вторник, 5 апреля 2011 г.

Работы по защите ПДн (часть 4)

Перед тем как приступить к проектированию СЗПДн, я бы рекомендовал специалистам ИТ/ИБ разработать два документа: Политика информационной безопасности (ИБ) и Политика обеспечения безопасности ПДн. Ведь эти документы являются высокоуровневыми и являются основным фундаментом (если хотите, то задают вектор) для построения системы защиты организации.  Почему два документа, а не один? Тут как говорится: "на вкус и цвет - фломастеры разные". Привычка заставляет писать небольшие документы, но для каждого процесса. Ссылаясь на свой опыт, могу сказать, что документы размером 15-20 страниц получаются "реально рабочими" (15-20 для политик :), инструкции 3-5).

Политика ИБ - много написано статей, книг и стандартов по содержанию этого документа. С моей точки зрения - это документ, который содержит требования к системе обеспечения и управления ИБ. В этом документе Вы можете описывать требования к различным подсистемам ИБ (антивирусной, криптографической, регистрации и учету, межсетевому взаимодействию.....) и процессам управления ИБ (оценка рисков, внутренний аудит, осведомленность персонала, оценка инцидентов....), а так же не забывайте о ролях и ответственности за их выполнение.

Политика обеспечения безопасности ПДн - структуру документа вы можете найти пошарив в интернете. Этот документ детализирует требования политики ИБ до уровня конкретных ИСПДн. В этом документе прописываются основные требования по обеспечению и управлению безопасностью ПДн, в "конкретных" ИСПДн. Например, в политике ИБ -  действия пользователей в информационной системе должны журналроваться (протоколироваться), в политике обеспечения безопасности ИСПДн - журнал действий пользователей в ИСПДн класса 3 должен содержать следующие параметры: логин, дата и время входа/выхода из ИСПДн; в ИСПДн класса 2 - ............ (в случае если у вас в организации ИСПДн разного класса).

Думаю, что нужно подвести итог. Так для чего же нужны эти два документа? Так как требования к СЗПДн определяются на основании актуальной модели угроз и требований приказа № 58 ФСТЭК, а в некоторых организациях добавляются требования международных стандартов ISO 27001, ISO 27002, ISO 17799? то необходимо их свести в один/два документа, и политики подходят для решения такой задачи как ни что лучше.

Комментариев нет: