SlideShare a Scribd company logo
Разработка	
  комплекта	
  
документов	
  по	
  управлению	
  ИБ	
  
05-­‐2015	
  
Прозоров	
  Андрей,	
  CISM	
  
h-p://80na20.blogspot.ru	
  
Все	
  ИБ-­‐специалисты	
  работают	
  с	
  документами.	
  
Кто-­‐то	
  пишет.	
  Кто-­‐то	
  читает…	
  
Примеры	
  неудачных	
  документов	
  
Разработать	
  комплект	
  документов	
  по	
  ИБ	
  (СУИБ,	
  
ПДн,	
  DLP,	
  СТО	
  БР	
  и	
  пр.)	
  –	
  не	
  простая	
  задача	
  даже	
  
для	
  специалистов!	
  
Как	
  делать	
  действительно	
  классные	
  
документы	
  по	
  ИБ?	
  	
  
1.  Понимайте	
  ЗАЧЕМ	
  и	
  ДЛЯ	
  КОГО	
  документ	
  
2.  Не	
  изобретайте	
  велосипед	
  
3.  Понимайте	
  иерархию	
  документов.	
  Отличайте	
  
«политики»	
  от	
  «процедур»	
  
4.  Используйте	
  майндкарты	
  
5.  Пишите	
  «без	
  воды»	
  
Зачем	
  нужен	
  документ?	
  
1.  Требование	
  регуляторов,	
  аудиторов	
  
2.  Чтобы	
  можно	
  было	
  в	
  дальнейшем	
  
применять	
  дисциплинарные	
  взыскания	
  
(при	
  необходимости)	
  
3.  Для	
  повышения	
  уровня	
  ИБ	
  
(чтобы	
  требования	
  выполнялись)	
  
4.  Чтобы	
  эффективно/результативно	
  
работали	
  (процедуры,	
  инструкции,	
  
памятки)	
  
5.  Показать	
  работу…	
  
#1	
  
По	
  функционально-­‐целевому	
  назначению	
  документы	
  
делятся	
  на	
  следующие	
  основные	
  классы:	
  
•  Нормативно	
  правовые	
  
•  Организационно-­‐распорядительные	
  
•  Нормативные	
  
•  Методические	
  
•  Плановые	
  
•  Информационные	
  
ГОСТ	
  РО	
  0043-­‐002-­‐2012.	
  Обеспечение	
  безопасности	
  информации	
  в	
  ключевых	
  
системах	
  информационной	
  инфраструктуры.	
  Система	
  документов	
  (ДСП)	
  #2	
  
Документы	
  бывают	
  разные	
  
пр Разработка комплекта документов по управлению ИБ (прозоров)
Policies	
  (Политики)	
  
Standards	
  (Стандарты)	
  
Procedures	
  (Процедуры)	
  
Guidelines	
  (Руководства,	
  
Директивы)	
  
Records	
  («Записи»)	
  
Видение	
  и	
  Миссия	
  
Концепция	
  и	
  Стратегия	
  
Политики	
  и	
  Положения	
  /	
  
Корп.стандарты	
  /	
  Руководства	
  	
  
Процедуры	
  и	
  Регламенты	
  
Инструкции	
  и	
  Памятки	
  
«Записи»	
  (отчеты,	
  протоколы,	
  
служебные	
  записки	
  и	
  пр.)	
  
Термины	
  «процедура»	
  и	
  «процесс»	
  
•  Процесс	
  (process)	
  -­‐	
  совокупность	
  
взаимосвязанных	
  видов	
  деятельности,	
  
преобразующих	
  входы	
  в	
  выходы	
  
•  Процедура	
  (procedure)	
  –	
  установленный	
  способ	
  
осуществления	
  деятельности	
  или	
  процесса	
  
•  Применение	
  системы	
  процессов	
  в	
  рамках	
  
организации	
  вместе	
  с	
  идентификацией	
  и	
  
взаимодействием	
  этих	
  процессов,	
  а	
  также	
  
управлением	
  может	
  быть	
  определено	
  как	
  
«процессный	
  подход»	
  
ГОСТ	
  27000-­‐2012	
  
Описание	
  процессов	
  
•  Цели	
  и	
  назначение	
  
•  Входы	
  и	
  Выходы	
  процессов	
  
•  Связь	
  процессов	
  
•  Ответственность	
  (RACI-­‐chart)	
  
•  Что	
  запускает	
  процесс?	
  
