23 Марта, 2012

СЗПДн. Перечень документации

Andrey Prozorov

 
Я уже писал про нормативные документы по ПДн и основные требования , про роли и ответственность ( ч.1 и ч.2 ), давал комментарии по поводу политики обработки ПДн . Сегодня расскажу про свое видениесистемы организационно-распорядительных документов, регламентирующих обработку и обеспечение безопасности ПДн, которые я рекомендую к разработке и внедрению в компаниях - Операторах ПДн.

P.S. в данном посте я не рассматриваю вопросы проектирования СЗПДн, а просто пишу технический проект СЗПДн (комплект). Данный вопрос достаточно хорошо регламентирован соответствующими ГОСТами, и хотя у меня есть свое мнение о составе и содержании именно проектных документов на СЗПДн, а также их целесообразности, но в этом посте я его озвучивать не буду.



name='more'> Перечень документов ( майндкарта ):

Итого перечень:

1. Общие положения:
1.1. Политика в отношении обработки ПДн
1.2. Положение об обработке ПДн
1.3. Положение об обеспечении безопасности ПДн
1.4. Положение о распределении ответственности за обработку и обеспечение безопасности ПДн
1.5. Комплект приказов:
  - Приказ о назначении ответственного и создании СЗПДн
  - Приказ о допуске сотрудников к обработке ПДн
  - Приказ о внедрении СЗПДн

2. Проектирование СЗПДн
2.1. Перечень ПДн
2.2. Перечень лиц, допущенных к обработке ПДн
2.3. Перечень ИСПДн
2.4. Описание ИСПДн
2.5. Акты классификации ИСПДн
2.6. Модель угроз СЗПДн + протокол об оценке ущерба
2.7. План мероприятий по обеспечению безопасности ПДн
2.8. Технический проект на СЗПДн (комплект документов)

3. Обеспечение ИБ
3.1. Положение об антивирусной защите
3.2. Положение о парольной защите
3.3. Положение о физической безопасности и контроле доступа на территорию
3.4. Положение о допустимом использовании ресурсов
3.5. Регламент инструктажа сотрудников
3.6. Регламент предоставления и изменения прав доступа к информационным ресурсам
3.7. Регламент реагирования на запросы субъектов ПДн
3.8. Регламент проведения мероприятий по контролю обработки и защиты ПДн
3.9. Положение о маркировании носителей персональных данных

4. Инструкции и памятки
4.1. Памятка администратору
4.2. Памятка пользователю
4.3. Памятка аудитору (контролеру) СЗПДн
4.4. Инструкция по организации резервного копирования и восстановления информации

5. Справочная информация
5.1. Перечень лиц, допущенных в серверное помещение
5.2. Перечень внутренних документов, регламентирующих обработку и обеспечение безопасности ПДн
5.3. Перечень внешних документов, регламентирующих обработку и обеспечение безопасности ПДн
5.4. Перечень СЗИ
5.5. Перечень администраторов средств обработки и защиты информации

6. Прочие
6.1. правки в
    - Должностные инструкции сотрудников, обрабатывающих ПДн
    - Должностные инструкции сотрудников, обеспечивающих ИБ и поддержку ИТ
    - Положения о подразделениях
    - Договора с 3ми лицами
    - Договора с сотрудниками
6.2. Соглашение на обработку ПД (шаблон)
6.3. Уведомление РКН

7. Журналы
7.1. Журнал инструктажа сотрудников по вопросам ИБ
7.2. Журнал учета мероприятий по обеспечению и контролю безопасности ПДн
7.3. Журнал учета запросов и обращений субъектов ПДн, их законных представителей и государственных контролирующих органов
7.4. Журнал учета мобильных носителей
7.5. Журнал учета съемных носителей информации
7.6. Журнал учета пропуска лиц на территорию
_________________________________________________________________________________


Далее, примеры документов, которые часто включают в список "необходимых" документов по ПДн и краткие комментарии по ним. Я не призываю полностью отказываться от них, на определенных этапах развития компании (ее процессов) они вполне могут появиться (некоторые должны появиться), но я бы их отложил до лучших времен, сосредоточившись на документах, приведенных выше (все же блог называется 80на20 - принцип Парето)

