Банкам и НФО: как готовить внутреннюю документацию по ИБ грамотно и учесть все нюансы
Внутренняя документация сегодня является одним из мощных столпов, на которых держится обеспечение информационной безопасности в организациях, включая банки и НФО. Она необходима для того, чтобы механизмы защиты информации действительно работали, а персонал организации лучше понимал бы правила и требования. В свою очередь, руководству наличие грамотно составляемой и актуализируемой внутренней документации позволяет лучше видеть, насколько все необходимые регламенты соблюдаются.
Нередко составление документации сводится к формальной необходимости, а положения, указанные в составляемых бумагах, не учитывают всех необходимых требований и нюансов, противоречат друг другу, лишены здравого смысла или просто невыполнимы.
Как грамотно и с пользой составлять внутреннюю нормативную документацию, которую можно будет успешно применять в реальной жизни, – рассказывает Константин Чмиль, консультант по информационной безопасности RTM Group, в данном материале.
Иерархия внутренних документов по ИБ: 4 уровня
Грамотно составленная внутренняя нормативная документация важна не менее, чем нормативные акты Банка РФ и действующие в стране законодательные акты по обеспечению ИБ. Все внутренние документы можно условно разделить на 4 типа:
Документы 1 уровня
Содержат положения политики информационной безопасности организации, в которых обозначены основные цели и направления деятельности по обеспечению ИБ.
Документы 2 уровня
Включают в себя положения частных политик банков, НФО и операторов ПДн, в которых документы 1-го уровня рассматриваются более детально.
Документы 3 уровня
К ним относятся ТЗ, регламенты, инструкции и все то, что определяет способы и параметры проведения конкретных мероприятий, связанных с информационной безопасностью организации, или ограничения по отношению к ним.
Документы 4 уровня
В их перечень входят акты и приказы, а также другие бумаги, свидетельствующие о принятии мер и достижении определенных результатов в обеспечении ИБ организации банковской системы.
В идеале положения документов должны быть
- Обязательными для выполнения, а не носить рекомендательный характер;
- Не лишены адекватности, с учётом регулярных изменений в требованиях по отношению к организациям БС РФ.
Желательно также создать классификатор всех внутренних нормативных документов для облегчения работы с ними и проведения аудита по безопасности ИБ.
1 уровень: политика ИБ
Документация корпоративной политики представляет собой один или несколько документов, в которых обобщенно обозначаются цели, преследуемые организацией в рамках деятельности по защите информации. Также прописывают содержание, назначение и требования к деятельности по обеспечению ИБ и управлению рисками.
Важно! В названии документа должно быть указано названии организации.
Какие положения должны содержать документы 1 уровня?
Положения, в которых
- дается определение ИБ в терминах конкретной организации, области действия политики, целей, задач и принципов обеспечения ИБ;
- изложены планы по осуществлению мероприятий ИБ с учётом выбранных целей;
- обозначаются и классифицируются объекты, нуждающиеся в защите;
- указаны возможные угрозы и нарушения, которым противостоит организация в рамках обеспечения ИБ;
- прописаны правила и требования по ИБ, на которые нужно в первую очередь обращать внимание;
- присутствуют требования по управлению ИБ и непрерывностью бизнеса, а также по выявлению вредоносного ПО и вирусов и противодействию им;
- озвучиваются санкции в случае нарушения политики;
- определяются роли и обязанности участников процесса по обеспечению ИБ;
- представлен перечень документов 2-го уровня, детализирующих эти положения, и ответственных за реализацию частных политик;
- обозначены положения по контролю реализации корпоративной политики ИБ, ответственность за реализацию и поддержку документа;
- указаны условия перевыпуска документа.
Кто может участвовать в разработке политики ИБ?
- руководство организации;
- профильные подразделения;
- служба информатизации;
- служба безопасности (информационной безопасности).
Документы 1-го уровня утверждаются руководителем организации (например, председателем, генеральным директором, президентом, руководителем филиала).
Вот что нужно делать для того, чтобы учесть требования всех регуляторов для 1 уровня документации:
- Включите в документ в полном объеме ссылки на все необходимые нормативно-правовые акты;
- Корректно излагайте информацию. Например, очень важно правильно обозначить и классифицировать объекты, нуждающиеся в защите, во избежание дальнейшей путаницы с понятиями, присутствующими в документации;
- Чётко прописывайте правила и требования по ИБ, относящиеся к разным регуляторам;
- В полном объеме указывайте перечень требований регуляторов для областей и направлений защиты информации. Например, стоит перечислить организационно-распорядительную документацию, которая будет использоваться впоследствии.
