СОИБ. Анализ. Политики vs положения ИБ

СОИБ. Анализ. Политики vs положения ИБ
Постоянно спотыкаюсь о следующее противоречие: в лучших практиках, стандартах по ИБ рекомендуется четкая иерархия документов, с выделением общей политики ИБ, частных политик, документированных процедур и документов, содержащих свидетельства выполнения деятельности. При этом документы уровнем ниже общей политики ИБ рекомендуется разрабатывать короткими, понятными, заточенными под конкретную аудиторию, ограниченным конкретной областью действия; частные политики – включают только требования по определенной теме и ничего более; процедуры – включают правила как нужно делать; все без воды, без постатейного переписывания законодательства, без включения вводных разделов из учебника по ИБ.

По факту регулярно встречаюсь с фактом использования неких безразмерных положений о защите ПДн / ГИС / ИБ, которые часто включают в себя описание всевозможных угроз, всевозможных нарушителей, мер которые могут быть приняты, с цитированием всего законодательства РФ в области ИБ, с расшифровкой всех терминов в области ИБ, курс теории вероятностии т.п. Если выделяется отдельный документ по какой-то теме, то в нем так-же мешанина – и требования и процедуры и описание ролей и теория. Что делать пользователю / администратору с таким 50 – 100 – 200 страничным документом, совершенно непонятно. Полистать и забыть!

Как так получается? Давайте посмотрим, может быть есть какие-то требования или рекомендации делать такие документы-монстры ?

Русскоязычные документы, содержащие описание состава ОРД по ИБ:
ИСО МЭК 27001 (подробный перечень можно посмотреть у Андрея Прозорова ):
·         политика ИБ
·         частные политики ИБ
·         процедуры
·         записи / документированная информация
СТО БР ИББС:
·         корпоративная политика ИБ,
·         частные политики ИБ,
·         документы содержащие требования к процедурам обеспечения ИБ:
o   инструкции по обеспечению ИБ, в том числе и должностные;
o   руководства по обеспечению ИБ, например, по классификации активов;
o   методические указания по обеспечению ИБ;
o   документы, содержащие требования к конфигурациям,
·         документы содержащие записи о результатах деятельности:
o   реестры и описи;
o   регистрационные журналы, в том числе журналы регистрации инцидентов;
o   протоколы;
o   листы ознакомления;
o   обязательства;
o   акты;
o   договоры;
o   отчеты.
ПП 211 (перечень мер по защите ПДн для ГОС):
·         порядок
·         правила
·         перечни
·         формы

Англоязычные лучшие практики, содержащие описание состава ОРД по ИБ:
NIST:
·         IS policy
·         procedures
UNINETT led working group on security (No UFS126, Норвегия):
·         security policy
·         guidelines and principles for IS
·         standards and procedures for IS
SANS:
·         Governing Policy
·         Technical Policies
·         Job Aids / Guidelines
Australian Information Security Manual:
·         Information security policy
·         procedures
·         plans

Как видно, нет оснований для создания мега-документов по ИБ (хотя в русскоязычной области ИБ, кроме стандарта ЦБ РФ, больше вопросы документации ОРД по ИБ толком не проработаны)

Публичные примеры 1 , пример 2 , пример3 , пример 4 , пример 5 . А среди неопубликованных встречаются на порядок больше.

И хотя документы могут быть хорошо и правильно написаны, мое мнение что работать с таким мега-документом пользователям документа будет неудобно / невозможно.
Аргументы которые я слышал в пользу таких документов: это удобно для ИБшника, когда всё в одном документе; легче утверждать и обновлять 1 документ чем 30 документов;  удобно при проверках.

Как правило, если мне приходится разрабатывать документы, стараюсь соответствовать лучшим практикам и делать короткие простые документы  - удается уложится до 10 листов для политики ИБ, по 2  листа на частные политики и 3-5 листов на регламенты/порядки/процедуры.
Для удобства при утверждении и обновлении, предлагаю объединять в один пакет политик, который утверждается разом, но каждый документ может использоваться по отдельности. А для удобства использования ИБшником и при проверках – лучше заранее готовить папочки или использовать системы управления документацией.


Коллеги, а какими практиками вы пользуетесь при разработке структуры документов по ИБ?
Alt text

Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.