Концепция информационной безопасности представляет собой базис политики информационной безопасности предприятия, её фундамент и является основным документом при разработке регламента обеспечения информационной безопасности предприятия.

В концепции информационной безопасности определены возможные угрозы для информационной безопасности предприятия, а также методы защиты информационных ресурсов, требования и задачи контроля обеспечения информационной безопасности. Намечаются средства и методы обеспечения постоянной защиты информации и обеспечения непрерывности процессов, связанных с применением информационных систем.

Состав концепции информационной безопасности предприятия

Концепция описывает политику информационной безопасности, цели и основные задачи политики информационной безопасности, общую стратегию предприятия в части защиты информации. На уровне общих требований политики информационной безопасности выделяется три уровня нормативных документов, которые должны быть разработаны при обеспечении политики информационной безопасности:

• требования стратегического уровень;
• регламентный уровень / уровень технического регламента);
• руководящий уровень.

В концепции описаны требования организации защиты информации на предприятии, классификации информационных ресурсов предприятия, рассмотрены операционные процессы и обязанности исполнителей. Также намечены проблемы информационной безопасности в части действий отдельных сотрудников (персонала), физической защиты информации (вопросы физическое безопасности данных), администрирования систем и компьютерных сетей, в том числе на этапах проектирования, установки и запуска в эксплуатацию, обслуживания, защиты от вредоносного программного обеспечения, резервного копирования данных (информации), сетевого администрирования, оперирования с носителями информации, защиты носителей информации, а также обмена данными с компьютерными программами.

Детально описана стратегия в части управления доступом к информационным системам и информационной безопасности программного обеспечения, в том числе разграничение доступа, контроля использования информационных систем, обеспечения информационной безопасность программного обеспечения в процессе его разработки, а также использования и сопровождения. Рассмотрены вопросы обеспечения интеграции средств защиты информации в программное обеспечение, а также бесперебойной работы всех процессов, связанных с применением автоматизированных информационных систем. В завершении рассматривается стратегия контроля обеспечения информационной безопасности.