Informācijas drošības procesa organizēšana – prasību definēšana un dokumentācijas izstrāde

Lai arī informācijas aizsardzības pamatprincipi, kas ietver informācijas drošības prasību definēšanu, prasībām atbilstošo risinājumu un kontroles procedūru ieviešanu, un ieviesto risinājumu darbības pilnības pārbaudi, ir zināmi gandrīz ikvienam, reālā situācija bieži vien parāda krietni vien savādāku situāciju.

Ļoti bieži ir nācies saskarties ar situāciju, kad organizācijas darbinieki noteiktu iekšējo vai ārējo uzstādījumu rezultātā ir sagatavojuši dažādus ar informācijas drošības nodrošinājumu un pārvaldību saistītus dokumentus, kuru saturs atbilst gan LR normatīvo aktu prasībām nereti tās pat pārsniedzot, gan informācijas drošības pārvaldības labākajai praksei (standartiem, rekomendācijām). Šāda situācija pati par sevi ir tikai apsveicama, tomēr…

…reālā prakse ļoti daudzos gadījumos liecina, ka šī dokumentācija tiek izstrādāta nesalāgojot tajā ietvertās prasības un nosacījumus ar praktiskajām organizācijā veiktajām darbībām informācijas drošības pārvaldībā. Līdz ar to lielākā daļā no organizācijas drošības dokumentācijā ietvertajiem nosacījumiem un procedūrām tā arī paliek tikai kā labi aprakstītas prozas rindas, kas nevienā brīdī reāli netiek īstenotas. Šādas dokumentācijas esamība nereti rada viltus drošības sajūtu organizācijas vadībai, jo iepazīstoties ar sagatavotajiem dokumentiem rodas uzskats, ka organizācijas ietvaros tiek piemērots ļoti augsts informācijas drošības līmenis, lai arī ieviestie drošības risinājumi ļoti daudzos gadījumos nenodrošina pat minimālo drošības prasību izpildi. Principā organizācijā veidojas divas paralēlās dzīvēs – viena ir atvēlēta drošības dokumentācijai, bet otra reālajiem risinājumiem.

Lai novērstu šādu situāciju rašanos organizācijas atbildīgajām personām, kuru ikdienas pienākumus ietilpst informācijas drošības plānošana un ieviešana nevajadzētu akli pārrakstīt informācijas drošības standartos ietverto informāciju un prasības, bet rūpīgi izvērtēt to nosacījumus definējot organizācijai kritiskos informācijas aizsardzības aspektus un nosacījumus, kuriem uzmanība var tikt pievērsta tikai vispārējā līmenī. Nevajag aizmirst, ka informācijas drošības dokumentācijas smaguma un lapas pušu skaita apjoms nenodrošina pilnīgu nekādu informācijas aizsardzību.

Organizācijām nevajag baidīties pielietot vienkāršas, bet efektīvas procedūras, kuras tās reāli var īstenot, aizstājot smagnējos un detalizētos procedūru aprakstus informācijas drošības dokumentācijā, kuri paši par sevi jau liecina, ka nav darboties spējīgi.

Tikai gadījumā, ja plānojot informācijas drošības nodrošinājumu, un tam piemērojamos risinājumus tiks izvērtētas šo risinājumu praktiskās ieviešanas iespējas, organizācija var nodrošināt kontrolētu informācijas aizsardzību tās ietvaros. Līdz ar to organizācijas pamata mērķis ir nepieļaut paralēlo dzīvju rašanos starp informācijas drošības dokumentāciju un reāli ieviestajiem risinājumiem.