Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

СОИБ. Анализ. Политики vs положения ИБ

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()
Постоянно спотыкаюсь о следующее противоречие: в лучших практиках, стандартах по ИБ рекомендуется четкая иерархия документов, с выделением общей политики ИБ, частных политик, документированных процедур и документов, содержащих свидетельства выполнения деятельности. При этом документы уровнем ниже общей политики ИБ рекомендуется разрабатывать короткими, понятными, заточенными под конкретную аудиторию, ограниченным конкретной областью действия; частные политики – включают только требования по определенной теме и ничего более; процедуры – включают правила как нужно делать; все без воды, без постатейного переписывания законодательства, без включения вводных разделов из учебника по ИБ.


По факту регулярно встречаюсь с фактом использования неких безразмерных положений о защите ПДн / ГИС / ИБ, которые часто включают в себя описание всевозможных угроз, всевозможных нарушителей, мер которые могут быть приняты, с цитированием всего законодательства РФ в области ИБ, с расшифровкой всех терминов в области ИБ, курс теории вероятности и т.п. Если выделяется отдельный документ по какой-то теме, то в нем так-же мешанина – и требования и процедуры и описание ролей и теория. Что делать пользователю / администратору с таким 50 – 100 – 200 страничным документом, совершенно непонятно. Полистать и забыть!


Как так получается? Давайте посмотрим, может быть есть какие-то требования или рекомендации делать такие документы-монстры?


Русскоязычные документы, содержащие описание состава ОРД по ИБ:

ИСО МЭК 27001 (подробный перечень можно посмотреть у Андрея Прозорова):

·         политика ИБ

·         частные политики ИБ

·         процедуры

·         записи / документированная информация

СТО БР ИББС:

·         корпоративная политика ИБ,

·         частные политики ИБ,

·         документы содержащие требования к процедурам обеспечения ИБ:

o   инструкции по обеспечению ИБ, в том числе и должностные;

o   руководства по обеспечению ИБ, например, по классификации активов;

o   методические указания по обеспечению ИБ;

o   документы, содержащие требования к конфигурациям,

·         документы содержащие записи о результатах деятельности:

o   реестры и описи;

o   регистрационные журналы, в том числе журналы регистрации инцидентов;

o   протоколы;

o   листы ознакомления;

o   обязательства;

o   акты;

o   договоры;

o   отчеты.

ПП 211 (перечень мер по защите ПДн для ГОС):

·         порядок

·         правила

·         перечни

·         формы


Англоязычные лучшие практики, содержащие описание состава ОРД по ИБ:

NIST:

·         IS policy

·         procedures



UNINETT led working group on security (No UFS126, Норвегия):

·         security policy

·         guidelines and principles for IS

·         standards and procedures for IS


·         Governing Policy

·         Technical Policies

·         Job Aids / Guidelines


·         Information security policy

·         procedures

·         plans



Как видно, нет оснований для создания мега-документов по ИБ (хотя в русскоязычной области ИБ, кроме стандарта ЦБ РФ, больше вопросы документации ОРД по ИБ толком не проработаны)


Публичные примеры 1, пример 2, пример3, пример 4, пример 5. А среди неопубликованных встречаются на порядок больше.


И хотя документы могут быть хорошо и правильно написаны, мое мнение что работать с таким мега-документом пользователям документа будет неудобно / невозможно.

Аргументы которые я слышал в пользу таких документов: это удобно для ИБшника, когда всё в одном документе; легче утверждать и обновлять 1 документ чем 30 документов;  удобно при проверках.


Как правило, если мне приходится разрабатывать документы, стараюсь соответствовать лучшим практикам и делать короткие простые документы - удается уложится до 10 листов для политики ИБ, по 2  листа на частные политики и 3-5 листов на регламенты/порядки/процедуры.
Для удобства при утверждении и обновлении, предлагаю объединять в один пакет политик, который утверждается разом, но каждый документ может использоваться по отдельности. А для удобства использования ИБшником и при проверках – лучше заранее готовить папочки или использовать системы управления документацией.



Коллеги, а какими практиками вы пользуетесь при разработке структуры документов по ИБ?

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.