Разработка организационно-распорядительной документации

documents-1427202_eЗащита информации включает в себя комплекс организационных и технических мер, направленных на обеспечение безопасности свойств информации (конфиденциальность, целостность, доступность). Очевидно, что базисом системы защиты информации являются организационные меры, которые должны быть задокументированы в форме приказов, перечней, регламентов, инструкций, положений, руководств, регламентов, стандартов и т.д. Но и технические меры также предваряются разработкой документации, например: технический паспорт, модель угроз, техническое задание на разработку системы защиты информации, технический проект и т.д.

Разработка организационно-распорядительной и технической документации, отвечающей требованиям безопасности информации, регламентирующей процессы системы защиты информации на всех этапах её существования, сложная и трудоёмкая задача.  Во многих организациях или отсутствует документация, или это набор документов — шаблонов, наличие которых не влияет на процессы, связанные с деятельностью по защите информации.

Перечень необходимых документов может меняться в зависимости от специфики объектов информатизации, на которых планируется обрабатывать защищаемую информацию.Первоначально определяются защищаемые объекты, назначаются лица, ответственные за организацию защиты информации, устанавливаются угрозы безопасности защищаемой информации, разрабатывается техническое задание на создание защищённого объекта информатизации. На следующих этапах выполняется проектирование, ввод в действие и сопровождение объекта. На каждом из этапов разрабатывается соответствующая документация: эскизный проект; технический проект; рабочая документация, материалы по аттестации объекта информатизации и т.д.

Основой для построения системы защиты информации являются требования законодательства РФ, нормативные акты ФСТЭК и ФСБ России, контрактные требования организации, а также условия ведения бизнеса, выраженные на основе идентификации защищаемых активов, построения модели нарушителей и угроз.

При формировании и разработке организационно-распорядительной и технической документации по защите информации задачами Руководства организации являются:инициализация,поддержка и контроль выполнения процессов. Степень выполнения указанной деятельности со стороны руководства организации определяется осознанием необходимости обеспечения информационной безопасности (ИБ) организации. Осознание необходимости обеспечения ИБ организации  проявляется в использовании руководством организации бизнес-преимуществ обеспечения ИБ, способствующих формированию условий для дальнейшего развития бизнеса организации с допустимыми рисками.  Осознание необходимости обеспечения ИБ является внутренним побудительным мотивом руководства организации постоянно инициировать, поддерживать, анализировать и контролировать систему обеспечения информационной безопасности, в отличие от ситуации, когда решение о выполнении указанных видов деятельности либо принимается в результате возникших проблем, либо определяется внешними факторами.

При разработке документированной политики информационной безопасности организации обычно рассматриваются четыре группы процессов (в соответствии с требованиями ГОСТ Р 51583-2014, ГОСТ Р ИСО/МЭК 27001-2006 и СТО БР ИББС-1.0-2014):

  • планирование системы обеспечения информационной безопасности («планирование»);
  • реализация системы обеспечения информационной безопасности («реализация»);
  • мониторинг и анализ системы обеспечения информационной безопасности («проверка»);
  • поддержка и улучшение системы обеспечения информационной безопасности («совершенствование»).

При документировании процессов рекомендуется  разрабатывать следующие виды документов:

  • 1 уровень: документы, содержащие положения корпоративной политики (концептуальные, декларирующие или устанавливающие общие требования);
  • 2 уровень: документы, определяющие правила, требования и принципы, используемые применительно к отдельным областям ИБ, видам и технологиям деятельности ПРЕДПРИЯТИЯ, планы работ по обеспечению ИБ;
  • 3 уровень: документы, содержащие требования, правила по выполнению технологических процессов (инструкции; матрицы доступа; методические указания; документы, содержащие требования к конфигурациям).
  • 4 уровень: документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ (журналы; карточки и т.д.)

Примерный перечень организационно-распорядительных документов по защите персональных данных при их автоматизированной обработке может выглядеть следующим образом (таблица № 1)

Таблица 1. Документированная СМИБ

Уровень документов Наименование документа Процесс Требования НМД по защите ПДн
1 уровень 

(Коцептуальные, декларирующие или устанавливающие общие требования)

Политика в отношении обработки персональных данных информационной системы персональных данных «ХХХХХХ» 1;4 Статья 18.1 152-ФЗ «О персональных данных»
Частная модель угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных «ХХХХХХ» 1;4 Статья 19 152-ФЗ «О персональных данных»,ПП РФ от 1.11.2012 № 1119
Перечень сведений о субъектах персональных данных, подлежащих защите при их обработке в информационной системе персональных данных «ХХХХХХ» 1;4 Статья 14.4 149-ФЗ «Об информации..»,п 6 ПП РФ от 1.11.2012 № 1119
Акт классификации информационной системы персональных данных  «ХХХХХХ» 1;4 ПП РФ от 1.11.2012 № 1119,п 14.2, 14.3 Приказа ФСТЭК от 18.02.2013 № 17
Положение об организации и проведении работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных «ХХХХХХ» 1;2 ФЗ «О персональных данных»,ПП РФ от 1.11.2012 № 1119
2 уровень

