На этапе подготовки к Аудиту, встает вопрос о том, какие документы должны в организации быть. Обычно, фраза "у всех всё по-разному" не спасает. Хотят перечень.
Ну что ж, вот он:
1 Документы по ИСПДн.
1.1 Акт классификации ИСПДн;
1.2 Перечень ИСПДн;
1.3 Уведомление в РКН;
1.4 Положение об обработке и защите ПДн;
1.5 Перечнь лиц, участвующих в обработке ПДн;
1.6 Приказ об ответственном за защиту ПДн;
2 Проектная документация.
2.1 Проект на создание подсистемы информационной безопасности ИСПДн;
2.2 Проект на создание АБС;
2.3 Проект на создание ДБО.
3 Политики безопасности
3.1 Частная политика ИБ по антивирусной защите;
3.2 Частная политика ИБ по работе с внешними носителями информации;
3.3 Частная политика ИБ по резервированию и восстановлению информации;
3.4 Частная политика ИБ по парольной защите;
3.5 Частная политика ИБ по использованию Интернет;
3.6 Частная политика ИБ по разработке ПО;
3.7 Частная политика ИБ по использованию СКЗИ;
3.8 Частная политика ИБ по мониторингу инцидентов и работе с рисками нарушения ИБ;
4 Эксплуатационная (исполнительная) документация.
4.1 Руководство пользователя ИСПДн (АБС);
4.2 Руководство администратора ИСПДн (АБС);
4.3 Руководство администратора ИБ ИСПДн (АБС);
4.4 Инструкция по контрольным проверкам, план контрольных проверок;
4.5 Инструкция по мониторингу;
4.6 Инструкция по доступу в помещения;
4.7 Перечень информационных активов (типов).
4.8 Перечень средств защиты информации ИСПДн с указанием сертификатов ФСТЭК, ФСБ (журнал учёта СЗИ);
4.9 Перечень ПО АРМ ИСПДн (БПТП);
4.10 План обработки рисков;
4.11 План непрерывности бизнеса;
4.12 Журнал регистрации событий (ведется в электронном виде);
5 Документы, определяющие роли сотрудников.
5.1 Положение о Службе ИБ;
5.2 Паспорт роли: Пользователь ИСПДн;
5.3 Должностные инструкции сотрудников (либо Паспорт ролей), связанных с обеспечением ИБ;
5.4 Должностные инструкции сотрудников (либо Паспорта ролей);
5.5 Должностная инструкция разработчика ПО;
5.6 Должностная инструкция администратора (сотрудника, обслуживающего информационные системы);
5.7 Пакеты прав доступа в Интернет;
6 Документы по работе с СКЗИ.
6.1 Приказ о допуске к работе с криптосредствами;
6.2 Инструкция по работе с криптосредствами;
6.3 Акт уничтожения ключевого носителя;
6.4 Инструкция по доступу в режимные помещения;
6.5 Технический (аппаратный) журнал;
7 Собственная безопасность.
7.1 Регламент приёма на работу сотрудников, влияющих на обеспечение ИБ;
7.2 План проверок профессиональных навыков и проф.пригодности сотрудников;
7.3 Инструкция по проверке работников при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии;
7.4 Обязательство о соблюдении конфиденциальности;
7.5 Обязательство о соблюдении корпоративной этики;
8 Договора с контрагентами.
8.1 Договор на разработку (обслуживание) АБС (ДБО);
8.2 Договор с клиентом организации на ДБО;
8.3 Договор с контрагентом.
Перечень не претендует на полноту. Но в качестве отправной точки вполне не плох.
Ну что ж, вот он:
1 Документы по ИСПДн.
1.1 Акт классификации ИСПДн;
1.2 Перечень ИСПДн;
1.3 Уведомление в РКН;
1.4 Положение об обработке и защите ПДн;
1.5 Перечнь лиц, участвующих в обработке ПДн;
1.6 Приказ об ответственном за защиту ПДн;
2 Проектная документация.
2.1 Проект на создание подсистемы информационной безопасности ИСПДн;
2.2 Проект на создание АБС;
2.3 Проект на создание ДБО.
