Нормативные документы #
В государстве есть законы. В организации есть правила и требования. Любая1 сложная система снабжается руководством по эксплуатации, где написано, что и как делать, а чего делать нельзя. Чтобы не лишиться гарантии, не потерять работу, не оказаться в тюрьме. Все это нормативные документы, определяющие, предписывающие и регламентирующие.
Законы #
Доктрина информационной безопасности РФ – как Конституции, такая же глобальная и такая же, в практическом смысле, бесполезная. Но она подводит фундамент под все остальное. Определяет “кто есть кто”.
Федеральная служба по техническому и экспортному контролю занимается обеспечением информационной безопасности ключевых систем, противодействием техническим разведкам и технической защитой информации. Они решают, какая информация должны быть секретной и как надо эту секретность обеспечивать. Многочисленные приказы ФСТЭК определяют все эти вещи до мелочей.
Федеральная служба безопасности тоже имеет отношение к этой деятельности и их приказы в области информационной безопасности также являются частью правового пространства, в котором существует ИБ.
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций2, в частности, контролирует исполнение федерального закона 152-ФЗ “О персональных данных”.
Регулирующие органы #
Так называются государственные или международные отраслевые управляющие организации. ФСТЭК регулирует всю информационную безопасность в государстве, Центральный Банк регулирует деятельность кредитных организаций и так далее.
Отраслевые стандарты #
Это предметные документы, описывающие что и как необходимо делать. Стандарт Банка России для банковской отрасли, международный стандарт PCI DSS для участников платежных систем – это одновременно и “учебники” и “экзаменационная работа”, по которой будут спрашивать.
Аудиторы #
Это как раз те “экзаменаторы”, которые проводят проверки и “ставят оценки”. Постоянно “сдавая экзамены”, организация продлевает свою лицензию, без которой заниматься определенными видами деятельности незаконно. Проверками, может заниматься как специально назначенные организации, так и независимые организации.
Соответствие #
В общем виде под “соответствием” называется состояние, в котором организация выполняет все-все требования всех-всех применимых нормативных документов. А так же процессы, которыми это состояние достигается.
Все это и есть “бумажная безопасность”. Из-за много- и разнообразия этих требований достижение полного соответствия сродни буддистской нирване – стремиться к ней можно всю жизнь, бесконечно приближаясь к Абсолюту. Особенно в стремительно меняющемся мире информационных технологий, когда любое изменение приводит к мучительному поиску новой точки равновесия, примиряя и уравновешивая порой противоречивые требования.