Документы (тип/область)
Комментарий
1.     
Верхнеуровневые документы ИБ и ИТ
(Концепция ИБ, Стратегия ИБ, Политика ИБ, Стратегия ИТ и пр.)
Да, верхнеуровневые документы важны, и если они в компании разработаны, то все ОРД по ПДн должны на них ориентироваться. Однако в системе защиты ПДн без них можно обойтись
2.     
Управление инцидентами
(Регламент реагирования на инциденты ИБ, Инструкция по действиям персонала в нештатных ситуациях и пр.)
Документы связанные с управлением инцидентами и непрерывностью бизнеса (восстановлением после аварий) важны и полезны. Однако они не так просты и очевидны, по-хорошему следует разрабатывать целые комплекты документов (положения, процедуры, инструкции, планы и т.д.). Обычно одним-двумя документом не отделаешься, они будут «не рабочими». Если все же хочется заложить основные принципы и требования, то это можно сделать в документе «Положение об обеспечении безопасности ПДн», если хочется чего-то больше, то следует рассмотреть основные сценарии угроз ИБ и написать процедуры реагирования на них. Ну, например,
«что делать если вырубило электричество», «что делать при краже ноутбука»,«что делать при отказе сервера ХХХ», «что делать при потере пароля к ХХХ»
3.     
Управление изменениями
(Инструкции по модификации и техническому обслуживанию ИСПДн,
Инструкции по внесению изменений в ИСПДн и пр.)
Опять же считаю тему управления изменениями не слишком простой, чтобы в паре документов писать общие фразы, это можно сделать, например, в «Положении об обеспечении безопасности ПДн».
Если хочется все же документировать эту область, то сделать это лучше отдельным проектом
4.     
Детализированные инструкции по обработке ПДн
(Положение о порядке обработки ПДн, Инструкция по работе с ПДн без использования средств автоматизации и пр.)
Тоже излишни, основные моменты можно прописать в «Положении об обработке ПДн»
5.     
Допуск к ПДн
(Регламент допуска сотрудников к обработке ПДн, Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам ИСПДн и пр.)
+ Сюда же можно отнести тоже "шикарный" документ под названием "Положение об электронном журнале учета обращений пользователей к ПДн"
В рамках защиты ПДн вполне достаточно основные моменты прописать в «Положении об обработке ПДн» и «Положении об обеспечении безопасности ПДн». Если есть желание, то можно разработать документ «Процедура предоставления и изменения прав доступа к информационным ресурсам».
Если хочется все же хорошо документировать область управления доступом, то сделать это лучше отдельным проектом
6.     
Архив
(Регламент передачи ПДн в архивное хранение и пр.)
Тоже не рассматривал бы в рамках проекта по ПДн. Архивное хранение и все что с ним связано достаточно четко регламентировано соответствующими законами и подзаконными актами
7.     
Уничтожение носителей
(Порядок уничтожения носителей ПДн и пр.)
В рамках защиты ПДн вполне достаточно основные моменты прописать в «Положении об обработке ПДн» и «Положении об обеспечении безопасности ПДн»
8.     
Учет СЗИ
(Порядок учета СЗИ, 
Инструкция по учету средств обработки и защиты ПДн и пр.)
Тоже достаточно спорные документы. По нормальному в организации сначала необходимо построить систему учета лицензий ПО, затем можно уже переходить к управлению активами (конфигурационными единицами). А это не такие простые области/процессы. Данную область следует рассматривать отдельно от проета ПДн
9.     
Учет носителей ПДн
(Регламент учета носителей ПДн и пр.)
Обычно не «живой» документ, имеет смысл общие требования отразить в «Положении о допустимом использовании ресурсов»


Более подробно по составу и содержанию документов в этом посте писать не буду, если есть вопросы, комментарии и предложения, то с удовольствием отвечу в комментариях к посту. Если вопросов будет много, то напишу продолжение.