Не так давно наша Компания попала в реестр операторов персональных данных... но предварительно была создана кипа документов (с частью из которых еще и под роспись пришлось ознакомить всех коллег)... Вроде бы все самое страшное позади, но пакет документов остался, у него еще впереди плановый пересмотр...
Но параллельно этому пакету документов есть и ряд "не для галочки" - и этот "ряд" растет. Необходима разработанные документы вносить в отведенные для них ниши, в связи с чем сделал набросок системы документации (который еще будет дорабатываться, перерабатываться и т.д. - в чем, возможно, мне помогут читатели).
 |
| Система орг. документации по ИБ (кликабельно) |
1. Политика ИБ
Определяет цели и задачи ИБ в организации2. Положения
Определяют орг. структуры, выполняющие цели и задачи, их полномочия, а также основные принципы ИБ
- Положение о Комитете информационной безопасности - регламентирует деятельность коллективного органа (членов правления Компании), решения которых приравниваются к приказам генерального директора. Орган занимается стратегическим планированием.
- Положение о Департаменте ИБ - регламентирует деятельность исполнительного органа (контроллирует выполнение решений Комитета ИБ, занимается операционной деятельностью)
- Положение о ИБ - для ознакомления всех работников Компании. Описывает принципы и направления ИБ.
3. Регламенты
Подробно описывает каждое из направлений:
- Регламент предоставления доступа к информационным ресурсам - описывает, что такое информационные ресурсы, зачем к ним разграничивать доступ, что такое ролевая модель и т.п.
- Список информационных ресурсов
- Матрица доступа - описывает конкретные роли в каждой системе
- Инструкция пользователя - как изменить свою роль (куда и в какой форме отправлять заявку, что указывать)
- Инструкция администратора - как изменять роль, при получении заявки от пользователя, с кем должны быть согласованы изменения
- Регламент защиты информации ограниченного доступа - описывает, что это за информация, какие ее категории существуют в компании, базовые принципы защиты информации, ответственность за разглашение ИОД (с формой обязательства о неразглашении), кто и как относит информацию к ИОД
- Инструкция по работе с информацией ограниченного доступа - как понять, что информация подлежит защите, как ее правильно промаркировать, какие действия запрещено, разрешено и необходимо осуществлять с информацией, чтобы она не попала "не в те руки"
- Перечень информации ограниченного доступа
- Регламент проведения внутреннего расследования - описывает процедуру расследования (например, так , хотя можно намного лучше :)).
- Регламент по работе со средствами защиты информации - описывает что это такое и для чего это нужно. Также указывает, что компания вправе устанавливать на корпоративные компьютеры любые СЗИ.
- Перечень СЗИ
- Инструкции пользователей - описывает для тех СЗИ, для которых от пользователей требуется какие-то действия, как эти действия правильно осуществлять. Кроме того в инструкции расписано, что делать при сбоях и ошибках.
- Инструкция администратора - описывает как и в каких случаях осуществлять установку, настройку СЗИ. Также в ней описаны типовые проблемы и способы их решения.
- Регламент по электронному взаимодействию - соглашение участников электронного документооборота, в рамках которого документы, подписанные простой электронной подписью (сформированные в системе из под учетной записи с определенным именем пользователя и паролем), считаются равносильными документам, подписанными собственноручной подписью (согласно ФЗ "Об ЭП").
- Инструкция по парольной защите - дает рекомендации по генерации пароля, а также обязательные требования предъявляемые к паролю, частоте его смены, порядка обращения со своим паролем и т.п.
- Регламент управления рисками ИБ - описывает принципы управления рисками, цели управления рисками, дает необходимый глоссарий.
- Методика управления рисками
- Перечень рисков
- Регламент проведения аудитов ИБ
- Перечень аудируемых систем
- Инструкции по аудиту различных систем
Также на схеме особняком выделены документы по перс.данным. В идеале их необходимо раскидать по направлениям, интегрировать в систему... но реальность такова, что там много лишней информации, которая грозит "затмить" в головах пользователей главное.
P.S. Получил приглашение PHD 2014, уже открыты Call For Papers и стартовала регистрация (дело состоится в Digital October, 21, 22 мая). В прошлый раз почти все пропустил - попробую наверстать :)
