Документы по информационной безопасности: общие и частные примеры

Информационная безопасность – важная тема для многих. О мерах ИБ задумываются в какой-то мере все участники общества: и частные лица, и организации, и само государство в целом. При таком разнообразии подходов и необходимости адаптации процессов под каждый отдельный случай важно создать четкий план действий. Для этого и созданы документы по информационной безопасности. Предлагаем сегодня рассмотреть эту тему.

Цель создания документов по ИБ

Во-первых, область обеспечения ИБ достаточно обширна и предполагает высокую вариативность событий. Для стандартизации подходов и создания единой стратегии были созданы документы по информационной безопасности.

Во-вторых, это фиксирование последовательности действий для всех участников процесса обеспечения ИБ. Многочисленные инструкции, правила поведения, методологии – все это направлено на минимизацию поведенческого хауса и повышение уровня осознанности участников.

В-третьих, документирование позволяет обеспечить все действия по обеспечению ИБ в одном правовом поле и соответствии ему.

Виды документов ИБ

Виды документов по информационной безопасности:

Общие

Это все доступные нормативно-правовые акты, инструкции, стандарты, методики и так далее, которые относятся ко всем участникам периметра обеспечения информационной безопасности. Определение включает федеральные законы, государственные (национальные) и международные стандарты и так далее.

Частные

Частные документы – это совокупность всех ведомственных и внутриорганизационных документов, характеризующихся бóльшим уровнем конкретики и адаптацией под производственные особенности каждого участника контура ИБ.

Сюда относятся должностные инструкции, специальные инструкции-комментарии к техническим инструментам, внутриорганизационные приказы и положения в рамках мероприятий по ИБ и так далее.

Рассмотрим подробнее примеры общих и частных документов по информационной безопасности.

Общие документы по информационной безопасности

Основными признаками общих нормативно-правовых актов в области ИБ являются: выраженная письменная форма трактовки условий в НПА, официальное принятие выбранным субъектом правового управления, иерархичность, отсутствие персональной привязки, обязательство по исполнению и возможность принудительного давления на исполнение со стороны государства.

Основными документами в этом виде являются федеративные законы. Для области информационной безопасности примерами таких НПА являются:

  • Закон № 152-ФЗ от 27.07.2006 г. «О персональных данных», Закон № 149-ФЗ от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации», Закон № 63-ФЗ от 06.04.2011 г. «Об электронной подписи», Закон №187-ФЗ от 26.07.2017 г. «О безопасности критической информационной инфраструктуры Российской Федерации», Закон № 98-ФЗ от 29.07.2004 г. «О коммерческой тайне» и другие. Подробнее смотрите в статье «Основные аспекты и методы информационной безопасности».

Важными документами области ИБ также являются международные и национальные стандарты, утвержденные специализированными организациями и ведомствами. Примерами таких стандартов могут быть документы организаций:

  • Британский институт стандартов (BSI).
  • Международной организации по стандартизации (ISO).
  • Ассоциация аудита и контроля информационных систем (ISACA).
  • Стандарт безопасности данных платёжных карт (PCI DSS) и другие.

За внутригосударственную стандартизацию внутри РФ отвечает несколько федеральных агентств. Сюда относятся: 

  1. Федеральное агентство по техническому регулированию и метрологии (Росстандарт) и технические комитеты (ТК), которые создают основные стандарты в действия во многих областях (ГОСТы). Самыми известными стандартами в информационной безопасности являются:

ГОСТы определяют области и способы применения продукции, технические условия, требования безопасности и другие технологические аспекты.

  1. Стандарт и Рекомендации Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС). Например, РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0» и СТО БР ИББС-1.2-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 — 2014».
  2. К документам общего назначения относят также требования Федеральной службы по техническому и экспортному контролю (ФСТЭК), например:
  • Требования от 11.02.2013 г. № 17 «О защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России».
  • Требования от 01.11.2012 г. №1119 «К защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации».
  • Требования от 31.08.2010 г. № 416/489 «О защите информации, содержащейся в информационных системах общего пользования, утвержденные приказом ФСБ России и ФСТЭК России» и другие.
  1. Общие документы по обеспечению информационной безопасности Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, например:
  • Указ № 351 от 17.03.2008 г. «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».
  • Приказ № 186 от 10.03.2022 г. «Об утверждении Методических рекомендаций по обеспечению необходимого уровня безопасности в сфере информационно-коммуникационных технологий государственных корпораций, компаний с государственным участием, а также их дочерних организаций и зависимых обществ» и другие принятые документы в области информационной безопасности.

Частные документы информационной безопасности

Частные документы по информационной безопасности обеспечивают утверждение оборота и защиты информационного потока внутри организаций с учетом специфики каждого сектора экономики. Наличие достоверной и понятной документации обеспечивает безопасное функционирование бизнеса и осуществление всех внутренний и внешних процессов. В общем, задачи этих документов можно сформировать в виде 6 принципов:

  1. Обеспечение безопасного цикла передачи, хранения, обработки персональных данных в периметре предприятия и по каналам связей с внешним контуром.
  2. Координация технических мер обеспечения информационной безопасности.
  3. Утверждение методики оценки актуальности принимаемых мер и установка последовательности обновления (при необходимости).
  4. Разработку положения по обнаружению инцидентов и пошаговой рекомендации к дальнейшим действиям по обезвреживанию последствий.
  5. Составление требований по дополнительному хранению данных и резервному копированию и так далее.
  6. Анализ существующих регламентов на соответствие с законодательной базой.

К таким документам можно отнести:

  1. Должностные инструкции разного уровня (для начальника отдела безопасности, специалиста отдела технического обеспечения и так далее).
  2. Инструкции по осуществлению процессов обеспечения информационной безопасности (инструкции по использованию почтовых сервисов, по созданию безопасных паролей, по антивирусной защите и так далее).
  3. Общая концепция безопасности предприятия.
  4. Политики информационной безопасности компании и всех сопутствующих процессов (Политика использования VPN, Политика шифрования, Политика о конфиденциальности, Политика об антивирусной защите, Политика об использовании технических средств ИБ).
  5. Приказы о проведении мероприятий ИБ (Приказ о создании центра ИБ на предприятии и т.д.).
  6. Трудовые договора и допсоглашения к трудовому договору (соглашение о неразглашении коммерческой тайны).
  7. Положения о последовательности действий (о конфиденциальности, об использовании сети Интернет, о реагировании на инциденты и так далее) и другие документы.

Каждая компания адаптирует по собственному усмотрению комплекс внутренних документов в соответствии с собственным производственным направлением, размером команды, потребностями и т.д.

Виды документов по информационной безопасности

Проблематика документов в ИБ

Документальный оборот в области информационной безопасности еще находится в стадии оптимизации, поэтому есть несколько спорных моментов в этом процессе. Предлагаем обсудить существующую проблематику.

Отсутствие единого стандарта.

Это общая проблема для всего сегмента информационной безопасности. Сегодня нет единого подхода к регулированию, управлению, аудиту, информационному обеспечению ИБ. Ни на международном уровне, ни в контуре государства, ни на предприятии. Отсутствие единства позволяет использовать уязвимости в пользу мошенников и совершать злонамеренные действия с данными.

Отсутствие регулятора конкретного действия.

Поскольку нет общего подхода к обеспечению ИБ, то и нет конкретного регулятора этого сегмента, который занимался бы исключительно проблематикой и обеспечением полного цикла заботы.

DLP-система SecureTower

  • Защита от утечек данных по вине сотрудников
  • Контроль работы сотрудников на компьютерах
  • Выявление потенциально опасных сотрудников
  • Ведение архива бизнес-коммуникации