Документы по информационной безопасности: общие и частные примеры

Информационная безопасность – важная тема для многих. О мерах ИБ задумываются в какой-то мере все участники общества: и частные лица, и организации, и само государство в целом. При таком разнообразии подходов и необходимости адаптации процессов под каждый отдельный случай важно создать четкий план действий. Для этого и созданы документы по информационной безопасности. Предлагаем сегодня рассмотреть эту тему.

Цель создания документов по ИБ

Во-первых, область обеспечения ИБ достаточно обширна и предполагает высокую вариативность событий. Для стандартизации подходов и создания единой стратегии были созданы документы по информационной безопасности.

Во-вторых, это фиксирование последовательности действий для всех участников процесса обеспечения ИБ. Многочисленные инструкции, правила поведения, методологии – все это направлено на минимизацию поведенческого хаоса и повышение уровня осознанности участников.

В-третьих, документирование позволяет сконцентрировать все действия по обеспечению ИБ в одном правовом поле и соответствии ему.

Виды документов ИБ

Виды документов по информационной безопасности:

Общие

Это все доступные нормативно-правовые акты, инструкции, стандарты, методики и так далее, которые относятся ко всем участникам периметра обеспечения информационной безопасности. Определение включает федеральные законы, государственные (национальные) и международные стандарты и так далее.

Частные

Частные документы – это совокупность всех ведомственных и внутриорганизационных документов, характеризующихся бóльшим уровнем конкретики и адаптацией под производственные особенности каждого участника контура ИБ.

Сюда относятся должностные инструкции, специальные инструкции-комментарии к техническим инструментам, внутриорганизационные приказы и положения в рамках мероприятий по ИБ и так далее.

Рассмотрим подробнее примеры общих и частных документов по информационной безопасности.

Общие документы по информационной безопасности

Основными признаками общих нормативно-правовых актов в области ИБ являются выраженная письменная форма трактовки условий в НПА, официальное принятие выбранным субъектом правового управления, иерархичность, отсутствие персональной привязки, обязательство по исполнению и возможность принудительного давления на исполнение со стороны государства.

Основными документами в этом виде являются федеральные законы. Для области информационной безопасности примерами таких НПА являются:

• Закон №152-ФЗ от 27.07.2006 г. «О персональных данных», Закон №149-ФЗ от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации», Закон №63-ФЗ от 06.04.2011 г. «Об электронной подписи», Закон №187-ФЗ от 26.07.2017 г. «О безопасности критической информационной инфраструктуры Российской Федерации», Закон №98-ФЗ от 29.07.2004 г. «О коммерческой тайне» и другие. Подробнее смотрите в статье «Основные аспекты и методы информационной безопасности».

Важными документами в области ИБ также являются международные и национальные стандарты, утвержденные специализированными организациями и ведомствами. Примерами таких стандартов могут быть документы организаций:

• Британский институт стандартов (BSI).
• Международной организации по стандартизации (ISO).
• Ассоциация аудита и контроля информационных систем (ISACA).
• Стандарт безопасности данных платежных карт (PCI DSS) и другие.

За внутригосударственную стандартизацию внутри РФ отвечает несколько федеральных агентств. Сюда относятся: 

1. Федеральное агентство по техническому регулированию и метрологии (Росстандарт) и технические комитеты (ТК), которые создают основные стандарты в действия во многих областях (ГОСТы). Самыми известными стандартами в информационной безопасности являются:

• ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».
• ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».
• ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
• ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения».
• ГОСТ Р 52069.0-2013 «Защита информации. Система стандартов. Основные положения».
• ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

ГОСТы определяют области и способы применения продукции, технические условия, требования безопасности и другие технологические аспекты.

2. Стандарт и Рекомендации Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС). Например, РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0» и СТО БР ИББС-1.2-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 — 2014».
3. К документам общего назначения относят также требования Федеральной службы по техническому и экспортному контролю (ФСТЭК), например:

• Требования от 11.02.2013 г. №17 «О защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России».
• Требования от 01.11.2012 г. №1119 «К защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации».
• Требования от 31.08.2010 г. №416/489 «О защите информации, содержащейся в информационных системах общего пользования, утвержденные приказом ФСБ России и ФСТЭК России» и другие.

4. Общие документы по обеспечению информационной безопасности Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, например:

• Указ №351 от 17.03.2008 г. «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».
• Приказ №186 от 10.03.2022 г. «Об утверждении Методических рекомендаций по обеспечению необходимого уровня безопасности в сфере информационно-коммуникационных технологий государственных корпораций, компаний с государственным участием, а также их дочерних организаций и зависимых обществ» и другие принятые документы в области информационной безопасности.

Частные документы информационной безопасности

Частные документы по информационной безопасности обеспечивают утверждение оборота и защиты информационного потока внутри организаций с учетом специфики каждого сектора экономики. Наличие достоверной и понятной документации обеспечивает безопасное функционирование бизнеса и осуществление всех внутренний и внешних процессов. В общем, задачи этих документов можно сформировать в виде шести принципов:

1. Обеспечение безопасного цикла передачи, хранения, обработки персональных данных в периметре предприятия и по каналам связей с внешним контуром.
2. Координация технических мер обеспечения информационной безопасности.
3. Утверждение методики оценки актуальности принимаемых мер и установка последовательности обновления (при необходимости).
4. Разработка положения по обнаружению инцидентов и пошаговой рекомендации к дальнейшим действиям по обезвреживанию последствий.
5. Составление требований по дополнительному хранению данных и резервному копированию и так далее.
6. Анализ существующих регламентов на соответствие с законодательной базой.

К таким документам можно отнести:

1. Должностные инструкции разного уровня (для начальника отдела безопасности, специалиста отдела технического обеспечения и так далее).
2. Инструкции по осуществлению процессов обеспечения информационной безопасности (инструкции по использованию почтовых сервисов, по созданию безопасных паролей, по антивирусной защите и так далее).
3. Общая концепция безопасности предприятия.
4. Политики информационной безопасности компании и всех сопутствующих процессов (Политика использования VPN, Политика шифрования, Политика о конфиденциальности, Политика об антивирусной защите, Политика об использовании технических средств ИБ).
5. Приказы о проведении мероприятий ИБ (Приказ о создании центра ИБ на предприятии и т.д.).
6. Трудовые договоры и допсоглашения к трудовому договору (соглашение о неразглашении коммерческой тайны).
7. Положения о последовательности действий (о конфиденциальности, об использовании сети Интернет, о реагировании на инциденты и так далее) и другие документы.

Каждая компания по собственному усмотрению адаптирует  комплекс внутренних документов в соответствии с собственным производственным направлением, размером команды, потребностями и т.д.

Проблематика документов в ИБ

Документальный оборот в области информационной безопасности еще находится в стадии оптимизации, поэтому есть несколько спорных моментов в этом процессе. Предлагаем обсудить существующую проблематику.

• Отсутствие единого стандарта.

Это общая проблема для всего сегмента информационной безопасности. Сегодня нет единого подхода к регулированию, управлению, аудиту, информационному обеспечению ИБ ни на международном уровне, ни в контуре государства, ни на предприятии. Отсутствие единства позволяет использовать уязвимости в пользу мошенников и совершать злонамеренные действия с данными.

• Отсутствие регулятора конкретного действия.

Поскольку нет общего подхода к обеспечению ИБ, то и нет конкретного регулятора этого сегмента, который занимался бы исключительно проблематикой и обеспечением полного цикла заботы об информационной безопасности.