СОИБ. Анализ. Политики vs положения ИБ
Постоянно спотыкаюсь о следующее
противоречие: в лучших практиках, стандартах по ИБ рекомендуется четкая
иерархия документов, с выделением общей политики ИБ, частных политик,
документированных процедур и документов, содержащих свидетельства выполнения
деятельности. При этом документы уровнем ниже общей политики ИБ рекомендуется разрабатывать
короткими, понятными, заточенными под конкретную аудиторию, ограниченным
конкретной областью действия; частные политики – включают только требования по
определенной теме и ничего более; процедуры – включают правила как нужно делать;
все без воды, без постатейного переписывания законодательства, без включения вводных
разделов из учебника по ИБ.
По факту регулярно встречаюсь с
фактом использования неких безразмерных положений о защите ПДн / ГИС / ИБ,
которые часто включают в себя описание всевозможных угроз, всевозможных нарушителей,
мер которые могут быть приняты, с цитированием всего законодательства РФ в области
ИБ, с расшифровкой всех терминов в области ИБ, курс теории вероятности и
т.п. Если выделяется отдельный документ по какой-то теме, то в нем так-же мешанина
– и требования и процедуры и описание ролей и теория. Что делать пользователю /
администратору с таким 50 – 100 – 200 страничным документом, совершенно непонятно.
Полистать и забыть!
Как так получается? Давайте
посмотрим, может быть есть какие-то требования или рекомендации делать такие
документы-монстры?
Русскоязычные документы, содержащие описание состава ОРД по
ИБ:
ИСО МЭК 27001 (подробный
перечень можно посмотреть у Андрея Прозорова):
·
политика ИБ
·
частные политики ИБ
·
процедуры
·
записи / документированная информация
СТО БР ИББС:
·
корпоративная политика ИБ,
·
частные политики ИБ,
·
документы содержащие требования к процедурам
обеспечения ИБ:
o
инструкции по обеспечению ИБ, в том числе и
должностные;
o
руководства по обеспечению ИБ, например, по
классификации активов;
o
методические указания по обеспечению ИБ;
o
документы, содержащие требования к конфигурациям,
·
документы содержащие записи о результатах
деятельности:
o
реестры и описи;
o
регистрационные журналы, в том числе журналы
регистрации инцидентов;
o
протоколы;
o
листы ознакомления;
o
обязательства;
o
акты;
o
договоры;
o
отчеты.
ПП 211 (перечень мер по защите
ПДн для ГОС):
·
порядок
·
правила
·
перечни
·
формы
Англоязычные лучшие практики, содержащие описание состава ОРД по
ИБ:
NIST:
·
IS policy
·
procedures
UNINETT led working group on security (No
UFS126, Норвегия):
·
security
policy
·
guidelines
and principles for IS
·
standards
and procedures for IS
SANS:
·
Governing
Policy
·
Technical
Policies
·
Job
Aids / Guidelines
·
Information
security policy
·
procedures
·
plans
Как видно, нет оснований для
создания мега-документов по ИБ (хотя в русскоязычной области ИБ, кроме
стандарта ЦБ РФ, больше вопросы документации ОРД по ИБ толком не
проработаны)
Публичные примеры 1, пример 2, пример3, пример 4, пример 5. А среди неопубликованных встречаются на порядок больше.
И хотя документы могут быть
хорошо и правильно написаны, мое мнение что работать с таким мега-документом пользователям
документа будет неудобно / невозможно.
Аргументы которые я слышал в
пользу таких документов: это удобно для ИБшника, когда всё в одном документе; легче
утверждать и обновлять 1 документ чем 30 документов; удобно при проверках.
Как правило, если мне приходится
разрабатывать документы, стараюсь соответствовать лучшим практикам и делать
короткие простые документы - удается уложится до 10 листов для политики ИБ, по 2 листа на частные политики и 3-5 листов на регламенты/порядки/процедуры.
Для удобства при утверждении и обновлении,
предлагаю объединять в один пакет политик, который утверждается разом, но
каждый документ может использоваться по отдельности. А для удобства
использования ИБшником и при проверках – лучше заранее готовить папочки или
использовать системы управления документацией.
Коллеги, а какими практиками вы
пользуетесь при разработке структуры документов по ИБ?
Комментарии
Описал пример такого документа тут: http://spbsecurity.blogspot.ru/2015/06/MindMapandSecurityPolicy.html
Согласование любого изменения в документ типа "все в одном" на 120 страницах это просто непрерывные 9 кругов ада (бесконечная спираль). Один раз в молодости прошел и больше так никогда не делаю.
Таким образом стараюсь разрабатывать документы по иерархии лучших практик, а вот их содержание (и объем) уже зависит от требований вышестоящих согласующих, их ИБ-мировозрения и требований. Так что как Заказчик хочет - так и сделаем. Главное, что бы документы работали, а не пылились.
Для реальной ИБ нужная структура небольших документов. Обьем не столько важен сколько четкое распределение ролей и ключевые факторы успеха (CSF)