Ряд положения рекомендаций меня заинтересовал. Начну с раздела «термины», - в последнее время это, как правило, самый спорный раздел нормативных актов.
3.4. Информационный актив: информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации БС РФ; находящаяся в распоряжении организации БС РФ и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме.
Если сравнить данное определение с делопроизводческой терминологией, то получается интересный вывод: в качестве информационных активов Банк России рассматривает документы, и только их!
Порадовал п. 4.5 о необходимости «формирования перечней типов объектов среды», в котором, в качестве одного из типов объекта, указаны «носители информации, в том числе бумажные носители». Это, наверное, первый случай, когда специалисты ИБ согласились с тем, что бумажные носители также подпадают в сферу их ответственности.
Ещё мне показалось интересным Приложение 1 «Рекомендуемый перечень классов, основных источников угроз ИБ и их описание». Набор источников угроз весьма широк, но моё внимание привлекли те пункты, которые, с моей точки зрения, непосредственно относятся к вопросам управления документами в организации:
| Источник угрозы ИБ | Описание |
|---|---|
| Класс 3. Источники угроз ИБ, связанные с деятельностью поставщиков/провайдеров/партнеров | |
| Разработка и использование некачественной документации | Некачественное выполнение документированного описания технологических процессов обработки, хранения, передачи данных, руководств для персонала, участвующего в этих технологических процессах, а также описания средств обеспечения ИБ и руководств по их использованию |
| Класс 4. Источники угроз ИБ, связанные со сбоями, отказами, разрушениями/повреждениями программных и технических средств | |
| Нарушения функциональности архивной системы | Нарушение конфиденциальности и целостности архивных данных и/или непредоставление услуг архивной системой (нарушение доступности) вследствие случайных ошибок пользователей или неправильного управления архивной системой, а также вследствие физических воздействий на компоненты архивной системы |
| Класс 6. Источники угроз ИБ, связанные с деятельностью внешних нарушителей ИБ | |
| Неконтролируемое уничтожение информационного актива | Неумышленное уничтожение информационных активов. Возможные причины: сбои оборудования, природные факторы и техногенные катастрофы. Возможные последствия: прямой ущерб организации |
| Класс 7. Источники угроз ИБ, связанные с несоответствием требованиям надзорных и регулирующих органов, действующему законодательству | |
| Несоответствие внутренних документов действующему законодательству | Несоответствие деятельности может привести к административным и уголовным санкциям со стороны судебных, надзорных и регулирующих органов в отношении должностных лиц подразделения, вызвать остановку отдельных видов деятельности |
| Изменчивость и несогласованность требований надзорных и регулирующих органов, вышестоящих инстанций | Непостоянство, различия и коллизии в содержании требований и/или порядке их выполнения способны дезорганизовать деятельность подразделения или его отдельных служб, снизить ее эффективность и качество, а при определенных обстоятельствах - затруднить ее осуществление. Способствует"размыванию" или пересечению зон ответственности исполнителей и служб, манипуляции со стороны ответственных лиц и служб своими правами и обязанностями в ущерб общей деятельности. Приводит к перераспределению ресурсов в пользу той деятельности (зачастую не основной), за несоблюдение требований к которой наказание наиболее ощутимо для организации (должностного лица) |
Радует, что постепенно вопросы соответствия законодательно-нормативным требованиям и организации надлежащего хранения информации на всех видах носителей постепенно находят своё законное место среди других вопросов обеспечения информационной безопасности организаций (пусть пока только кредитных).
Эти положения специалистам в области управления документацией необходимо обязательно использовать для того, чтобы увязать собственную деятельность со столь важным и, самое главное, хорошо финансируемым направлением деятельности организации.
Текст документа доступен по адресу: http://www.consultant.ru/online/base/?req=doc;base=LAW;n=94789
Комментариев нет:
Отправить комментарий