Постоянно спотыкаюсь о следующее противоречие: в лучших практиках, стандартах по ИБ рекомендуется четкая иерархия документов, с выделением общей политики ИБ, частных политик, документированных процедур и документов, содержащих свидетельства выполнения деятельности. При этом документы уровнем ниже общей политики ИБ рекомендуется разрабатывать короткими, понятными, заточенными под конкретную аудиторию, ограниченным конкретной областью действия; частные политики – включают только требования по определенной теме и ничего более; процедуры – включают правила как нужно делать; все без воды, без постатейного переписывания законодательства, без включения вводных разделов из учебника по ИБ.
По факту регулярно встречаюсь с фактом использования неких безразмерных положений о защите ПДн / ГИС / ИБ, которые часто включают в себя описание всевозможных угроз, всевозможных нарушителей, мер которые могут быть приняты, с цитированием всего законодательства РФ в области ИБ, с расшифровкой всех терминов в области ИБ, курс теории вероятностии т.п. Если выделяется отдельный документ по какой-то теме, то в нем так-же мешанина – и требования и процедуры и описание ролей и теория. Что делать пользователю / администратору с таким 50 – 100 – 200 страничным документом, совершенно непонятно. Полистать и забыть!
Как так получается? Давайте посмотрим, может быть есть какие-то требования или рекомендации делать такие документы-монстры ?
Русскоязычные документы, содержащие описание состава ОРД по ИБ:
ИСО МЭК 27001 (подробный перечень можно посмотреть у Андрея Прозорова ):
·
политика ИБ
·
частные политики ИБ
·
процедуры
·
записи / документированная информация
СТО БР ИББС:
·
корпоративная политика ИБ,
·
частные политики ИБ,
·
документы содержащие требования к процедурам обеспечения ИБ:
o
инструкции по обеспечению ИБ, в том числе и должностные;
o
руководства по обеспечению ИБ, например, по классификации активов;
o
методические указания по обеспечению ИБ;
o
документы, содержащие требования к конфигурациям,
·
документы содержащие записи о результатах деятельности:
o
реестры и описи;
o
регистрационные журналы, в том числе журналы регистрации инцидентов;
o
протоколы;
o
листы ознакомления;
o
обязательства;
o
акты;
o
договоры;
o
отчеты.
ПП 211 (перечень мер по защите ПДн для ГОС):
·
порядок
·
правила
·
перечни
·
формы
Англоязычные лучшие практики, содержащие описание состава ОРД по ИБ:
NIST:
·
IS policy
·
procedures
UNINETT led working group on security (No UFS126, Норвегия):
·
security policy
·
guidelines and principles for IS
·
standards and procedures for IS
SANS:
·
Governing Policy
·
Technical Policies
·
Job Aids / Guidelines
Australian Information Security Manual:
·
Information security policy
·
procedures
·
plans
Как видно, нет оснований для создания мега-документов по ИБ (хотя в русскоязычной области ИБ, кроме стандарта ЦБ РФ, больше вопросы документации ОРД по ИБ толком не проработаны)
Публичные примеры 1 , пример 2 , пример3 , пример 4 , пример 5 . А среди неопубликованных встречаются на порядок больше.
И хотя документы могут быть хорошо и правильно написаны, мое мнение что работать с таким мега-документом пользователям документа будет неудобно / невозможно.
Аргументы которые я слышал в пользу таких документов: это удобно для ИБшника, когда всё в одном документе; легче утверждать и обновлять 1 документ чем 30 документов; удобно при проверках.
Как правило, если мне приходится разрабатывать документы, стараюсь соответствовать лучшим практикам и делать короткие простые документы - удается уложится до 10 листов для политики ИБ, по 2 листа на частные политики и 3-5 листов на регламенты/порядки/процедуры.
Для удобства при утверждении и обновлении, предлагаю объединять в один пакет политик, который утверждается разом, но каждый документ может использоваться по отдельности. А для удобства использования ИБшником и при проверках – лучше заранее готовить папочки или использовать системы управления документацией.
Коллеги, а какими практиками вы пользуетесь при разработке структуры документов по ИБ?
