Разработка  комплекта  документов  по  управлению  ИБ  

05-­‐2015  

Прозоров  Андрей,  CISM  h-p://80na20.blogspot.ru  

Все  ИБ-­‐специалисты  работают  с  документами.  Кто-­‐то  пишет.  Кто-­‐то  читает…  

Примеры  неудачных  документов  

Разработать  комплект  документов  по  ИБ  (СУИБ,  ПДн,  DLP,  СТО  БР  и  пр.)  –  не  простая  задача  даже  для  специалистов!  

Как  делать  действительно  классные  документы  по  ИБ?    

1.  Понимайте  ЗАЧЕМ  и  ДЛЯ  КОГО  документ  2.  Не  изобретайте  велосипед  3.  Понимайте  иерархию  документов.  Отличайте  

«политики»  от  «процедур»  4.  Используйте  майндкарты  5.  Пишите  «без  воды»  

Зачем  нужен  документ?  

1.  Требование  регуляторов,  аудиторов  2.  Чтобы  можно  было  в  дальнейшем  

применять  дисциплинарные  взыскания  (при  необходимости)  

3.  Для  повышения  уровня  ИБ  (чтобы  требования  выполнялись)  

4.  Чтобы  эффективно/результативно  работали  (процедуры,  инструкции,  памятки)  

5.  Показать  работу…  

#1  

По  функционально-­‐целевому  назначению  документы  делятся  на  следующие  основные  классы:  •  Нормативно  правовые  •  Организационно-­‐распорядительные  •  Нормативные  •  Методические  •  Плановые  •  Информационные  

ГОСТ  РО  0043-­‐002-­‐2012.  Обеспечение  безопасности  информации  в  ключевых  системах  информационной  инфраструктуры.  Система  документов  (ДСП)  #2  

Документы  бывают  разные  

Policies  (Политики)  

Standards  (Стандарты)  

Procedures  (Процедуры)  

Guidelines  (Руководства,  Директивы)  

Records  («Записи»)  

Видение  и  Миссия  

Концепция  и  Стратегия  

Политики  и  Положения  /  Корп.стандарты  /  Руководства    

Процедуры  и  Регламенты  

Инструкции  и  Памятки  

«Записи»  (отчеты,  протоколы,  служебные  записки  и  пр.)  

Термины  «процедура»  и  «процесс»  

•  Процесс  (process)  -­‐  совокупность  взаимосвязанных  видов  деятельности,  преобразующих  входы  в  выходы  

•  Процедура  (procedure)  –  установленный  способ  осуществления  деятельности  или  процесса  

•  Применение  системы  процессов  в  рамках  организации  вместе  с  идентификацией  и  взаимодействием  этих  процессов,  а  также  управлением  может  быть  определено  как  «процессный  подход»  

ГОСТ  27000-­‐2012  

Описание  процессов  

•  Цели  и  назначение  •  Входы  и  Выходы  процессов  •  Связь  процессов  •  Ответственность  (RACI-­‐chart)  •  Что  запускает  процесс?  •  Четкая  последовательность  шагов  •  Документы  и  записи  •  Метрики  и  KPI    

(если  вы  к  ним  готовы)  

Процессы  COBIT5  

13  

Важные  для  ИБ  процессы  Из  ITSM  и  BCM    Из  27002  и  NIST  

Управление  конфигурацией  Управление  изменениями  Управление  релизами  и  развертыванием  Управление  доступом    Управление  инцидентами    Управление  проблемами    Управление  знаниями  Управление  запросами  на  обслуживание    Управление  услугами  безопасности  Управление  непрерывностью  бизнеса      

Планирование  и  совершенствование  ИБ  Управление  рисками  ИБ  Управление  документами  (ИБ)  Уничтожение  оборудования  Прием  и  увольнение  персонала    Повышение  осведомленности  и  обучение  персонала  Управление  (техническими)  уязвимостями  Резервное  копирование  и  восстановление  Мониторинг,  оценка  и  анализ  соответствия  требования  (втч  Внутренний  аудит)    

Не  изобретайте  велосипед!  Используйте  «лучшие  практики»:  •  ISO  27001  /  27002  •  NIST  •  СТО  БР  ИББС  •  PCI  DSS  •  ITIL  и  ISO  20000  •  COBIT5  •  ISO  22301  •  …  

Статья  «Стандарты,  которые  полезно  знать  специалистам  по  ИБ»  -­‐  h-p://bit.ly/1kCc8SO    #3  

Используйте  майндкарты  

#4  

Используйте  майндкарты  

•  При  сборе  и  анализе  информации    •  Для  составления  структуры  документа  /  комплекта  •  В  качестве  самостоятельных  документов  

(протоколы,  памятки,  планы  задач  и  пр.)  •  Для  мозгового  штурма  •  Для  планирования  •  Для  быстрого  «вспоминания»    

Перечень  документов  СУИБ  •  h-p://80na20.blogspot.ru/2015/01/27001-­‐2013.html  

•  10  страниц  таблиц  •  Порядка  70  документов    

ПО  для  ММ  

•  MindManager    •  iMindMap    •  xMind  

Рекомендации  по  составлению  ММ  

•  Классическая  круговая  структура  самая  удобная  •  Ключевые  слова  вместо  больших  предложений  •  Сначала  мозговой  штурм  (идеи),  потом  структурирование  и  оформление  

•  Используйте  цвета,  картинки,  иконки  и  связи  •  Перед  окончанием  проверьте  удобство  просмотра  в  Print  Preview  

•  Сохраняйте  и  в  PDF  •  Именуйте  файл  с  «mm»  

1.  Краткий  2.  С  конкретными  назначением  и  целью  3.  Написан  под  конкретную  аудиторию  4.  Хорошо  оформлен  (удобно  читать)  5.  Не  важные  и  большие  приложения  вынесены  в  конец  документа  6.  Содержит  минимум  сокращений  и  сложных  терминов,  присутствует  их  

перечень  7.  Определен  владелец  (ответственный)  и  регулярно  пересматривается  и  

актуализируется  (если  не  документ  типа  «запись»)    8.  Имеет  минимум  конкретных  ссылок  на  другие  документы  9.  Не  дублирует  положения  других  документов  10.  При  необходимости  содержит  резюме  для  руководства  (Execu�ve  

Summery)    11.  Соответствует  шаблону,  принятому  в  организации  12.  Определяет  возможность  для  связи  с  автором  для  вопросов  и  

комментариев  

Хороший  документ  

#5