Документы, определяющие правила, требования и принципы, используемые применительно к отдельнымобластям ИБ, видам и технологиям деятельности организации,планы работ пообеспечению ИБ

 

 

План контролируемой зоны головного офиса 1,4 п. 13 ПП РФ от 1.11.2012 № 1119,СТР-К, утв. приказом Гостехкомиссии России от 30 августа 2002г. № 282
План действий в непредвиденных ситуациях и  требования к обучению действиям в непредвиденных ситуациях. 1,2
Годовой план. Мероприятия по организации защиты персональных данных в информационной системе персональных данных «ХХХХХХ» 1-4
Регламент. Физическая защита информационной системы персональных данных «ХХХХХХ» 2 Приказ ФСТЭК России от 11.02.2013 № 21СТР-К, утв. приказом Гостехкомиссии России от 30 августа 2002г. № 282
Регламент. Физическая защита информационной системы персональных данных «ХХХХХХ» 2
Регламент. Управление доступом пользователей к ресурсам информационной системы персональных данных «ХХХХХ»  и ресурсам сети интернет. 2 Приказ ФСТЭК России от 11.02.2013 № 21СТР-К, утв. приказом Гостехкомиссии России от 30 августа 2002г. № 282
Регламент. Порядок проведения ремонта и обслуживания технических средств информационной системы персональных данных «ХХХХХХ» и вывода их из эксплуатации. 2-4 Приказ ФСТЭК России от 11.02.2013 № 21СТР-К, утв. приказом Гостехкомиссии России от 30.08.2002 № 282
Регламент. Порядок проведения резервного копирования данных в информационной системе персональных данных «ХХХХХХ». 2
Регламент. Объемы и периодичность проверок, контрольных испытаний информационной системы персональных данных «ХХХХХХ» 3
Регламент. Порядок обеспечение безопасности обработки персональных данных при возникновении нештатных ситуаций в информационной системе персональных данных «ХХХХХХ» 2
Регламент. Порядок управление инцидентами информационной безопасности в информационной системе персональных данных «ХХХХХХ» 2
Регламент. Организация антивирусного контроля в информационной системе персональных данных «ХХХХХХ» 2;3
3 уровень

Документы, содержащие требования, правила по выполнению технологических процессов: инструкции; матрицы доступа; методические указания; документы, содержащие требования к конфигурациям.

Матрица разграничения доступа к ресурсам информационных систем персональных данных
Инструкция по мерам безопасности при работе с криптографическими ключами. 2
Инструкция пользователю информационной системы персональных данных 2
Стандарт организации информационная система персональных данных «ХХХХХХ» программно-аппаратные средства АРМ и серверов. Требования 2-3 Приказ ФСТЭК России от 11.02.2013 № 21СТР-К, утв. приказом Гостехкомиссии России от 30.08.2002 № 282
Перечень работников, допущенных к обработке персональных данных 2-3 п. 13 ПП РФ от 1.11.2012 № 1119
Положение о видеонаблюдении  и звуковом контроле. 2-3 ТК РФ, З-нРф от 11.03.1992 № 2487-1
Технический паспорт на информационную систему персональных данных 2-3 СТР-К, утв. приказом Гостехкомиссии России  № 7.2/02.03.2001
4 уровень

Документы, содержащие свидетельствавыполненной деятельности по обеспечению ИБ

Ежеквартальные (ежемесячные) отчёты по ИБ информационных систем персональных данных 2-3
Обязательства сотрудников о неразглашении сведений конфиденциального  характера (персональных данных) 2-3
Журнал учёта документов для служебного пользования 2-3 ПП РФ от 3 ноября 1994 г. № 1233
Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов. 2-3 Приказ ФАПСИ
от 13 июня 2001 г. № 152
Журнал учета посещения объектов информатизации сторонними лицами 2-3
Журнал учета посещения серверного помещения 2-3
Журнал учета инцидентов информационной безопасности в информационной системе персональных данных «ХХХХХХ» 2-3
Журнал учета обращений субъектов персональных данных 2-3
Акты о стирании конфиденциальной информации, уничтожении машинных носителей конфиденциальной информации, машинных документов, числящихся на учете 2-3
Журнал учёта резервного копирования 2-3
Журнал учета машинных носителей 2-3 ПП РФ от 3 ноября 1994 г. № 1233

 

Примеры некоторых документов на различные объекты информатизации приведены здесь.

Ориентировочная стоимость разработки организационно-распорядительной и технической документации.