Документ описывает подходы к разработке эффективной документации по управлению информационной безопасностью (ИБ). Он выделяет важность понимания целей документа, иерархии используемых документов и приложения лучших практик. Также предлагаются конкретные рекомендации по структуре и оформлению документации для повышения её качества и удобства использования.

1. Разработка
комплекта
документов
по
управлению
ИБ
05-­‐2015
Прозоров
Андрей,
CISM
h-p://80na20.blogspot.ru

2. Все
ИБ-­‐специалисты
работают
с
документами.
Кто-­‐то
пишет.
Кто-­‐то
читает…

3. Примеры
неудачных
документов

4. Разработать
комплект
документов
по
ИБ
(СУИБ,
ПДн,
DLP,
СТО
БР
и
пр.)
–
не
простая
задача
даже
для
специалистов!

5. Как
делать
действительно
классные
документы
по
ИБ?
1. Понимайте
ЗАЧЕМ
и
ДЛЯ
КОГО
документ
2. Не
изобретайте
велосипед
3. Понимайте
иерархию
документов.
Отличайте
«политики»
от
«процедур»
4. Используйте
майндкарты
5. Пишите
«без
воды»

6. Зачем
нужен
документ?
1. Требование
регуляторов,
аудиторов
2. Чтобы
можно
было
в
дальнейшем
применять
дисциплинарные
взыскания
(при
необходимости)
3. Для
повышения
уровня
ИБ
(чтобы
требования
выполнялись)
4. Чтобы
эффективно/результативно
работали
(процедуры,
инструкции,
памятки)
5. Показать
работу…
#1

7. По
функционально-­‐целевому
назначению
документы
делятся
на
следующие
основные
классы:
• Нормативно
правовые
• Организационно-­‐распорядительные
• Нормативные
• Методические
• Плановые
• Информационные
ГОСТ
РО
0043-­‐002-­‐2012.
Обеспечение
безопасности
информации
в
ключевых
системах
информационной
инфраструктуры.
Система
документов
(ДСП)
#2
Документы
бывают
разные

9. Policies
(Политики)
Standards
(Стандарты)
Procedures
(Процедуры)
Guidelines
(Руководства,
Директивы)
Records
(«Записи»)

10. Видение
и
Миссия
Концепция
и
Стратегия
Политики
и
Положения
/
Корп.стандарты
/
Руководства
Процедуры
и
Регламенты
Инструкции
и
Памятки
«Записи»
(отчеты,
протоколы,
служебные
записки
и
пр.)

11. Термины
«процедура»
и
«процесс»
• Процесс
(process)
-­‐
совокупность
взаимосвязанных
видов
деятельности,
преобразующих
входы
в
выходы
• Процедура
(procedure)
–
установленный
способ
осуществления
деятельности
или
процесса
• Применение
системы
процессов
в
рамках
организации
вместе
с
идентификацией
и
взаимодействием
этих
процессов,
а
также
управлением
может
быть
определено
как
«процессный
подход»
ГОСТ
27000-­‐2012

12. Описание
процессов
• Цели
и
назначение
• Входы
и
Выходы
процессов
• Связь
процессов
• Ответственность
(RACI-­‐chart)
• Что
запускает
процесс?
• Четкая
последовательность
шагов
• Документы
и
записи
• Метрики
и
KPI
(если
вы
к
ним
готовы)

13. Процессы
COBIT5
13

14. Важные
для
ИБ
процессы
Из
ITSM
и
BCM
Из
27002
и
NIST
Управление
конфигурацией
Управление
изменениями
Управление
релизами
и
развертыванием
Управление
доступом
Управление
инцидентами
Управление
проблемами
Управление
знаниями
Управление
запросами
на
обслуживание
Управление
услугами
безопасности
Управление
непрерывностью
бизнеса
Планирование
и
совершенствование
ИБ
Управление
рисками
ИБ
Управление
документами
(ИБ)
Уничтожение
оборудования
Прием
и
увольнение
персонала
Повышение
осведомленности
и
обучение
персонала
Управление
(техническими)
уязвимостями
Резервное
копирование
и
восстановление
Мониторинг,
оценка
и
анализ
соответствия
требования
(втч
Внутренний
аудит)

15. Не
изобретайте
велосипед!
Используйте
«лучшие
практики»:
• ISO
27001
/
27002
• NIST
• СТО
БР
ИББС
• PCI
DSS
• ITIL
и
ISO
20000
• COBIT5
• ISO
22301
• …
Статья
«Стандарты,
которые
полезно
знать
специалистам
по
ИБ»
-­‐
h-p://bit.ly/1kCc8SO
#3

16. Используйте
майндкарты
#4

17. Используйте
майндкарты
• При
сборе
и
анализе
информации
• Для
составления
структуры
документа
/
комплекта
• В
качестве
самостоятельных
документов
(протоколы,
памятки,
планы
задач
и
пр.)
• Для
мозгового
штурма
• Для
планирования
• Для
быстрого
«вспоминания»

18. Перечень
документов
СУИБ
• h-p://80na20.blogspot.ru/
2015/01/27001-­‐2013.html
• 10
страниц
таблиц
• Порядка
70
документов

22. ПО
для
ММ
• MindManager
• iMindMap
• xMind

23. Рекомендации
по
составлению
ММ
• Классическая
круговая
структура
самая
удобная
• Ключевые
слова
вместо
больших
предложений
• Сначала
мозговой
штурм
(идеи),
потом
структурирование
и
оформление
• Используйте
цвета,
картинки,
иконки
и
связи
• Перед
окончанием
проверьте
удобство
просмотра
в
Print
Preview
• Сохраняйте
и
в
PDF
• Именуйте
файл
с
«mm»

24. 1. Краткий
2. С
конкретными
назначением
и
целью
3. Написан
под
конкретную
аудиторию
4. Хорошо
оформлен
(удобно
читать)
5. Не
важные
и
большие
приложения
вынесены
в
конец
документа
6. Содержит
минимум
сокращений
и
сложных
терминов,
присутствует
их
перечень
7. Определен
владелец
(ответственный)
и
регулярно
пересматривается
и
актуализируется
(если
не
документ
типа
«запись»)
8. Имеет
минимум
конкретных
ссылок
на
другие
документы
9. Не
дублирует
положения
других
документов
10. При
необходимости
содержит
резюме
для
руководства
(Execu—ve
Summery)
11. Соответствует
шаблону,
принятому
в
организации
12. Определяет
возможность
для
связи
с
автором
для
вопросов
и
комментариев
Хороший
документ
#5