понедельник, 22 июня 2015 г.

СОИБ. Анализ. Политики vs положения ИБ

Постоянно спотыкаюсь о следующее противоречие: в лучших практиках, стандартах по ИБ рекомендуется четкая иерархия документов, с выделением общей политики ИБ, частных политик, документированных процедур и документов, содержащих свидетельства выполнения деятельности. При этом документы уровнем ниже общей политики ИБ рекомендуется разрабатывать короткими, понятными, заточенными под конкретную аудиторию, ограниченным конкретной областью действия; частные политики – включают только требования по определенной теме и ничего более; процедуры – включают правила как нужно делать; все без воды, без постатейного переписывания законодательства, без включения вводных разделов из учебника по ИБ.

По факту регулярно встречаюсь с фактом использования неких безразмерных положений о защите ПДн / ГИС / ИБ, которые часто включают в себя описание всевозможных угроз, всевозможных нарушителей, мер которые могут быть приняты, с цитированием всего законодательства РФ в области ИБ, с расшифровкой всех терминов в области ИБ, курс теории вероятности и т.п. Если выделяется отдельный документ по какой-то теме, то в нем так-же мешанина – и требования и процедуры и описание ролей и теория. Что делать пользователю / администратору с таким 50 – 100 – 200 страничным документом, совершенно непонятно. Полистать и забыть!

Как так получается? Давайте посмотрим, может быть есть какие-то требования или рекомендации делать такие документы-монстры?

Русскоязычные документы, содержащие описание состава ОРД по ИБ:
ИСО МЭК 27001 (подробный перечень можно посмотреть у Андрея Прозорова):
·         политика ИБ
·         частные политики ИБ
·         процедуры
·         записи / документированная информация
СТО БР ИББС:
·         корпоративная политика ИБ,
·         частные политики ИБ,
·         документы содержащие требования к процедурам обеспечения ИБ:
o   инструкции по обеспечению ИБ, в том числе и должностные;
o   руководства по обеспечению ИБ, например, по классификации активов;
o   методические указания по обеспечению ИБ;
o   документы, содержащие требования к конфигурациям,
·         документы содержащие записи о результатах деятельности:
o   реестры и описи;
o   регистрационные журналы, в том числе журналы регистрации инцидентов;
o   протоколы;
o   листы ознакомления;
o   обязательства;
o   акты;
o   договоры;
o   отчеты.
ПП 211 (перечень мер по защите ПДн для ГОС):
·         порядок
·         правила
·         перечни
·         формы

Англоязычные лучшие практики, содержащие описание состава ОРД по ИБ:
NIST:
·         IS policy
·         procedures

UNINETT led working group on security (No UFS126, Норвегия):
·         security policy
·         guidelines and principles for IS
·         standards and procedures for IS

·         Governing Policy
·         Technical Policies
·         Job Aids / Guidelines

·         Information security policy
·         procedures
·         plans


Как видно, нет оснований для создания мега-документов по ИБ (хотя в русскоязычной области ИБ, кроме стандарта ЦБ РФ, больше вопросы документации ОРД по ИБ толком не проработаны)

Публичные примеры 1, пример 2, пример3, пример 4, пример 5. А среди неопубликованных встречаются на порядок больше.

И хотя документы могут быть хорошо и правильно написаны, мое мнение что работать с таким мега-документом пользователям документа будет неудобно / невозможно.
Аргументы которые я слышал в пользу таких документов: это удобно для ИБшника, когда всё в одном документе; легче утверждать и обновлять 1 документ чем 30 документов;  удобно при проверках.

Как правило, если мне приходится разрабатывать документы, стараюсь соответствовать лучшим практикам и делать короткие простые документы - удается уложится до 10 листов для политики ИБ, по 2  листа на частные политики и 3-5 листов на регламенты/порядки/процедуры.
Для удобства при утверждении и обновлении, предлагаю объединять в один пакет политик, который утверждается разом, но каждый документ может использоваться по отдельности. А для удобства использования ИБшником и при проверках – лучше заранее готовить папочки или использовать системы управления документацией.


Коллеги, а какими практиками вы пользуетесь при разработке структуры документов по ИБ?

5 комментариев:

Алексей Беседин комментирует...

Сомневаюсь, что на проверках рационально вываливать все документы сразу в одном пакете. Конкретный обоснованный запрос на конкретный документ - выдаем конкретный документ.

Николай Казанцев комментирует...

Согласен с автором что доводить до пользователей мега документы плохой тон. Хотя если комплект документов предназначен для узкого круга (ИТ/ИБ) то можно и объединить, при этом постараться максимально облегчить работу с документом, например, используя ментальные карты.
Описал пример такого документа тут: http://spbsecurity.blogspot.ru/2015/06/MindMapandSecurityPolicy.html

Алексей Степанов комментирует...

В моей практике госы любят большие документы (где космические корабли бороздят пространства вселенной, во исполнение ФЗ и бла-бла-бла) А комерсы любят коротко, ясно и четко (времени читать и вникать в более 10 страниц просто нет).
Согласование любого изменения в документ типа "все в одном" на 120 страницах это просто непрерывные 9 кругов ада (бесконечная спираль). Один раз в молодости прошел и больше так никогда не делаю.
Таким образом стараюсь разрабатывать документы по иерархии лучших практик, а вот их содержание (и объем) уже зависит от требований вышестоящих согласующих, их ИБ-мировозрения и требований. Так что как Заказчик хочет - так и сделаем. Главное, что бы документы работали, а не пылились.

Александр Бодрик комментирует...

Для защиты ПДн делается отдельный документ ("Вот Вам!")
Для реальной ИБ нужная структура небольших документов. Обьем не столько важен сколько четкое распределение ролей и ключевые факторы успеха (CSF)

ser-storchak комментирует...

Мне кажется, для малого бизнеса, где специалист по ИБ в единственном числе, оптимальным будет разработка Политики ИБ + частных положений ИБ, включающих шаблоны журналов, различных форм и пр. Размер таких положений не превышает 30 страниц (без "воды"), зато с ними легко работать. Если соответствовать требованиям и рекомендациям документов Комплекса БР ИББС, количество документов получается "дофига". Работать с ними нереально (корректировка, утверждение, ознакомление и т.п.). Ну и давайте посмотрим реальности в лицо. Сотрудники ленятся читать больше одного документа (тут спасает периодическое обучение + проверка знаний). В большинстве случаев документы разрабатываются для защиты от регуляторов.