2 уровень: частные политики
Частные политики составляются на основе целей и требований документов 1-го уровня. Они объединяют правила и принципы, используемые по отношению к отдельным областям информационной безопасности, а также планы работ по обеспечению ИБ.
Важно! Необходимо избегать повторений одних и тех же правил в разных политиках. Достаточно указывать ссылку на уже прописанное правило.
Например: если вам требуется включить требования по антивирусной защите в “Политику обеспечения ИБ информационных банковских технологических процессов”, следует сделать ссылку на “Политику антивирусной защиты” при наличии таковой.
Какие положения должны содержать документы 2 уровня?
Положения, в которых
- прописаны цели и задачи ИБ, в рамках которых установлены частные политики;
- очерчена область действия политики, объекты защиты, риски и угрозы, связанные с ними;
- указаны сведения о виде деятельности, на защиту которой направлено действие положений частной политики, а также о банковских технологиях и об основных технологических процессах;
- определены роли участников процессов, рассматриваемых в частных политиках (отдельные лица или подразделения организации);
- изложены непосредственные требования и правила;
- включены ссылки на другие нормативные документы;
- обозначены положения по контролю реализации частной политики, ответственность за реализацию и поддержку документа;
- указаны условия перевыпуска документа.
Частные политики ИБ
- Политика использования электронной почты и ресурсов сети Интернет.
- Политика по обеспечению ИБ средствами антивирусной защиты.
- Политики мониторинга и менеджмента инцидентов информационной безопасности.
- Политика по обеспечению ИБ при управлении доступом и регистрации.
- Политика по обеспечению ИБ при назначении и распределении ролей и обеспечении доверия к персоналу.
- Политика по обеспечению ИБ банковских платежных технологических процессов.
- Политика по обеспечению ИБ банковских информационных технологических процессов.
Какие документы должны входить в состав планов?
Планы
- по реализации и внедрению процедур, требований и мер обеспечения ИБ;
- мероприятий на случаи возможных инцидентов ИБ;
- мероприятий по обеспечению деятельности в рамках управления ИБ;
- мероприятий по управлению документами, связанными с обеспечением ИБ;
- работ по обслуживанию аппаратных средств и программных систем, используемых для обеспечения ИБ;
- мероприятий по обучению и повышению осведомленности служащих организации БС РФ.
Ограничиваться указанным перечнем не стоит. Здесь могут быть и другие планы, необходимые для защиты информации в соответствии со спецификой деятельности конкретной организации.
Например:
Что важно описывать при составлении планов?
- Перечень и порядок осуществления мероприятий;
- Количество/объем и сроки (начала и окончания) проведения мероприятий по выполнению задач по обеспечению ИБ;
- Имена исполнителей и руководителей, названия подразделений организации, ответственных за проведение этих мероприятий.
Кто может участвовать в разработке частных политик?
- Руководство организации БС РФ и профильных подразделений;
- Службы информатизации и безопасности.
Документы утверждаются руководителем организации/профильного подразделения или иными лицами, в чьи компетенции входят вопросы, отраженные в ВНД.
Как учесть требования всех регуляторов для документов 2 уровня:
При разработке документов 2 уровня следите за тем, чтобы
- они отражали цели и задачи, указанные в документах 1 уровня (Политике ИБ)
- роли и обязанности участников процессов по защите ИБ были распределены в соответствии с требованиями регуляторов. Например, Федеральный закон № 152-ФЗ (ст.18.1, п.1.1; ст. 22.1) требует назначение лица, ответственного за организацию обработки ПДн, а Постановление Правительства РФ № 1119 (п.14) – назначение должностного лица (работника), ответственного за обеспечение безопасности ПДн.
- требования и правила к обеспечению ИБ были детально изложены и не противоречили бы положениям документов 1-го уровня.
3 уровень: руководства и регламенты
Документы 3-го уровня представляют собой нормативные акты, в которых обозначены детализированные требования к процедурам обеспечения информационной безопасности, реализуемым работниками организации в рамках конкретных процессов. В них описываются порядок работы, ограничения и роли лиц, ответственных за выполнение предписаний.
