СОИБ. Анализ. Политики vs положения ИБ

Постоянно спотыкаюсь о следующее противоречие: в лучших практиках, стандартах по ИБ рекомендуется четкая иерархия документов, с выделением общей политики ИБ, частных политик, документированных процедур и документов, содержащих свидетельства выполнения деятельности. При этом документы уровнем ниже общей политики ИБ рекомендуется разрабатывать короткими, понятными, заточенными под конкретную аудиторию, ограниченным конкретной областью действия; частные политики – включают только требования по определенной теме и ничего более; процедуры – включают правила как нужно делать; все без воды, без постатейного переписывания законодательства, без включения вводных разделов из учебника по ИБ.

По факту регулярно встречаюсь с фактом использования неких безразмерных положений о защите ПДн / ГИС / ИБ, которые часто включают в себя описание всевозможных угроз, всевозможных нарушителей, мер которые могут быть приняты, с цитированием всего законодательства РФ в области ИБ, с расшифровкой всех терминов в области ИБ, курс теории вероятности и т.п. Если выделяется отдельный документ по какой-то теме, то в нем так-же мешанина – и требования и процедуры и описание ролей и теория. Что делать пользователю / администратору с таким 50 – 100 – 200 страничным документом, совершенно непонятно. Полистать и забыть!

Как так получается? Давайте посмотрим, может быть есть какие-то требования или рекомендации делать такие документы-монстры?

Русскоязычные документы, содержащие описание состава ОРД по ИБ:
ИСО МЭК 27001 (подробный перечень можно посмотреть у Андрея Прозорова):
·         политика ИБ
·         частные политики ИБ
·         процедуры
·         записи / документированная информация
СТО БР ИББС:
·         корпоративная политика ИБ,
·         частные политики ИБ,
·         документы содержащие требования к процедурам обеспечения ИБ:
o   инструкции по обеспечению ИБ, в том числе и должностные;
o   руководства по обеспечению ИБ, например, по классификации активов;
o   методические указания по обеспечению ИБ;
o   документы, содержащие требования к конфигурациям,
·         документы содержащие записи о результатах деятельности:
o   реестры и описи;
o   регистрационные журналы, в том числе журналы регистрации инцидентов;
o   протоколы;
o   листы ознакомления;
o   обязательства;
o   акты;
o   договоры;
o   отчеты.
ПП 211 (перечень мер по защите ПДн для ГОС):
·         порядок
·         правила
·         перечни
·         формы

Англоязычные лучшие практики, содержащие описание состава ОРД по ИБ:
NIST:
·         IS policy
·         procedures

UNINETT led working group on security (No UFS126, Норвегия):
·         security policy
·         guidelines and principles for IS
·         standards and procedures for IS

·         Governing Policy
·         Technical Policies
·         Job Aids / Guidelines

·         Information security policy
·         procedures
·         plans


Как видно, нет оснований для создания мега-документов по ИБ (хотя в русскоязычной области ИБ, кроме стандарта ЦБ РФ, больше вопросы документации ОРД по ИБ толком не проработаны)

Публичные примеры 1, пример 2, пример3, пример 4, пример 5. А среди неопубликованных встречаются на порядок больше.

И хотя документы могут быть хорошо и правильно написаны, мое мнение что работать с таким мега-документом пользователям документа будет неудобно / невозможно.
Аргументы которые я слышал в пользу таких документов: это удобно для ИБшника, когда всё в одном документе; легче утверждать и обновлять 1 документ чем 30 документов;  удобно при проверках.

Как правило, если мне приходится разрабатывать документы, стараюсь соответствовать лучшим практикам и делать короткие простые документы - удается уложится до 10 листов для политики ИБ, по 2  листа на частные политики и 3-5 листов на регламенты/порядки/процедуры.
Для удобства при утверждении и обновлении, предлагаю объединять в один пакет политик, который утверждается разом, но каждый документ может использоваться по отдельности. А для удобства использования ИБшником и при проверках – лучше заранее готовить папочки или использовать системы управления документацией.


Коллеги, а какими практиками вы пользуетесь при разработке структуры документов по ИБ?

Комментарии

Unknown написал(а)…
Сомневаюсь, что на проверках рационально вываливать все документы сразу в одном пакете. Конкретный обоснованный запрос на конкретный документ - выдаем конкретный документ.
Николай Казанцев написал(а)…
Согласен с автором что доводить до пользователей мега документы плохой тон. Хотя если комплект документов предназначен для узкого круга (ИТ/ИБ) то можно и объединить, при этом постараться максимально облегчить работу с документом, например, используя ментальные карты.
Описал пример такого документа тут: http://spbsecurity.blogspot.ru/2015/06/MindMapandSecurityPolicy.html
Unknown написал(а)…
В моей практике госы любят большие документы (где космические корабли бороздят пространства вселенной, во исполнение ФЗ и бла-бла-бла) А комерсы любят коротко, ясно и четко (времени читать и вникать в более 10 страниц просто нет).
Согласование любого изменения в документ типа "все в одном" на 120 страницах это просто непрерывные 9 кругов ада (бесконечная спираль). Один раз в молодости прошел и больше так никогда не делаю.
Таким образом стараюсь разрабатывать документы по иерархии лучших практик, а вот их содержание (и объем) уже зависит от требований вышестоящих согласующих, их ИБ-мировозрения и требований. Так что как Заказчик хочет - так и сделаем. Главное, что бы документы работали, а не пылились.
Александр Бодрик написал(а)…
Для защиты ПДн делается отдельный документ ("Вот Вам!")
Для реальной ИБ нужная структура небольших документов. Обьем не столько важен сколько четкое распределение ролей и ключевые факторы успеха (CSF)
ser-storchak написал(а)…
Мне кажется, для малого бизнеса, где специалист по ИБ в единственном числе, оптимальным будет разработка Политики ИБ + частных положений ИБ, включающих шаблоны журналов, различных форм и пр. Размер таких положений не превышает 30 страниц (без "воды"), зато с ними легко работать. Если соответствовать требованиям и рекомендациям документов Комплекса БР ИББС, количество документов получается "дофига". Работать с ними нереально (корректировка, утверждение, ознакомление и т.п.). Ну и давайте посмотрим реальности в лицо. Сотрудники ленятся читать больше одного документа (тут спасает периодическое обучение + проверка знаний). В большинстве случаев документы разрабатываются для защиты от регуляторов.

Популярные сообщения из этого блога

Модель угроз безопасности клиента финансовой организации

Свежие ответы Роскомнадзора по обработке ПДн

Разъяснения ФСТЭК по поводу уровней доверия СЗИ для ГИС