Документы по информационной безопасности: общие и частные примеры
План статьи
Информационная безопасность – важная тема для многих. О мерах ИБ задумываются в какой-то мере все участники общества: и частные лица, и организации, и само государство в целом. При таком разнообразии подходов и необходимости адаптации процессов под каждый отдельный случай важно создать четкий план действий. Для этого и созданы документы по информационной безопасности. Предлагаем сегодня рассмотреть эту тему.
Цель создания документов по ИБ
Во-первых, область обеспечения ИБ достаточно обширна и предполагает высокую вариативность событий. Для стандартизации подходов и создания единой стратегии были созданы документы по информационной безопасности.
Во-вторых, это фиксирование последовательности действий для всех участников процесса обеспечения ИБ. Многочисленные инструкции, правила поведения, методологии – все это направлено на минимизацию поведенческого хаоса и повышение уровня осознанности участников.
В-третьих, документирование позволяет сконцентрировать все действия по обеспечению ИБ в одном правовом поле и соответствии ему.
Виды документов ИБ:
Общие — это все доступные нормативно-правовые акты, инструкции, стандарты, методики и так далее, которые относятся ко всем участникам периметра обеспечения информационной безопасности. Определение включает федеральные законы, государственные (национальные) и международные стандарты.
Частные — это совокупность всех ведомственных и внутриорганизационных документов, характеризующихся бóльшим уровнем конкретики и адаптацией под производственные особенности каждого участника контура ИБ. Сюда относятся должностные инструкции, специальные инструкции-комментарии к техническим инструментам, внутриорганизационные приказы и положения в рамках мероприятий по ИБ.
Общие документы по информационной безопасности
Основными признаками общих нормативно-правовых актов в области ИБ являются выраженная письменная форма трактовки условий в НПА, официальное принятие выбранным субъектом правового управления, иерархичность, отсутствие персональной привязки, обязательство по исполнению и возможность принудительного давления на исполнение со стороны государства.
Федеральные законы
Основными документами в этом виде являются федеральные законы. Для области информационной безопасности примерами таких НПА являются:
| Закон | Название |
|---|---|
| №152-ФЗ от 27.07.2006 г. | «О персональных данных» |
| №149-ФЗ от 27.07.2006 г. | «Об информации, информационных технологиях и о защите информации» |
| №63-ФЗ от 06.04.2011 г. | «Об электронной подписи» |
| №187-ФЗ от 26.07.2017 г. | «О безопасности критической информационной инфраструктуры Российской Федерации» |
| №98-ФЗ от 29.07.2004 г. | «О коммерческой тайне» |
Подробнее смотрите в статье «Основные аспекты и методы информационной безопасности».
Международные стандарты
Важными документами в области ИБ также являются международные и национальные стандарты, утвержденные специализированными организациями и ведомствами. Примерами таких стандартов могут быть документы организаций:
- Британский институт стандартов (BSI).
- Международной организации по стандартизации (ISO).
- Ассоциация аудита и контроля информационных систем (ISACA).
- Стандарт безопасности данных платежных карт (PCI DSS) и другие.
Внутригосударственная стандартизация (ГОСТы и Требования)
За внутригосударственную стандартизацию внутри РФ отвечает несколько федеральных агентств, включая Росстандарт и технические комитеты (ТК). Они создают основные стандарты действия во многих областях.
- Список ГОСТов по защите информации
- ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».
- ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».
- ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
- ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения».
- ГОСТ Р 52069.0-2013 «Защита информации. Система стандартов. Основные положения».
- ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
- Стандарты Банка России, ФСТЭК и Минцифры
Банк России (СТО БР ИББС):
- РС БР ИББС-2.0-2007 «Методические рекомендации по документации в области обеспечения ИБ».
- СТО БР ИББС-1.2-2014 «Методика оценки соответствия информационной безопасности организаций банковской системы».
ФСТЭК России:
- Требования от 11.02.2013 г. №17 (Защита информации в ГИС).
- Требования от 01.11.2012 г. №1119 (Защита персональных данных).
- Требования от 31.08.2010 г. №416/489 (Защита информации в ИС общего пользования).
