Upload
andrey-prozorov
View
4.213
Download
10
Embed Size (px)
Citation preview
Разработка комплекта документов по управлению ИБ
05-‐2015
Прозоров Андрей, CISM h-p://80na20.blogspot.ru
Разработать комплект документов по ИБ (СУИБ, ПДн, DLP, СТО БР и пр.) – не простая задача даже для специалистов!
Как делать действительно классные документы по ИБ?
1. Понимайте ЗАЧЕМ и ДЛЯ КОГО документ 2. Не изобретайте велосипед 3. Понимайте иерархию документов. Отличайте
«политики» от «процедур» 4. Используйте майндкарты 5. Пишите «без воды»
Зачем нужен документ?
1. Требование регуляторов, аудиторов 2. Чтобы можно было в дальнейшем
применять дисциплинарные взыскания (при необходимости)
3. Для повышения уровня ИБ (чтобы требования выполнялись)
4. Чтобы эффективно/результативно работали (процедуры, инструкции, памятки)
5. Показать работу…
#1
По функционально-‐целевому назначению документы делятся на следующие основные классы: • Нормативно правовые • Организационно-‐распорядительные • Нормативные • Методические • Плановые • Информационные
ГОСТ РО 0043-‐002-‐2012. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Система документов (ДСП) #2
Документы бывают разные
Policies (Политики)
Standards (Стандарты)
Procedures (Процедуры)
Guidelines (Руководства, Директивы)
Records («Записи»)
Видение и Миссия
Концепция и Стратегия
Политики и Положения / Корп.стандарты / Руководства
Процедуры и Регламенты
Инструкции и Памятки
«Записи» (отчеты, протоколы, служебные записки и пр.)
Термины «процедура» и «процесс»
• Процесс (process) -‐ совокупность взаимосвязанных видов деятельности, преобразующих входы в выходы
• Процедура (procedure) – установленный способ осуществления деятельности или процесса
• Применение системы процессов в рамках организации вместе с идентификацией и взаимодействием этих процессов, а также управлением может быть определено как «процессный подход»
ГОСТ 27000-‐2012
Описание процессов
• Цели и назначение • Входы и Выходы процессов • Связь процессов • Ответственность (RACI-‐chart) • Что запускает процесс? • Четкая последовательность шагов • Документы и записи • Метрики и KPI
(если вы к ним готовы)
Важные для ИБ процессы Из ITSM и BCM Из 27002 и NIST
Управление конфигурацией Управление изменениями Управление релизами и развертыванием Управление доступом Управление инцидентами Управление проблемами Управление знаниями Управление запросами на обслуживание Управление услугами безопасности Управление непрерывностью бизнеса
Планирование и совершенствование ИБ Управление рисками ИБ Управление документами (ИБ) Уничтожение оборудования Прием и увольнение персонала Повышение осведомленности и обучение персонала Управление (техническими) уязвимостями Резервное копирование и восстановление Мониторинг, оценка и анализ соответствия требования (втч Внутренний аудит)
Не изобретайте велосипед! Используйте «лучшие практики»: • ISO 27001 / 27002 • NIST • СТО БР ИББС • PCI DSS • ITIL и ISO 20000 • COBIT5 • ISO 22301 • …
Статья «Стандарты, которые полезно знать специалистам по ИБ» -‐ h-p://bit.ly/1kCc8SO #3
Используйте майндкарты
• При сборе и анализе информации • Для составления структуры документа / комплекта • В качестве самостоятельных документов
(протоколы, памятки, планы задач и пр.) • Для мозгового штурма • Для планирования • Для быстрого «вспоминания»
Перечень документов СУИБ • h-p://80na20.blogspot.ru/2015/01/27001-‐2013.html
• 10 страниц таблиц • Порядка 70 документов
Рекомендации по составлению ММ
• Классическая круговая структура самая удобная • Ключевые слова вместо больших предложений • Сначала мозговой штурм (идеи), потом структурирование и оформление
• Используйте цвета, картинки, иконки и связи • Перед окончанием проверьте удобство просмотра в Print Preview
• Сохраняйте и в PDF • Именуйте файл с «mm»
1. Краткий 2. С конкретными назначением и целью 3. Написан под конкретную аудиторию 4. Хорошо оформлен (удобно читать) 5. Не важные и большие приложения вынесены в конец документа 6. Содержит минимум сокращений и сложных терминов, присутствует их
перечень 7. Определен владелец (ответственный) и регулярно пересматривается и
актуализируется (если не документ типа «запись») 8. Имеет минимум конкретных ссылок на другие документы 9. Не дублирует положения других документов 10. При необходимости содержит резюме для руководства (Execu�ve
Summery) 11. Соответствует шаблону, принятому в организации 12. Определяет возможность для связи с автором для вопросов и
комментариев
Хороший документ
#5