частью правового пространства, в котором существует ИБ.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций ²⁾, в частности, контролирует исполнение федерального закона «О персональных данных»³⁾.

Это предметные документы, описывающие что и как необходимо делать. Стандарт Банка России для банковской отрасли, международный стандарт PCI DSS для участников платежных систем – это одновременно и «учебники» и «экзаменационная работа», по которой будут спрашивать.

Так называются государственные или международные отраслевые управляющие организации. ФСТЭК регулирует всю информационную безопасность в государстве, Центральный Банк регулирует деятельность кредитных организаций и так далее.

Это как раз те «экзаменаторы», которые проводят проверки и «ставят оценки». Постоянно «сдавая экзамены», организация продлевает свою лицензию, без которой заниматься определенными видами деятельности незаконно. Проверками, может заниматься как специально назначенные организации, так и независимые организации.

В общем виде под «соответствием» называется состояние, в котором организация все требования всех применимых нормативных документов. А так же процессы, которыми это состояние достигается.

Все это и есть «бумажная безопасность», в результате которой в организации должны быть все-все документы, обеспечивающее выполнение всех-всех требований всех-всех регуляторов. Из-за много- и разнообразия этих требований достижение полного соответствия сродни буддистской нирване – стремиться к ней можно всю жизнь, бесконечно приближаясь к Абсолюту. Особенно в стремительно меняющемся мире информационных технологий, когда любое изменение приводит к мучительному поиску новой «точки равновесия».