•  Четкая	
  последовательность	
  шагов	
  
•  Документы	
  и	
  записи	
  
•  Метрики	
  и	
  KPI	
  	
  
(если	
  вы	
  к	
  ним	
  готовы)	
  
Процессы	
  COBIT5	
  
13	
  
Важные	
  для	
  ИБ	
  процессы	
  
Из	
  ITSM	
  и	
  BCM	
   	
  Из	
  27002	
  и	
  NIST	
  
Управление	
  конфигурацией	
  
Управление	
  изменениями	
  
Управление	
  релизами	
  и	
  развертыванием	
  
Управление	
  доступом	
  
	
  
Управление	
  инцидентами	
  	
  
Управление	
  проблемами	
  
	
  
Управление	
  знаниями	
  
Управление	
  запросами	
  на	
  обслуживание	
  	
  
Управление	
  услугами	
  безопасности	
  
Управление	
  непрерывностью	
  бизнеса	
  
	
  
	
  
Планирование	
  и	
  совершенствование	
  ИБ	
  
Управление	
  рисками	
  ИБ	
  
Управление	
  документами	
  (ИБ)	
  
Уничтожение	
  оборудования	
  
Прием	
  и	
  увольнение	
  персонала	
  
	
  
Повышение	
  осведомленности	
  и	
  обучение	
  
персонала	
  
Управление	
  (техническими)	
  
уязвимостями	
  
Резервное	
  копирование	
  и	
  
восстановление	
  
Мониторинг,	
  оценка	
  и	
  анализ	
  
соответствия	
  требования	
  (втч	
  Внутренний	
  
аудит)	
  
	
  
Не	
  изобретайте	
  велосипед!	
  
Используйте	
  «лучшие	
  практики»:	
  
•  ISO	
  27001	
  /	
  27002	
  
•  NIST	
  
•  СТО	
  БР	
  ИББС	
  
•  PCI	
  DSS	
  
•  ITIL	
  и	
  ISO	
  20000	
  
•  COBIT5	
  
•  ISO	
  22301	
  
•  …	
  
Статья	
  «Стандарты,	
  которые	
  полезно	
  знать	
  специалистам	
  по	
  ИБ»	
  
-­‐	
  h-p://bit.ly/1kCc8SO	
  	
  #3	
  
Используйте	
  майндкарты	
  
#4	
  
Используйте	
  майндкарты	
  
•  При	
  сборе	
  и	
  анализе	
  информации	
  	
  
•  Для	
  составления	
  структуры	
  документа	
  /	
  комплекта	
  
•  В	
  качестве	
  самостоятельных	
  документов	
  
(протоколы,	
  памятки,	
  планы	
  задач	
  и	
  пр.)	
  
•  Для	
  мозгового	
  штурма	
  
•  Для	
  планирования	
  
•  Для	
  быстрого	
  «вспоминания»	
  
	
  
Перечень	
  документов	
  СУИБ	
  
•  h-p://80na20.blogspot.ru/
2015/01/27001-­‐2013.html	
  
•  10	
  страниц	
  таблиц	
  
•  Порядка	
  70	
  документов	
  
	
  
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
ПО	
  для	
  ММ	
  
•  MindManager	
  	
  
•  iMindMap	
  	
  
•  xMind	
  
Рекомендации	
  по	
  составлению	
  ММ	
  
•  Классическая	
  круговая	
  структура	
  самая	
  удобная	
  
•  Ключевые	
  слова	
  вместо	
  больших	
  предложений	
  
•  Сначала	
  мозговой	
  штурм	
  (идеи),	
  потом	
  
структурирование	
  и	
  оформление	
  
•  Используйте	
  цвета,	
  картинки,	
  иконки	
  и	
  связи	
  
•  Перед	
  окончанием	
  проверьте	
  удобство	
  
просмотра	
  в	
  Print	
  Preview	
  
•  Сохраняйте	
  и	
  в	
  PDF	
  
•  Именуйте	
  файл	
  с	
  «mm»	
  
