Информационная безопасность – важная тема для многих. О мерах ИБ задумываются в какой-то мере все участники общества: и частные лица, и организации, и само государство в целом. При таком разнообразии подходов и необходимости адаптации процессов под каждый отдельный случай важно создать четкий план действий. Для этого и созданы документы по информационной безопасности. Предлагаем сегодня рассмотреть эту тему.
Цель создания документов по ИБ
Во-первых, область обеспечения ИБ достаточно обширна и предполагает высокую вариативность событий. Для стандартизации подходов и создания единой стратегии были созданы документы по информационной безопасности.
Во-вторых, это фиксирование последовательности действий для всех участников процесса обеспечения ИБ. Многочисленные инструкции, правила поведения, методологии – все это направлено на минимизацию поведенческого хаоса и повышение уровня осознанности участников.
В-третьих, документирование позволяет сконцентрировать все действия по обеспечению ИБ в одном правовом поле и соответствии ему.
Виды документов ИБ
Виды документов по информационной безопасности:
Общие
Это все доступные нормативно-правовые акты, инструкции, стандарты, методики и так далее, которые относятся ко всем участникам периметра обеспечения информационной безопасности. Определение включает федеральные законы, государственные (национальные) и международные стандарты и так далее.
Частные
Частные документы – это совокупность всех ведомственных и внутриорганизационных документов, характеризующихся бóльшим уровнем конкретики и адаптацией под производственные особенности каждого участника контура ИБ.
Сюда относятся должностные инструкции, специальные инструкции-комментарии к техническим инструментам, внутриорганизационные приказы и положения в рамках мероприятий по ИБ и так далее.
Рассмотрим подробнее примеры общих и частных документов по информационной безопасности.
Общие документы по информационной безопасности
Основными признаками общих нормативно-правовых актов в области ИБ являются выраженная письменная форма трактовки условий в НПА, официальное принятие выбранным субъектом правового управления, иерархичность, отсутствие персональной привязки, обязательство по исполнению и возможность принудительного давления на исполнение со стороны государства.
Основными документами в этом виде являются федеральные законы. Для области информационной безопасности примерами таких НПА являются:
- Закон №152-ФЗ от 27.07.2006 г. «О персональных данных», Закон №149-ФЗ от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации», Закон №63-ФЗ от 06.04.2011 г. «Об электронной подписи», Закон №187-ФЗ от 26.07.2017 г. «О безопасности критической информационной инфраструктуры Российской Федерации», Закон №98-ФЗ от 29.07.2004 г. «О коммерческой тайне» и другие. Подробнее смотрите в статье «Основные аспекты и методы информационной безопасности».
Важными документами в области ИБ также являются международные и национальные стандарты, утвержденные специализированными организациями и ведомствами. Примерами таких стандартов могут быть документы организаций:
- Британский институт стандартов (BSI).
- Международной организации по стандартизации (ISO).
- Ассоциация аудита и контроля информационных систем (ISACA).
- Стандарт безопасности данных платежных карт (PCI DSS) и другие.
За внутригосударственную стандартизацию внутри РФ отвечает несколько федеральных агентств. Сюда относятся:
- Федеральное агентство по техническому регулированию и метрологии (Росстандарт) и технические комитеты (ТК), которые создают основные стандарты в действия во многих областях (ГОСТы). Самыми известными стандартами в информационной безопасности являются:
ГОСТы определяют области и способы применения продукции, технические условия, требования безопасности и другие технологические аспекты.
- Стандарт и Рекомендации Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС). Например, РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0» и СТО БР ИББС-1.2-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 — 2014».
- К документам общего назначения относят также требования Федеральной службы по техническому и экспортному контролю (ФСТЭК), например:
- Требования от 11.02.2013 г. №17 «О защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России».
- Требования от 01.11.2012 г. №1119 «К защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации».
- Требования от 31.08.2010 г. №416/489 «О защите информации, содержащейся в информационных системах общего пользования, утвержденные приказом ФСБ России и ФСТЭК России» и другие.
- Общие документы по обеспечению информационной безопасности Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, например:
- Указ №351 от 17.03.2008 г. «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».
- Приказ №186 от 10.03.2022 г. «Об утверждении Методических рекомендаций по обеспечению необходимого уровня безопасности в сфере информационно-коммуникационных технологий государственных корпораций, компаний с государственным участием, а также их дочерних организаций и зависимых обществ» и другие принятые документы в области информационной безопасности.
Частные документы информационной безопасности
Частные документы по информационной безопасности обеспечивают утверждение оборота и защиты информационного потока внутри организаций с учетом специфики каждого сектора экономики. Наличие достоверной и понятной документации обеспечивает безопасное функционирование бизнеса и осуществление всех внутренний и внешних процессов. В общем, задачи этих документов можно сформировать в виде шести принципов:
- Обеспечение безопасного цикла передачи, хранения, обработки персональных данных в периметре предприятия и по каналам связей с внешним контуром.
- Координация технических мер обеспечения информационной безопасности.
- Утверждение методики оценки актуальности принимаемых мер и установка последовательности обновления (при необходимости).
- Разработка положения по обнаружению инцидентов и пошаговой рекомендации к дальнейшим действиям по обезвреживанию последствий.
- Составление требований по дополнительному хранению данных и резервному копированию и так далее.
- Анализ существующих регламентов на соответствие с законодательной базой.
К таким документам можно отнести:
- Должностные инструкции разного уровня (для начальника отдела безопасности, специалиста отдела технического обеспечения и так далее).
- Инструкции по осуществлению процессов обеспечения информационной безопасности (инструкции по использованию почтовых сервисов, по созданию безопасных паролей, по антивирусной защите и так далее).
- Общая концепция безопасности предприятия.
- Политики информационной безопасности компании и всех сопутствующих процессов (Политика использования VPN, Политика шифрования, Политика о конфиденциальности, Политика об антивирусной защите, Политика об использовании технических средств ИБ).
- Приказы о проведении мероприятий ИБ (Приказ о создании центра ИБ на предприятии и т.д.).
- Трудовые договоры и допсоглашения к трудовому договору (соглашение о неразглашении коммерческой тайны).
- Положения о последовательности действий (о конфиденциальности, об использовании сети Интернет, о реагировании на инциденты и так далее) и другие документы.
Каждая компания по собственному усмотрению адаптирует комплекс внутренних документов в соответствии с собственным производственным направлением, размером команды, потребностями и т.д.
Проблематика документов в ИБ
Документальный оборот в области информационной безопасности еще находится в стадии оптимизации, поэтому есть несколько спорных моментов в этом процессе. Предлагаем обсудить существующую проблематику.
- Отсутствие единого стандарта.
Это общая проблема для всего сегмента информационной безопасности. Сегодня нет единого подхода к регулированию, управлению, аудиту, информационному обеспечению ИБ ни на международном уровне, ни в контуре государства, ни на предприятии. Отсутствие единства позволяет использовать уязвимости в пользу мошенников и совершать злонамеренные действия с данными.
- Отсутствие регулятора конкретного действия.
Поскольку нет общего подхода к обеспечению ИБ, то и нет конкретного регулятора этого сегмента, который занимался бы исключительно проблематикой и обеспечением полного цикла заботы об информационной безопасности.