г. Москва, ул. Мишина, 56, стр. 2, этаж 2.
Звонок бесплатный
Техподдержка 24/7

Разработка документов политики информационной безопасности

Состав и содержание организационно-распорядительных документов политики информационной безопасности существенно зависит от типа информационной системы, и, в частности, от предъявляемых к ней требований федерального законодательства и руководящих документов полномочных органов исполнительной власти Российской Федерации.

Разрабатываемые АО «ИнфоТеКС Интернет Траст» документы первого (верхнего) уровня определяют высокоуровневые правила и требования к деятельности организации по управлению процессами обеспечения безопасности информации

Офисы по всей России
Круглосуточная поддержка
Программа для работы с электронной подписью ViPNet CSP – бесплатно
Запрос на консультацию по информационной безопасности
Комментарий

Например, пакет организационно-распорядительных документов политики информационной безопасности для информационных систем органов государственной власти будет существенно отличаться от пакета документов политики информационной безопасности коммерческой организации, который, в свою очередь, также существенно зависит как от размеров самой организации, так и от сложности и многообразия реализуемых в ней бизнес-процессов.

Удобной формой представления структуры пакета организационно-распорядительных документов политики информационной безопасности является трехуровневая система:

  • документы первого (верхнего) уровня;
  • документы второго (среднего) уровня;
  • документы третьего (нижнего) уровня.

Для кредитно-финансовых организаций в соответствии с требованиями, представленными в Стандарте Банка России (СТО БР ИББС-1.0-2014), разрабатываются документы четвертого уровня. Это так называемые свидетельства, подтверждающие выполнение положений политики информационной безопасности, как персоналом информационной системы, так и применяемыми в ней системами и средствами защиты информации.

Разрабатываемые АО «ИнфоТеКС Интернет Траст» документы первого (верхнего) уровня определяют высокоуровневые правила и требования к деятельности организации по управлению процессами обеспечения безопасности информации, в том числе по анализу и выработке позиций руководства в отношении процессов функционирования системы защиты информации. Как правило, это документы регламентируют организацию процессов управления информационной безопасностью.

Документы второго (среднего) уровня включают в себя регламенты и положения, определяющие и регламентирующие порядок и правила выполнения требований политики информационной безопасности, представленные в документах первого уровня, применительно к конкретным процессам функционирования информационной системы и/или применяемым в ней технологиям.

Документы третьего уровня - это частные регламенты, инструкции, должностные обязанности и иные документы, определяющие порядок и правила выполнения требований политики информационной безопасности применительно к конкретным категориям персонала информационной системы, а также к конкретным системам и средствам обработки, хранения, передачи и защиты информации.

Более детально состав и общее содержание документов политики информационной безопасности, предлагаемых к разработке АО «ИнфоТеКС Интернет Траст», представлены в разделах:

  1. Разработка документов, регламентирующих организацию процессов управления информационной безопасностью .
  2. Разработка документов, регламентирующих требования информационной безопасности к процессам функционирования информационной системы .
  3. Разработка документов, регламентирующих порядок и правила обеспечения информационной безопасности персоналом информационной системы .
  4. Разработка пакета документов, регламентирующих порядок и правила обработки защиты персональных данных .

Разработка документов, регламентирующих организацию процессов управления информационной безопасностью

В качестве базовых документов, регламентирующих организацию процессов обеспечения информационной безопасности, рекомендуется рассматривать следующие документы:

  1. Концепция (Политика) информационной безопасности;
  2. Регламент (Стандарт) обеспечения безопасности информации.

Концепция информационной безопасности, как правило, включает в себя следующие разделы:

  1. Основные положения политики информационной безопасности;
  2. Правовые аспекты информационной безопасности;
  3. Общие требования к процессам управления информационной безопасностью;
  4. Виды и категории информационных ресурсов;
  5. Управление инцидентами информационной безопасности;
  6. Управление непрерывностью технологических и бизнес-процессов;
  7. Управление информационными рисками;
  8. Мониторинг и контроль защитных мер;
  9. Аудит информационной безопасности;
  10. Обучение и повышение осведомленности персонала в области информационной безопасности;
  11. Требования Политики информационной безопасности при назначении и распределении ролей и обеспечении доверия;
  12. Требования по обеспечению информационной безопасности при управлении доступом и регистрации;
  13. Управление безопасностью сетевых ресурсов;
  14. Требования по обеспечению информационной безопасности автоматизированных систем на стадиях жизненного цикла;
  15. Требования по обеспечению информационной безопасности при использовании средств антивирусной защиты;
  16. Требования по обеспечению информационной безопасности при использовании ресурсов сети Интернет;
  17. Требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации;
  18. Требования по обеспечению информационной безопасности в технологических процессах прикладного уровня;
  19. Требования к обеспечению информационной безопасности в процессах обработки персональных данных;
  20. Требования к оценке рисков нарушения безопасности персональных данных.