1.  Краткий	
  
2.  С	
  конкретными	
  назначением	
  и	
  целью	
  
3.  Написан	
  под	
  конкретную	
  аудиторию	
  
4.  Хорошо	
  оформлен	
  (удобно	
  читать)	
  
5.  Не	
  важные	
  и	
  большие	
  приложения	
  вынесены	
  в	
  конец	
  документа	
  
6.  Содержит	
  минимум	
  сокращений	
  и	
  сложных	
  терминов,	
  присутствует	
  их	
  
перечень	
  
7.  Определен	
  владелец	
  (ответственный)	
  и	
  регулярно	
  пересматривается	
  и	
  
актуализируется	
  (если	
  не	
  документ	
  типа	
  «запись»)	
  	
  
8.  Имеет	
  минимум	
  конкретных	
  ссылок	
  на	
  другие	
  документы	
  
9.  Не	
  дублирует	
  положения	
  других	
  документов	
  
10.  При	
  необходимости	
  содержит	
  резюме	
  для	
  руководства	
  (Execu—ve	
  
Summery)	
  	
  
11.  Соответствует	
  шаблону,	
  принятому	
  в	
  организации	
  
12.  Определяет	
  возможность	
  для	
  связи	
  с	
  автором	
  для	
  вопросов	
  и	
  
комментариев	
  
Хороший	
  документ	
  
#5	
  
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)

More Related Content

What's hot

Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.
Alexey Evmenkov
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организаций
Alexey Evmenkov
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
DialogueScience
 
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Alexey Evmenkov
 
пр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовпр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентов
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Aleksey Lukatskiy
 
пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
Alexander Dorofeev
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
СМИБ - игра в долгую
СМИБ - игра в долгуюСМИБ - игра в долгую
СМИБ - игра в долгую
Alexey Evmenkov
 
пр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной ибпр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной иб
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр серия стандартов Iso 22301
пр серия стандартов Iso 22301пр серия стандартов Iso 22301
пр серия стандартов Iso 22301
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

What's hot (20)

Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организаций
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
 
пр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовпр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентов
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
 
пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
 
пр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5   итогпр прозоров для Info sec2012 cobit5   итог
пр прозоров для Info sec2012 cobit5 итог
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
 
СМИБ - игра в долгую
СМИБ - игра в долгуюСМИБ - игра в долгую
СМИБ - игра в долгую
 
пр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной ибпр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной иб
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
 
пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)
 
пр серия стандартов Iso 22301
пр серия стандартов Iso 22301пр серия стандартов Iso 22301
пр серия стандартов Iso 22301
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
 

Viewers also liked

пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
Ivan Piskunov
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Книга про измерения (ITSM)
Книга про измерения (ITSM)Книга про измерения (ITSM)
Книга про измерения (ITSM)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Scope of work IT DD
Scope of work IT DDScope of work IT DD
Scope of work IT DD
Ivan Piskunov
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
grishkovtsov_ge
 
Mm iso 27001 2013 +annex a
Mm iso 27001 2013 +annex aMm iso 27001 2013 +annex a
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
Ivan Piskunov
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
Expolink
 
Device lock codeib - екатеринбург 2014
Device lock   codeib - екатеринбург 2014Device lock   codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014
Expolink
 

Viewers also liked (20)

пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
 
пр серия стандартов Iso 27k
пр серия стандартов Iso 27kпр серия стандартов Iso 27k
пр серия стандартов Iso 27k
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)
 
пр стандарты иб. Itsm
пр стандарты иб. Itsmпр стандарты иб. Itsm
пр стандарты иб. Itsm
 
Книга про измерения (ITSM)
Книга про измерения (ITSM)Книга про измерения (ITSM)
Книга про измерения (ITSM)
 
Scope of work IT DD
Scope of work IT DDScope of work IT DD
Scope of work IT DD
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
 
Mm iso 27001 2013 +annex a
Mm iso 27001 2013 +annex aMm iso 27001 2013 +annex a
Mm iso 27001 2013 +annex a
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
 
24_glebov
24_glebov24_glebov
24_glebov
 
Device lock codeib - екатеринбург 2014
Device lock   codeib - екатеринбург 2014Device lock   codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014
 

Similar to пр Разработка комплекта документов по управлению ИБ (прозоров)