3 Политики безопасности
3.1 Частная политика ИБ по антивирусной защите;
3.2 Частная политика ИБ по работе с внешними носителями информации;
3.3 Частная политика ИБ по резервированию и восстановлению информации;
3.4 Частная политика ИБ по парольной защите;
3.5 Частная политика ИБ по использованию Интернет;
3.6 Частная политика ИБ по разработке ПО;
3.7 Частная политика ИБ по использованию СКЗИ;
3.8 Частная политика ИБ по мониторингу инцидентов и работе с рисками нарушения ИБ;
4 Эксплуатационная (исполнительная) документация.
4.1 Руководство пользователя ИСПДн (АБС);
4.2 Руководство администратора ИСПДн (АБС);
4.3 Руководство администратора ИБ ИСПДн (АБС);
4.4 Инструкция по контрольным проверкам, план контрольных проверок;
4.5 Инструкция по мониторингу;
4.6 Инструкция по доступу в помещения;
4.7 Перечень информационных активов (типов).
4.8 Перечень средств защиты информации ИСПДн с указанием сертификатов ФСТЭК, ФСБ (журнал учёта СЗИ);
4.9 Перечень ПО АРМ ИСПДн (БПТП);
4.10 План обработки рисков;
4.11 План непрерывности бизнеса;
4.12 Журнал регистрации событий (ведется в электронном виде);
5 Документы, определяющие роли сотрудников.
5.1 Положение о Службе ИБ;
5.2 Паспорт роли: Пользователь ИСПДн;
5.3 Должностные инструкции сотрудников (либо Паспорт ролей), связанных с обеспечением ИБ;
5.4 Должностные инструкции сотрудников (либо Паспорта ролей);
5.5 Должностная инструкция разработчика ПО;
5.6 Должностная инструкция администратора (сотрудника, обслуживающего информационные системы);
5.7 Пакеты прав доступа в Интернет;
6 Документы по работе с СКЗИ.
6.1 Приказ о допуске к работе с криптосредствами;
6.2 Инструкция по работе с криптосредствами;
6.3 Акт уничтожения ключевого носителя;
6.4 Инструкция по доступу в режимные помещения;
6.5 Технический (аппаратный) журнал;
7 Собственная безопасность.
7.1 Регламент приёма на работу сотрудников, влияющих на обеспечение ИБ;
7.2 План проверок профессиональных навыков и проф.пригодности сотрудников;
7.3 Инструкция по проверке работников при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии;
7.4 Обязательство о соблюдении конфиденциальности;
7.5 Обязательство о соблюдении корпоративной этики;
8 Договора с контрагентами.
8.1 Договор на разработку (обслуживание) АБС (ДБО);
8.2 Договор с клиентом организации на ДБО;
8.3 Договор с контрагентом.
Перечень не претендует на полноту. Но в качестве отправной точки вполне не плох.
Я бы сказал это перечень документов которые надо спрашивать в рамках Аудита.
ОтветитьУдалитьНо сразу добавлять в договоре в работах по разработке недостающих документов - перечень этих документов, это значит обречь себя на лишнюю ненужную работу.
Например, Банк вполне может выполнять все требования, но не иметь документов:
ОтветитьУдалить1.3 Уведомление в РКН;
3.1-3.8 Частные политики могут быть и объединены в одном документе
А вот в разделе 5 считаю что не хватает приказов/распоряжений/служебок о назначении ролей.
Ведь могут у нескольких сотрудников быть одинаковые должности и должностные инструкции, а роли разные.
Плюс роли меняются чаще чем должности, должен быть более мобильный механизм назначения ролей.
Журнал учета криптографических ключей разве не нужен?
ОтветитьУдалитьточка зрения РКН - уведомление должно быть (цитирую: "ну вы же обрабатываете ПДн кандидатов на работу!").
ОтветитьУдалитьроли - новый подход, должностные инструкции - старый.
кто-то уже вовсю работает с ролями.. а кто-то говорит "у нас все что Вы говорите зафиксировано в ДИ".
Данный список можно так же рассматривать как повод запросить с Заказчика дополнительные документы :)
Ключи фиксируются в аппаратном журнале.