Регламент (стандарт) обеспечения безопасности информации детализирует требования Концепции применительно к конкретным процессам функционирования используемых в информационной системе Заказчика автоматизированных систем и программно-аппаратных комплексов.

Регламент обеспечения безопасности информации, как правило, включает в себя следующие разделы:

  1. Общие положения (в части организации процессов управления защитой информации в автоматизированных системах Заказчика);
  2. Распределение ответственности между подразделениями организации за обеспечение безопасности информации;
  3. Порядок взаимодействия с внешними организациями и полномочными органами государственной власти;
  4. Порядок использования паролей и иных идентификаторов доступа;
  5. Порядок регистрации пользователей (персонала) и назначения им прав доступа к ресурсам информационной системы;
  6. Организация обеспечения безопасности информации при использовании программых средств обработки информации;
  7. Организация обеспечения безопасности при использовании оборудования средств вычислительной техники, применяемых в информационной системе;
  8. Порядок и процедура аттестации объектов информатизации;
  9. Порядок внутреннего контроля за соблюдением режима безопасности информации;
  10. Организация процессов реагирования на инциденты информационной безопасности;
  11. Общий порядок ликвидации последствий проявления угроз безопасности информации и восстановления работоспособности средств вычислительной техники.

Разработка указанных документов существенно облегчает практическое внедрение процессов обеспечения информационной безопасности в систему управления информационной системой Заказчика.

Разработка документов, регламентирующих требования ИБ к процессам функционирования ИС Заказчика

Документы политики информационной безопасности (документы второго уровня), регламентирующие требования информационной безопасности к процессам функционирования конкретных технологий, используемых в информационной системе Заказчика, определяют требования, порядок и правила обеспечения информационной безопасности применительно к конкретным областям и видам деятельности персонала и используемым в ней информационным технологиям.

Типовой состав документов политики информационной безопасности второго уровня включает в себя:

  1. Порядок (регламент) обработки защищаемой информации с использованием средств вычислительной техники;
  2. Положение по обеспечению антивирусной защиты;
  3. Положение по обеспечению безопасности при работе в сети Интернет;
  4. Положение по организации разрешительной системы доступа к информационным ресурсам;
  5. Положение (регламент) межсетевого взаимодействия и передачи конфиденциальной информации внешней стороне;
  6. Положение по работе с ключевой информацией;
  7. Положение по управлению релизами программного обеспечения;
  8. Положение по управлению электронными документами;
  9. Положение по резервированию и восстановлению данных;
  10. Положение по организации мониторинга состояния защищенности информационной системы и реагированию на инциденты информационной безопасности;
  11. Положение по аудиту информационной безопасности;
  12. План обеспечения информационной безопасности;
  13. План обеспечения непрерывности технологических процессов автоматизированных систем;
  14. Регламент предоставления удаленного доступа к ресурсам информационной системы;
  15. Регламент использования мобильных и беспроводных устройств;
  16. Методические указания по действиям во внештатных ситуациях;
  17. Методика проведения инвентаризации ресурсов информационной системы;
  18. Методика классификации и категорирования ресурсов информационной системы;
  19. Методика оценки информационных рисков;
  20. Другие документы, регламентирующие требования, порядок и правила обеспечения безопасности информации в конкретных процессах обработки, хранения и передачи информации.

Практическое внедрение положений документов политики информационной безопасности второго уровня обеспечит решение следующих задач:

  • распределение ответственности персонала информационной системы в части выполнения требований политики информационной безопасности;
  • организация управления процессами защиты информации, в том числе с использованием средств вычислительной техники;
  • своевременного реагирования по выявленным инцидентам информационной безопасности;
  • обеспечения приемлемого уровня риска проявления угроз информационной безопасности.

Разработка документов, регламентирующих порядок и правила обеспечения информационной безопасности персоналом

Документы политики информационной безопасности третьего уровня, регламентирующие порядок и правила обеспечения информационной безопасности персоналом информационной системы, разрабатываются применительно к конкретным должностям (ролям) субъектов доступа к ресурсам информационной системы.

Как правило, типовой состав документов политики информационной безопасности третьего уровня включает в себя:

  • правила обеспечения безопасности информации при работе пользователей на средствах вычислительной техники;
  • инструкция ответственного за обеспечение безопасности информации;
  • инструкция администратора безопасности;
  • функциональные обязанности руководителя группы реагирования на инциденты ИБ;
  • функциональные обязанности ответственного пользователя средства криптографической защиты;
  • инструкция по уничтожению ключевых документов;
  • инструкция по уничтожению (стиранию) или обезличиванию персональных данных;
  • инструкция по обращению с сертифицированными ФСБ России шифровальными (криптографическими) средствами;
  • инструкция о порядке учета, хранения и уничтожения носителей конфиденциальной информации и персональных данных;
  • порядок и правила действий персонала при возникновении внештатной ситуации (памятка пользователю);
  • действия персонала в случае инцидента информационной безопасности (памятка);
  • действия персонала в случае компрометации действующих ключей к средствам криптографической защиты информации (памятка);
  • иные документы: инструкции, обязанности, частные регламенты, определяющие порядок и правила защиты информации на конкретных участках ее обработки, хранения и передачи.

Разработка пакета документов, регламентирующих порядок и правила обработки и защиты персональных данных

В соответствии с требованиями федерального законодательства в области персональных данных операторы персональных данных обязаны принимать меры по защите (обеспечению безопасности) обрабатываемых ими персональных данных.

Все процессы обработки, а также защиты (обеспечения безопасности) персональных данных должны быть регламентированы.

Пакет организационно-распорядительных документов, регламентирующих порядок и правила обработки и защиты (обеспечения безопасности) персональных данных в процессах функционирования информационной системы Заказчика, включает в себя:

  • политика обработки персональных данных;
  • правила обработки персональных данных;
  • положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных;
  • положение об особенностях обработки персональных данных без использования средств автоматизации;
  • порядок оформления допуска (доступа) к обработке персональных данных в информационной системе персональных данных;
  • положение об особенностях обработки обезличенных персональных данных;
  • разрешительная система доступа (матрица доступа) к защищаемым ресурсам;
  • порядок обеспечения безопасности специальных (защищаемых) помещений;
  • порядок использования технологий беспроводного доступа (при необходимости);
  • порядок использования мобильных технических средств (при необходимости);
  • перечень разрешенного к использованию в информационной системе персональных данных программного обеспечения и его компонентов (при необходимости);
  • положение по проведению оценки эффективности реализованных мер по обеспечению безопасности персональных данных;
  • правила рассмотрения запросов субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных;
  • перечни персональных данных, обрабатываемых в связи с реализацией трудовых отношений, а также в связи с оказанием услуг и осуществления иных функций, установленных закодательством Российской Федерации;
  • перечень (категорий) лиц, допущенных к обработке персональных данных;
  • перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
  • перечень лиц (должностей), ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
  • перечень лиц (должностей), допущенных к обработке обезличенных данных;
  • перечень лиц (должностей), имеющих доступ в помещения, предназначенные для отработки персональных данных;
  • перечень событий безопасности, состав и содержание информации о событиях безопасности, подлежащих регистрации, и сроки их хранения;
  • перечень лиц, ответственных за реализацию мер по защите персональных данных, обрабатываемых без использования средств автоматизации;

В качестве приложений к вышеуказанным документам разрабатываются формы журналов, проекты приказов и т.п.

Типовой состав таких проектов и форм документов, разрабатываемых в интересах Заказчика, включает в себя:

  • приказ о назначении ответственного за организацию обработки персональных данных;
  • приказ о назначении ответственного за обеспечение безопасности персональных данных и администратора безопасности;
  • приказ о ведении журналов (реестров, книг…), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию (при необходимости);
  • приказ о создании постоянно действующей комиссии по уничтожению персональных данных;
  • приказ о назначении ответственных за выявление инцидентов и реагирования на них;
  • приказ о назначении лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных;
  • приказ о назначении комиссии по уничтожению ключевых документов;
  • приказ о назначении ответственного пользователя средств криптографической защиты информации;
  • приказ об утверждении перечня лиц, допущенных к работе со средствами криптографической защиты информации;
  • приказ о проведении работ по вводу средств криптографической защиты информации в эксплуатацию;
  • акты о вводе средств криптографической защиты информации в эксплуатацию;
  • приказ о вводе в эксплуатацию информационной системы персональных данных;
  • типовая форма согласия субъекта персональных данных на обработку его персональных данных;
  • типовая форма поручения другому лицу на обработку персональных данных (при необходимости);
  • уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных (при необходимости);
  • договор между оператором персональных данных и уполномоченным лицом, осуществляющим обработку персональных данных по поручению оператора (при необходимости);
  • типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
  • журнал учета обращений субъектов персональных данных или их законных представителей, а также уполномоченного органа по защите прав субъектов персональных данных;
  • журнал учета мест хранения материальных носителей конфиденциальной информации и персональных данных;
  • журнал событий безопасности (возможно в электронном виде или встроенными возможностями средствами защиты информации);
  • журнал учета магнитных, оптических и иных машинных носителей информации, предназначенных для хранения конфиденциальной информации и персональных данных;
  • журнал учета нарушений, ликвидации их причин и последствий;
  • журнал резервного копирования информационных ресурсов (при необходимости);
  • журнал поэкземплярного учета используемых криптосредств, эксплуатационной и технической документации к ним;
  • журнал учета и выдачи носителей с ключевой информацией;
  • журнал учета пользователей криптосредств;
  • журнал учета хранилищ ключевых документов и технической документации (сейфов);
  • журнал учета ключей от хранилищ ключевых документов и технической документации;
  • журнал учета проверок сигнализации.