понедельник, 18 апреля 2011 г.

Перечень документов по СТО БР ИББС

На этапе подготовки к Аудиту, встает вопрос о том, какие документы должны в организации быть. Обычно, фраза "у всех всё по-разному" не спасает. Хотят перечень.

Ну что ж, вот он:


1    Документы по ИСПДн.
1.1    Акт классификации ИСПДн;
1.2    Перечень ИСПДн;
1.3    Уведомление в РКН;
1.4    Положение об обработке и защите ПДн;
1.5    Перечнь лиц, участвующих в обработке ПДн;
1.6    Приказ об ответственном за защиту ПДн;
2    Проектная документация.
2.1    Проект на создание подсистемы информационной безопасности ИСПДн;
2.2    Проект на создание АБС;
2.3    Проект на создание ДБО.
3    Политики безопасности
3.1    Частная политика ИБ по антивирусной защите;
3.2    Частная политика ИБ по работе с внешними носителями информации;
3.3    Частная политика ИБ по резервированию и восстановлению информации;
3.4    Частная политика ИБ по парольной защите;
3.5    Частная политика ИБ по использованию Интернет;
3.6    Частная политика ИБ по разработке ПО;
3.7    Частная политика ИБ по использованию СКЗИ;
3.8    Частная политика ИБ по мониторингу инцидентов и работе с рисками нарушения ИБ;
4    Эксплуатационная (исполнительная) документация.
4.1    Руководство пользователя ИСПДн (АБС);
4.2    Руководство администратора ИСПДн (АБС);
4.3    Руководство администратора ИБ ИСПДн (АБС);
4.4    Инструкция по контрольным проверкам, план контрольных проверок;
4.5    Инструкция по мониторингу;
4.6    Инструкция по доступу в помещения;
4.7    Перечень информационных активов (типов).
4.8    Перечень средств защиты информации ИСПДн с указанием сертификатов ФСТЭК, ФСБ (журнал учёта СЗИ);
4.9    Перечень ПО АРМ ИСПДн (БПТП);
4.10    План обработки рисков;
4.11    План непрерывности бизнеса;
4.12    Журнал регистрации событий (ведется в электронном виде);
5    Документы, определяющие роли сотрудников.
5.1    Положение о Службе ИБ;
5.2    Паспорт роли: Пользователь ИСПДн;
5.3    Должностные инструкции сотрудников (либо Паспорт ролей), связанных с обеспечением ИБ;
5.4    Должностные инструкции сотрудников (либо Паспорта ролей);
5.5    Должностная инструкция разработчика ПО;
5.6    Должностная инструкция администратора (сотрудника, обслуживающего информационные системы);
5.7    Пакеты прав доступа в Интернет;
6    Документы по работе с СКЗИ.
6.1    Приказ о допуске к работе с криптосредствами;
6.2    Инструкция по работе с криптосредствами;
6.3    Акт уничтожения ключевого носителя;
6.4    Инструкция по доступу в режимные помещения;
6.5    Технический (аппаратный) журнал;
7    Собственная безопасность.
7.1    Регламент приёма на работу сотрудников, влияющих на обеспечение ИБ;
7.2    План проверок профессиональных навыков и проф.пригодности сотрудников;
7.3    Инструкция по проверке работников при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии;
7.4    Обязательство о соблюдении конфиденциальности;
7.5    Обязательство о соблюдении корпоративной этики;
8    Договора с контрагентами.
8.1    Договор на разработку (обслуживание) АБС (ДБО);
8.2    Договор с клиентом организации на ДБО;
8.3    Договор с контрагентом.

Перечень не претендует на полноту. Но в качестве отправной точки вполне не плох.

4 комментария:

  1. Я бы сказал это перечень документов которые надо спрашивать в рамках Аудита.
    Но сразу добавлять в договоре в работах по разработке недостающих документов - перечень этих документов, это значит обречь себя на лишнюю ненужную работу.

    ОтветитьУдалить
  2. Например, Банк вполне может выполнять все требования, но не иметь документов:

    1.3 Уведомление в РКН;
    3.1-3.8 Частные политики могут быть и объединены в одном документе

    А вот в разделе 5 считаю что не хватает приказов/распоряжений/служебок о назначении ролей.
    Ведь могут у нескольких сотрудников быть одинаковые должности и должностные инструкции, а роли разные.
    Плюс роли меняются чаще чем должности, должен быть более мобильный механизм назначения ролей.

    ОтветитьУдалить
  3. Журнал учета криптографических ключей разве не нужен?

    ОтветитьУдалить
  4. точка зрения РКН - уведомление должно быть (цитирую: "ну вы же обрабатываете ПДн кандидатов на работу!").

    роли - новый подход, должностные инструкции - старый.

    кто-то уже вовсю работает с ролями.. а кто-то говорит "у нас все что Вы говорите зафиксировано в ДИ".

    Данный список можно так же рассматривать как повод запросить с Заказчика дополнительные документы :)

    Ключи фиксируются в аппаратном журнале.

    ОтветитьУдалить