BI-проекты глазами аналитика
BI-проекты глазами аналитикаBI-проекты глазами аналитика
BI-проекты глазами аналитика
SQALab
 
Управление привилегированными учетными записями
Управление привилегированными учетными записямиУправление привилегированными учетными записями
Управление привилегированными учетными записями
Pavel Melnikov
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
Expolink
 
Organizational knowledge in ISO 9001:2015
Organizational knowledge in ISO 9001:2015Organizational knowledge in ISO 9001:2015
Organizational knowledge in ISO 9001:2015
Igor Zvyaghin
 
см4(gtd)
см4(gtd)см4(gtd)
см4(gtd)
vipatov
 
Практический курсы для ИТ-директора
Практический курсы для ИТ-директораПрактический курсы для ИТ-директора
Практический курсы для ИТ-директора
Expolink
 
Разработка большой Информационной Системы. С чего начать?
Разработка большой Информационной Системы. С чего начать?Разработка большой Информационной Системы. С чего начать?
Разработка большой Информационной Системы. С чего начать?
SQALab
 
Станисла Ким. "Корпоративное обучение как инструмент продвижения ИТ-продуктов...
Станисла Ким. "Корпоративное обучение как инструмент продвижения ИТ-продуктов...Станисла Ким. "Корпоративное обучение как инструмент продвижения ИТ-продуктов...
Станисла Ким. "Корпоративное обучение как инструмент продвижения ИТ-продуктов...
uransoft
 
Politics
PoliticsPolitics
Politics
cnpo
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
DialogueScience
 
Документирование - зачем и для кого?
Документирование - зачем и для кого?Документирование - зачем и для кого?
Документирование - зачем и для кого?
Sergey Sharmazanov
 
Portal
PortalPortal
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
DialogueScience
 
Битрикс - как повысить эффективность командной работы
Битрикс - как повысить эффективность командной работыБитрикс - как повысить эффективность командной работы
Битрикс - как повысить эффективность командной работы
Денис Мидаков
 
Взаимодействие бизнес-аналитика с командой проекта и Заказчиком, Людмила Гули...
Взаимодействие бизнес-аналитика с командой проекта и Заказчиком, Людмила Гули...Взаимодействие бизнес-аналитика с командой проекта и Заказчиком, Людмила Гули...
Взаимодействие бизнес-аналитика с командой проекта и Заказчиком, Людмила Гули...
DataArt
 
Строим процессы управления собственными руками. Советы начинающим
Строим процессы управления собственными руками. Советы начинающимСтроим процессы управления собственными руками. Советы начинающим
Строим процессы управления собственными руками. Советы начинающим
Cleverics
 
ект до 2014 v2
ект до 2014 v2ект до 2014 v2
ект до 2014 v2
Expolink
 
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Expolink
 
презентация 6 июля 2012
презентация 6 июля 2012презентация 6 июля 2012
презентация 6 июля 2012
Sergiy Gladkyy
 
CEE-SECR'2011 Бизнес-процессы
CEE-SECR'2011 Бизнес-процессыCEE-SECR'2011 Бизнес-процессы
CEE-SECR'2011 Бизнес-процессы
Yury Kupriyanov
 

Similar to пр Разработка комплекта документов по управлению ИБ (прозоров) (20)

BI-проекты глазами аналитика
BI-проекты глазами аналитикаBI-проекты глазами аналитика
BI-проекты глазами аналитика
 
Управление привилегированными учетными записями
Управление привилегированными учетными записямиУправление привилегированными учетными записями
Управление привилегированными учетными записями
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
 
Organizational knowledge in ISO 9001:2015
Organizational knowledge in ISO 9001:2015Organizational knowledge in ISO 9001:2015
Organizational knowledge in ISO 9001:2015
 
см4(gtd)
см4(gtd)см4(gtd)
см4(gtd)
 
Практический курсы для ИТ-директора
Практический курсы для ИТ-директораПрактический курсы для ИТ-директора
Практический курсы для ИТ-директора
 
Разработка большой Информационной Системы. С чего начать?
Разработка большой Информационной Системы. С чего начать?Разработка большой Информационной Системы. С чего начать?
Разработка большой Информационной Системы. С чего начать?
 
