28.05.2009 Документы по информационной безопасности
Одной из важнейших составляющих эффективной системы управления информационной безопасностью является набор работающих политик и процедур. Зачем они нужны? Как отличить хороший документ от плохого? Как шутят консультанты и интеграторы? Об этом в данной заметке
Зачем нужны документы?
В основном, для того чтобы у всех было одинаковое понимание о том, что, когда, как и кто должен делать для защиты информации (дополнительно см. Политики и процедуры по информационной безопасности).
Есть ли универсальные документы?
Универсальных документов нет. В маленькой компании хватит инструкции для конечного пользователя, а в транснациональном холдинге потребуется целая структура взаимосвязанных документов.
Как оценить качество политики/процедуры?
Перечислю признаки плохих документов:
- Большой объем (для политики > 3 страниц, а для процедуры > 15);
- Плохая ориентированность на аудиторию. Например, в документе, ориентированном на ИТ-специалистов, рассказывается о том, что такое “конфиденциальность”, “целостность” и “доступность”, а в документе, ориентированном на всех сотрудников компании, авторы смело оперируют такими понятиями, как “правила межсетевого экранирования” и “система обнаружения вторжений”;
- Мутность документа. Если из документа не понятно, как распределяются обязанности, в чем заключается процедура, какие результаты на выходе, как осуществляется контроль, какая периодичность выполнения процедуры и т.п., то единственная польза такого документа заключается в его наличии. Такие документы могут доставаться с пыльной полки раз год для аудиторов.
Таким образом, хороший документ – ясный, краткий и ориентирован на конкретную группу пользователей.
Курьезы из практики
За свою практику я просмотрел достаточно много политик информационной безопасности и две политики мне запомнились своей оригинальностью.
Один документ входил в состав комплекта, поставляемого на компакт-диске одним из игроков российского рынка информационной безопасности. Не знаю почему, но высокоуровневая политика информационной безопасности включала в себя схему сети. Другая политика представляла собой документ объемом в 50 страниц и тянула на хорошее вузовское пособие по информационной безопасности – она содержала описание математических моделей злоумышленника.
Разработка документов по информационной безопасности как бизнес
Практически любая компания, работающая на рынке информационной безопасности, предлагает услуги по разработке политик и процедур информационной безопасности. Вещь полезная для клиента, но необходимо помнить, что в ходе такого проекта нужно быть постоянно в контакте с консультантами, чтобы на выходе не получить неработающие “лучшие практики”. Только вовлечение сотрудников клиента и предоставление необходимой информации о существующих в компании процессах позволят создать комплект документов, подходящих компании.
Полезный проект: SecurityPolicy.ru
В своей заметке Информационная безопасность за бесплатно я упоминал о проекте института SANs по разработке политик информационной безопасности. Недавно узнал о российском проекте SecurityPolicy.ru. Портал уже содержит серьезный набор документов, и надеюсь, что благодаря общим усилиям специалистов по информационной безопасности, он станет хорошим источником шаблонов документов для построения эффективных систем управления информационной безопасностью в российских компаниях.
Наш вклад
Наша компания также поддерживает публикацию полезных шаблонов документов и сегодня на нашем сайте появился шаблон Положения о применимости контрмер ISO 27001 (Statement of applicability). Данное положение необходимо для прохождения сертификации по ISO 27001, так как именно оно (в заполненном, конечно, виде) определяет границы системы управления информационной безопасности в терминах контрмер ISO 27001.
Дополнительно по теме
- Управление документацией системы управления информационной безопасностью: требования ISO 27001:2005
- >Политики и процедуры по информационной безопасности
- Политика информационной безопасности
Related Posts
- Политика информационной безопасности
- Политики и процедуры по информационной безопасности
- Управление документацией системы управления информационной безопасностью: требования ISO 27001:2005
- Аудит информационной безопасности
- Какой набор документов необходим для прохождения сертификации на соответствие ISO 27001? Часть первая.
Метки: документы
- Отзывов (4)
- Рубрика: информационная безопасность
Постоянная ссылка #
Ригель
пишет
Контрмеры, конечно же, из 27002, а в-целом согласен.Но, вообще-то говоря, критерий правильности документа — это то, что он работает, а остальное вторично. У ясных и адресных просто предпосылок для этого больше, но бывают и они устаревшими, не пущенными в народ или еще что. Бывает, например, такой контекст общекорпоративной культуры, что 8 страниц плоского текста работники воспринимают (привыкли), а одну в румлере-брейче нет.
Постоянная ссылка #
пишет
Спасибо за комментарий! По поводу ISO 27002 можно поспорить. Конечно перечень контрмер, разбитых на домены, появился в BS 7799:1 еще в 1995, а вторая часть, посвященная сертификации вышла только в 1998, но на мой взгляд, современная логика стандартов такова:1. есть ISO 27001, в котором рассказывается о том, как построить СУИБ и приводится базовый перечень контрмер (приложение A)2. есть ISO 27002, рассказывающий о том, каким образом могут быть внедрены данные базовые контрмеры.
Постоянная ссылка #
Ригель
пишет
Александр, Вы же прекрасно понимаете, что можно и так, и этак.Но именование 27002-ых мер 27001-ыми банально вносит лишнюю путаницу, т.к. с 4ой по 8ю клаузу 27001 — это ж тоже меры. Зачем этот снос крыши и взрыв мозга мирному населению-то?
Постоянная ссылка #
Void Z7
пишет
Александр благодарю за ссылку на ресурс!Присоединяюсь к нему, ибо есть, что донести =)С уважением