Например:
- инструкции по обеспечению ИБ, в том числе и должностные;
- руководства по обеспечению ИБ, например, по классификации активов;
- методические указания по обеспечению ИБ;
- документы, содержащие требования к конфигурациям;
- и пр.
Важно! Мысли в текстах документов третьего уровня должны быть четко и ясно изложены понятным для персонала языком.
Что важно описывать при составлении руководств и регламентов?
- Определение субъектов, деятельность которых регламентируется инструкцией;
- Ресурсы, необходимые для осуществления деятельности;
- Подробное описание проводимых операций, в т. ч. накладываемые ограничения, и результат выполнения операций;
- Права, обязанности и ответственность субъектов в рамках выполнения этой деятельности.
Руководства и регламенты утверждают лица, ответственные за реализацию соответствующих видов деятельности по обеспечению ИБ.
Как учесть требования всех регуляторов для документов 3 уровня:
Например, перечисляя технические меры по защите ИБ, нет смысла несколько раз повторять пункт об обеспечении подлинности сетевых соединений, прописанный в ЗИС.11 (21 приказ ФСТЭК), ЗИС.27 (239 приказ ФСТЭК) и ЗВС.1 (ГОСТ Р 57580.1-2017) – оператор ПДн, КИИ и Банк соответственно. Стоит объединить все 3 требования в один пункт.
4 уровень: акты и журналы
К 4-му уровню относятся документы, в которых содержится информация о результатах мероприятий по обеспечению информационной безопасности организации. Они служат своего рода доказательством выполнения требований ИБ при проведении аудита организации.
Примеры документов четвертого уровня:
- реестры и описи (например, опись информационных активов организации БС РФ);
- регистрационные журналы, в том числе журналы регистрации инцидентов;
- протоколы (например, протокол проведения испытаний);
- листы ознакомления;
- обязательства (например, обязательства о неразглашении);
- акты;
- договоры;
- отчеты.
Важно! Документы, хранящиеся в электронном виде, следует дублировать на бумаге и хранить архивом.
Как учесть требования всех регуляторов для документов 4 уровня:
- Как учесть требования всех регуляторов для документов 4 уровня:
- корректно соотносить документы с вышестоящими по уровню.
Некорректное составление документации – примеры
В качестве примера неправильно составленного документа можно рассмотреть Инструкцию по повышению осведомленности работников на тему информационной безопасности для банка (документ 3 уровня).
Возьмем главу «Общие положения». Рассмотрим ее:
На первый взгляд раздел в полном объеме описывает цели документа и область его действия. Однако, поскольку Инструкция является документом 3 уровня, правильно было бы сослаться на более высокоуровневый документ и указать их взаимосвязь. Добавив, например, такую информацию:
«Настоящая Инструкция основана на требованиях Политики обеспечения информационной безопасности в Банке».
Здесь же можно рассмотреть главу «Порядок подготовки сотрудников Управления информационной безопасности».
В данном случае при перечислении направлений защиты информации не указано направление «Обеспечение защиты информации при управлении доступом», которое, согласно ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», является обязательным. При проведении проверки такой документ не может учитываться в указанном направлении защиты информации, что предполагает понижение общей оценки защищенности.
Далее, глава «Ответственность». Обратим внимание на нее.
В приведенном абзаце прямо не указана ответственность определенного должностного лица, что может повлечь за собой неисполнение обязательных мероприятий по проведению инструктажа. Такую ошибку можно исключить несколькими способами:
- Добавить ответственное лицо
- Закрепить обязанность проведения инструктажа в другом документе (например, в «Должностной инструкции Руководителя Управления ИБ»)
Грамотный менеджмент документов: ЭДО
Менеджмент документов направлен на обеспечение грамотной разработки, учета, использования, хранения, проверки, обновления и изменения документов по обеспечению ИБ организации. Для этого как нельзя лучше подходит ЭДО — автоматизированный процесс по работе с документами в электронном виде.
Написание внутренних нормативных документов — задача непростая, особенно если организация совмещает роли банка, НФО, оператора ПДн. Но всё же и ее можно выполнить на хорошем уровне, если учитывать все вышеперечисленные рекомендации. Стоит скрупулезно подходить к формированию ВНД: только методичный подход даст возможность учесть все требования и получить в результате рабочий пакет документов.