Станисла Ким. "Корпоративное обучение как инструмент продвижения ИТ-продуктов...
Станисла Ким. "Корпоративное обучение как инструмент продвижения ИТ-продуктов...Станисла Ким. "Корпоративное обучение как инструмент продвижения ИТ-продуктов...
Станисла Ким. "Корпоративное обучение как инструмент продвижения ИТ-продуктов...
 
Politics
PoliticsPolitics
Politics
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
Документирование - зачем и для кого?
Документирование - зачем и для кого?Документирование - зачем и для кого?
Документирование - зачем и для кого?
 
Portal
PortalPortal
Portal
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
Битрикс - как повысить эффективность командной работы
Битрикс - как повысить эффективность командной работыБитрикс - как повысить эффективность командной работы
Битрикс - как повысить эффективность командной работы
 
Взаимодействие бизнес-аналитика с командой проекта и Заказчиком, Людмила Гули...
Взаимодействие бизнес-аналитика с командой проекта и Заказчиком, Людмила Гули...Взаимодействие бизнес-аналитика с командой проекта и Заказчиком, Людмила Гули...
Взаимодействие бизнес-аналитика с командой проекта и Заказчиком, Людмила Гули...
 
Строим процессы управления собственными руками. Советы начинающим
Строим процессы управления собственными руками. Советы начинающимСтроим процессы управления собственными руками. Советы начинающим
Строим процессы управления собственными руками. Советы начинающим
 
ект до 2014 v2
ект до 2014 v2ект до 2014 v2
ект до 2014 v2
 
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
 
презентация 6 июля 2012
презентация 6 июля 2012презентация 6 июля 2012
презентация 6 июля 2012
 
CEE-SECR'2011 Бизнес-процессы
CEE-SECR'2011 Бизнес-процессыCEE-SECR'2011 Бизнес-процессы
CEE-SECR'2011 Бизнес-процессы
 

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

пр Разработка комплекта документов по управлению ИБ (прозоров)

