Система ИБ документации в организации

Система ИБ документации в организации
Не так давно наша Компания попала в реестр операторов персональных данных... но предварительно была создана кипа документов (с частью из которых еще и под роспись пришлось ознакомить всех коллег)... Вроде бы все самое страшное позади, но пакет документов остался, у него еще впереди плановый пересмотр...

Но параллельно этому пакету документов есть и ряд "не для галочки" - и этот "ряд" растет. Необходима разработанные документы вносить в отведенные для них ниши, в связи с чем сделал набросок системы документации (который еще будет дорабатываться, перерабатываться и т.д. - в чем, возможно, мне помогут читатели).

Система орг. документации по ИБ (кликабельно)
Иерархия следующая:

1. Политика ИБ

Определяет цели и задачи ИБ в организации

2. Положения

Определяют орг. структуры, выполняющие цели и задачи, их полномочия, а также основные принципы ИБ
- Положение о Комитете информационной безопасности - регламентирует деятельность коллективного органа (членов правления Компании), решения которых приравниваются к приказам генерального директора. Орган занимается стратегическим планированием.
- Положение о Департаменте ИБ - регламентирует деятельность исполнительного органа (контроллирует выполнение решений Комитета ИБ, занимается операционной деятельностью)
- Положение о ИБ - для ознакомления всех работников Компании. Описывает принципы и направления ИБ.

3. Регламенты

Подробно описывает каждое из направлений:
- Регламент предоставления доступа к информационным ресурсам - описывает, что такое информационные ресурсы, зачем к ним разграничивать доступ, что такое ролевая модель и т.п.
  • Список информационных ресурсов
  • Матрица доступа - описывает конкретные роли в каждой системе
  • Инструкция пользователя - как изменить свою роль (куда и в какой форме отправлять заявку, что указывать)
  • Инструкция администратора - как изменять роль, при получении заявки от пользователя, с кем должны быть согласованы изменения

- Регламент защиты информации ограниченного доступа - описывает, что это за информация, какие ее категории существуют в компании, базовые принципы защиты информации, ответственность за разглашение ИОД (с формой обязательства о неразглашении), кто и как относит информацию к ИОД
  • Инструкция по работе с информацией ограниченного доступа - как понять, что информация подлежит защите, как ее правильно промаркировать, какие действия запрещено, разрешено и необходимо осуществлять с информацией, чтобы она не попала "не в те руки"
  • Перечень информации ограниченного доступа

- Регламент проведения внутреннего расследования - описывает процедуру расследования (например, так , хотя можно намного лучше :)).
- Регламент по работе со средствами защиты информации - описывает что это такое и для чего это нужно. Также указывает, что компания вправе устанавливать на корпоративные компьютеры любые СЗИ.
  • Перечень СЗИ
  • Инструкции пользователей - описывает для тех СЗИ, для которых от пользователей требуется какие-то действия, как эти действия правильно осуществлять. Кроме того в инструкции расписано, что делать при сбоях и ошибках.
  • Инструкция администратора - описывает как и в каких случаях осуществлять установку, настройку СЗИ. Также в ней описаны типовые проблемы и способы их решения.

- Регламент по электронному взаимодействию - соглашение участников электронного документооборота, в рамках которого документы, подписанные простой электронной подписью (сформированные в системе из под учетной записи с определенным именем пользователя и паролем), считаются равносильными документам, подписанными собственноручной подписью (согласно ФЗ "Об ЭП").
  • Инструкция по парольной защите - дает рекомендации по генерации пароля, а также обязательные требования предъявляемые к паролю, частоте его смены, порядка обращения со своим паролем и т.п.

- Регламент управления рисками ИБ - описывает принципы управления рисками, цели управления рисками, дает необходимый глоссарий.
  • Методика управления рисками
  • Перечень рисков

- Регламент проведения аудитов ИБ
  • Перечень аудируемых систем
  • Инструкции по аудиту различных систем

Также на схеме особняком выделены документы по перс.данным. В идеале их необходимо раскидать по направлениям, интегрировать в систему... но реальность такова, что там много лишней информации, которая грозит "затмить" в головах пользователей главное.

P.S. Получил приглашение PHD 2014, уже открыты Call For Papers и стартовала регистрация (дело состоится в Digital October, 21, 22 мая). В прошлый раз почти все пропустил - попробую наверстать :)
Служба информационной безопасности Организационные средства защиты информации
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!