Минцифры России:
- Указ №351 от 17.03.2008 г. (О мерах по обеспечению ИБ при использовании сетей международного обмена).
- Приказ №186 от 10.03.2022 г. (Методические рекомендации для госкорпораций).
Частные документы информационной безопасности
Частные документы по информационной безопасности обеспечивают утверждение оборота и защиты информационного потока внутри организаций с учетом специфики каждого сектора экономики. Наличие достоверной и понятной документации обеспечивает безопасное функционирование бизнеса и осуществление всех внутренний и внешних процессов.
Задачи частных документов (6 принципов):
- Обеспечение безопасного цикла передачи, хранения, обработки персональных данных в периметре предприятия и по каналам связей с внешним контуром.
- Координация технических мер обеспечения информационной безопасности.
- Утверждение методики оценки актуальности принимаемых мер и установка последовательности обновления (при необходимости).
- Разработка положения по обнаружению инцидентов и пошаговой рекомендации к дальнейшим действиям по обезвреживанию последствий.
- Составление требований по дополнительному хранению данных и резервному копированию.
- Анализ существующих регламентов на соответствие с законодательной базой.
Каждая компания по собственному усмотрению адаптирует комплекс внутренних документов в соответствии с собственным производственным направлением, размером команды и потребностями. К таким документам можно отнести:
- Должностные инструкции разного уровня (для начальника отдела безопасности, специалиста отдела технического обеспечения и так далее).
- Инструкции по осуществлению процессов обеспечения информационной безопасности (инструкции по использованию почтовых сервисов, по созданию безопасных паролей, по антивирусной защите).
- Общая концепция безопасности предприятия.
- Политики информационной безопасности компании и всех сопутствующих процессов (Политика использования VPN, Политика шифрования, Политика о конфиденциальности, Политика об антивирусной защите, Политика об использовании технических средств ИБ).
- Приказы о проведении мероприятий ИБ (Приказ о создании центра ИБ на предприятии и т.д.).
- Трудовые договоры и допсоглашения к трудовому договору (соглашение о неразглашении коммерческой тайны).
- Положения о последовательности действий (о конфиденциальности, об использовании сети Интернет, о реагировании на инциденты и так далее) и другие документы.
Проблематика документов в ИБ
Документальный оборот в области информационной безопасности еще находится в стадии оптимизации, поэтому есть несколько спорных моментов в этом процессе. Предлагаем обсудить существующую проблематику.
Отсутствие единого стандарта
Это общая проблема для всего сегмента информационной безопасности. Сегодня нет единого подхода к регулированию, управлению, аудиту, информационному обеспечению ИБ ни на международном уровне, ни в контуре государства, ни на предприятии. Отсутствие единства позволяет использовать уязвимости в пользу мошенников и совершать злонамеренные действия с данными.
Отсутствие регулятора конкретного действия
Поскольку нет общего подхода к обеспечению ИБ, то и нет конкретного регулятора этого сегмента, который занимался бы исключительно проблематикой и обеспечением полного цикла заботы об информационной безопасности.
Часто задаваемые вопросы (FAQ)
- Какие документы по ИБ обязательны для любой организации?
Минимальный обязательный пакет включает Политику обработки персональных данных (требование 152-ФЗ) и внутренние акты, регламентирующие доступ к конфиденциальной информации и коммерческой тайне.
- Где найти актуальные тексты ГОСТов по ИБ?
Официальные тексты стандартов доступны на сайте Федерального агентства по техническому регулированию и метрологии (Росстандарт) или в справочно-правовых системах.
- Что такое СТО БР ИББС?
Это комплекс стандартов Банка России по обеспечению информационной безопасности в организациях банковской системы РФ. Они описывают требования к документации, менеджменту инцидентов и аудиту.
- Зачем нужны частные документы по ИБ, если есть законы?
Законы устанавливают общие требования ("что делать"), а частные документы (инструкции, регламенты) описывают конкретные шаги для сотрудников ("как делать") с учетом специфики конкретной компании.
- Как часто нужно обновлять внутренние документы по ИБ?
Документы следует пересматривать не реже одного раза в год, а также при изменении законодательства, внедрении новых систем или изменении бизнес-процессов компании.
.jpg)