  • 1. Разработка  комплекта   документов  по  управлению  ИБ   05-­‐2015   Прозоров  Андрей,  CISM   h-p://80na20.blogspot.ru  
  • 2. Все  ИБ-­‐специалисты  работают  с  документами.   Кто-­‐то  пишет.  Кто-­‐то  читает…  
  • 4. Разработать  комплект  документов  по  ИБ  (СУИБ,   ПДн,  DLP,  СТО  БР  и  пр.)  –  не  простая  задача  даже   для  специалистов!  
  • 5. Как  делать  действительно  классные   документы  по  ИБ?     1.  Понимайте  ЗАЧЕМ  и  ДЛЯ  КОГО  документ   2.  Не  изобретайте  велосипед   3.  Понимайте  иерархию  документов.  Отличайте   «политики»  от  «процедур»   4.  Используйте  майндкарты   5.  Пишите  «без  воды»  
  • 6. Зачем  нужен  документ?   1.  Требование  регуляторов,  аудиторов   2.  Чтобы  можно  было  в  дальнейшем   применять  дисциплинарные  взыскания   (при  необходимости)   3.  Для  повышения  уровня  ИБ   (чтобы  требования  выполнялись)   4.  Чтобы  эффективно/результативно   работали  (процедуры,  инструкции,   памятки)   5.  Показать  работу…   #1  
  • 7. По  функционально-­‐целевому  назначению  документы   делятся  на  следующие  основные  классы:   •  Нормативно  правовые   •  Организационно-­‐распорядительные   •  Нормативные   •  Методические   •  Плановые   •  Информационные   ГОСТ  РО  0043-­‐002-­‐2012.  Обеспечение  безопасности  информации  в  ключевых   системах  информационной  инфраструктуры.  Система  документов  (ДСП)  #2   Документы  бывают  разные  
  • 9. Policies  (Политики)   Standards  (Стандарты)   Procedures  (Процедуры)   Guidelines  (Руководства,   Директивы)   Records  («Записи»)  
  • 10. Видение  и  Миссия   Концепция  и  Стратегия   Политики  и  Положения  /   Корп.стандарты  /  Руководства     Процедуры  и  Регламенты   Инструкции  и  Памятки   «Записи»  (отчеты,  протоколы,   служебные  записки  и  пр.)  
  • 11. Термины  «процедура»  и  «процесс»   •  Процесс  (process)  -­‐  совокупность   взаимосвязанных  видов  деятельности,   преобразующих  входы  в  выходы   •  Процедура  (procedure)  –  установленный  способ   осуществления  деятельности  или  процесса   •  Применение  системы  процессов  в  рамках   организации  вместе  с  идентификацией  и   взаимодействием  этих  процессов,  а  также   управлением  может  быть  определено  как   «процессный  подход»   ГОСТ  27000-­‐2012  
  • 12. Описание  процессов   •  Цели  и  назначение   •  Входы  и  Выходы  процессов   •  Связь  процессов   •  Ответственность  (RACI-­‐chart)   •  Что  запускает  процесс?   •  Четкая  последовательность  шагов   •  Документы  и  записи   •  Метрики  и  KPI     (если  вы  к  ним  готовы)  
  • 14. Важные  для  ИБ  процессы   Из  ITSM  и  BCM    Из  27002  и  NIST   Управление  конфигурацией   Управление  изменениями   Управление  релизами  и  развертыванием   Управление  доступом     Управление  инцидентами     Управление  проблемами     Управление  знаниями   Управление  запросами  на  обслуживание     Управление  услугами  безопасности   Управление  непрерывностью  бизнеса       Планирование  и  совершенствование  ИБ   Управление  рисками  ИБ   Управление  документами  (ИБ)   Уничтожение  оборудования   Прием  и  увольнение  персонала     Повышение  осведомленности  и  обучение   персонала   Управление  (техническими)   уязвимостями   Резервное  копирование  и   восстановление   Мониторинг,  оценка  и  анализ   соответствия  требования  (втч  Внутренний   аудит)    
  • 15. Не  изобретайте  велосипед!   Используйте  «лучшие  практики»:   •  ISO  27001  /  27002   •  NIST   •  СТО  БР  ИББС   •  PCI  DSS   •  ITIL  и  ISO  20000   •  COBIT5   •  ISO  22301   •  …   Статья  «Стандарты,  которые  полезно  знать  специалистам  по  ИБ»   -­‐  h-p://bit.ly/1kCc8SO    #3  
  • 17. Используйте  майндкарты   •  При  сборе  и  анализе  информации     •  Для  составления  структуры  документа  /  комплекта   •  В  качестве  самостоятельных  документов   (протоколы,  памятки,  планы  задач  и  пр.)   •  Для  мозгового  штурма   •  Для  планирования   •  Для  быстрого  «вспоминания»    
  • 18. Перечень  документов  СУИБ   •  h-p://80na20.blogspot.ru/ 2015/01/27001-­‐2013.html   •  10  страниц  таблиц   •  Порядка  70  документов    
  • 22. ПО  для  ММ   •  MindManager     •  iMindMap     •  xMind  
  • 23. Рекомендации  по  составлению  ММ   •  Классическая  круговая  структура  самая  удобная   •  Ключевые  слова  вместо  больших  предложений   •  Сначала  мозговой  штурм  (идеи),  потом   структурирование  и  оформление   •  Используйте  цвета,  картинки,  иконки  и  связи   •  Перед  окончанием  проверьте  удобство   просмотра  в  Print  Preview   •  Сохраняйте  и  в  PDF   •  Именуйте  файл  с  «mm»  
  • 24. 1.  Краткий   2.  С  конкретными  назначением  и  целью   3.  Написан  под  конкретную  аудиторию   4.  Хорошо  оформлен  (удобно  читать)   5.  Не  важные  и  большие  приложения  вынесены  в  конец  документа   6.  Содержит  минимум  сокращений  и  сложных  терминов,  присутствует  их   перечень   7.  Определен  владелец  (ответственный)  и  регулярно  пересматривается  и   актуализируется  (если  не  документ  типа  «запись»)     8.  Имеет  минимум  конкретных  ссылок  на  другие  документы   9.  Не  дублирует  положения  других  документов   10.  При  необходимости  содержит  резюме  для  руководства  (Execu—ve   Summery)     11.  Соответствует  шаблону,  принятому  в  организации   12.  Определяет  возможность  для  связи  с  автором  для  вопросов  и   комментариев   Хороший  документ   #5