Блог Сергея Борисова про ИБ

Как вы могли заменить из предыдущей статьи Центр Компетенций Роскомнадзора создал рабочие группы для методической помощи операторам ПДн. В этой заметке я хочу рассказать вам про вторую важную задачу этих групп. Перед внедрением сложных СЗИ широко практикуются так называемые Пилотные проекты / тестовые зоны / опытная эксплуатация, в рамках которых проверяется работоспособность технического решения и его соответствие требованиям и только потом решение распространяется на всю организацию и вводится в действие. Для организационных мер ничего подобного не применяется: разрабатываем регламенты, по которым будут функционировать процессы обработки и защиты ПДн и сразу утверждаем, и внедряем их в организации. Потом оказывается, что процессы не соответствуют требованиям законодательства РФ и все нужно переделывать, менять устоявшиеся правила и переобучать персонал.   Теперь в тестовом режиме Роскомнадзор вводит услугу по предварительной проверке пакета документов по ПДн, ...

При планировании мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры важно понимать какие процессы обеспечения безопасности необходимо создать/изменить, а также в каких документах они должны быть определены и описаны. Я провел полный анализ действующих НПА в области КИИ на предмет требований в которых какие-либо документы упоминаются в явном виде, либо имеются требования к мерам необходимость документирования которых очевидна и неоспорима.     Для владельцев незначимых объектов КИИ получился примерно следующий перечень Для владельцев значимых объектов КИИ перечень существенно больше В хорошем качестве можно скачать PDF  Получилось 18 политик, 8 порядков, 4 приказа, 3 журнала, 2 положения. Но это как минимум. Есть ещё ряд процессов обеспечения ИБ, которые требуется выполнять, но требований по документированию которых не приводится – тут документы могут разрабатываться на усмотрение субъекта КИ...

Постоянно спотыкаюсь о следующее противоречие: в лучших практиках, стандартах по ИБ рекомендуется четкая иерархия документов, с выделением общей политики ИБ, частных политик, документированных процедур и документов, содержащих свидетельства выполнения деятельности. При этом документы уровнем ниже общей политики ИБ рекомендуется разрабатывать короткими, понятными, заточенными под конкретную аудиторию, ограниченным конкретной областью действия; частные политики – включают только требования по определенной теме и ничего более; процедуры – включают правила как нужно делать; все без воды, без постатейного переписывания законодательства, без включения вводных разделов из учебника по ИБ. По факту регулярно встречаюсь с фактом использования неких безразмерных положений о защите ПДн / ГИС / ИБ, которые часто включают в себя описание всевозможных угроз, всевозможных нарушителей, мер которые могут быть приняты, с цитированием всего законодательства РФ в области ИБ, с расшифровкой всех терми...