Не знаешь чем занять себя на карантине? Конечно же, ОРД!

Время всеобщего карантина, когда многие бизнес-процессы замедлились или даже замерли, можно использовать с пользой! Например, привести в порядок дела и выполнить задачи, до которых при обычном режиме работы не доходили руки. В числе таких дел – разработка организационно-распорядительной документации (ОРД) в сфере защиты информации. Это трудоемкий и сложный процесс, который зачастую делается «для галочки» и «лишь бы выполнить требования регуляторов». Однако при грамотном, профессиональном подходе именно ОРД может стать тем инструментом, который запустит в компании процессы информационной безопасности, обеспечит дисциплину, смотивирует сотрудников на правильное, «безопасное» поведение, а также создаст условия для эффективного функционирования всей системы защиты.

В статье мы расскажем вам, какие именно документы должны быть в комплекте, если в ваших информационных системах обрабатываются персональные данные (ПДн), если у вас есть государственные информационные системы (ГИС) или значимые объекты критической информационной инфраструктуры (ЗО КИИ).

Условно комплект организационно-распорядительной документации можно разделить на четыре блока (см. рисунок):

  1. Документы, регламентирующие вопросы обработки персональных данных.
  2. Документы, регламентирующие вопросы применения средств шифрования.
  3. Документы, регламентирующие вопросы технической защиты информации.
  4. Документы, учитывающие отраслевую специфику.

Что же в них входит и на основании каких документов их составлять? Рассмотрим каждый из блоков подробнее.

Рисунок. ОРД по защите информации

Документы, регламентирующие вопросы обработки персональных данных, должны быть составлены на основе Федерального закона № 152 от 27.06.2006 «О персональных данных» и его подзаконных актов:

1. Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных».

2. Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

3. Постановления Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

4. Постановления Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

5. Приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

Среди документов этого блока можно выделить политику по обработке персональных данных, приказ о проведении мероприятий по защите персональных данных, план проведения внутреннего контроля соответствия обработки персональных данных требованиям по защите, перечень лиц, имеющих доступ к персональным данным, правила обработки персональных данных и другие.

Документы, регламентирующие вопросы применения средств шифрования, разрабатываются на основе документов Федеральной службы безопасности Российской Федерации (ФСБ России):

1. Приказа ФСБ России от 10.09.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

2. Приказа ФАПСИ при Президенте РФ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

3. Приказа ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».

В этот блок включаем инструкцию пользователя криптосредств, перечень лиц, допущенных к работе с криптосредствами, журнал учета криптосредств, инструкцию по восстановлению связи в случае компрометации действующих ключей шифрования, перечень хранилищ средств шифрования и т.д.

Третий блок, описывающий реализацию технической защиты информации в компании, определяется тем, какие объекты и какую информацию необходимо защищать.

Приведем примеры:

  1. Для информационных систем персональных данных необходимо учесть требования приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  2. Для государственных и муниципальных информационных систем применяем приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и методический документ ФСТЭК России от 11.02.2014 «Меры защиты информации в государственных информационных системах».
  3. Для значимых объектов критической информационной инфраструктуры используем приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» и приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Среди документов этого блока – инструкции, регламентирующие порядок реализации мер из соответствующих приказов ФСТЭК России:

  • идентификация и аутентификация (ИАФ);
  • управление доступом (УПД);
  • ограничение программной среды (ОПС);
  • защита машинных носителей информации (ЗНИ);
  • аудит безопасности (АУД) или регистрация событий безопасности (РСБ);
  • антивирусная защита (АВЗ);
  • контроль (анализ) защищенности информации (АНЗ);
  • предотвращение вторжений (компьютерных атак) (СОВ);
  • обеспечение целостности (ОЦЛ);
  • обеспечение доступности (ОДТ);
  • защита среды виртуализации (ЗСВ);
  • защита технических средств и систем (ЗТС);
  • защита информационной (автоматизированной) системы и ее компонентов (ЗИС);
  • планирование мероприятий по обеспечению безопасности (ПЛН);
  • управление конфигурацией (УКФ);
  • управление обновлениями программного обеспечения (ОПО);
  • реагирование на инциденты информационной безопасности (ИНЦ);
  • обеспечение действий в нештатных ситуациях (ДНС);
  • информирование и обучение персонала (ИПО).

При этом перечень и состав мер зависят от нескольких факторов: типа защищаемой системы, требуемого уровня защиты, актуальных угроз безопасности информации, особенностей системы и применяемых технологий и т.д.

Четвертый блок ОРД определяется сферой, в которой функционирует ваша компания. Для финансовых и энергетических компаний это будут разные документы в зависимости от стандартов и рекомендаций, разработанных в конкретной отрасли. А их может быть очень много. Например, для электроэнергетики можно выделить порядка 40 отраслевых нормативно-технических документов: методических указаний и рекомендаций от Минэнерго России, отраслевых стандартов и типовых технических требований, которые важно учесть при разработке и внедрении ОРД.

При наличии объектов КИИ следует применять еще целый ряд нормативных документов, разработанных ФСБ России, и задокументировать порядок взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА):

1. Приказ ФСБ России от 24.07.2018 №367 «Об утверждении Перечня информации, представляемой в ГосСОПКА и Порядка представления информации в ГосСОПКА».

2. Приказ ФСБ России от 24.07.2018 №368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах и Порядка получения субъектами КИИ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения».

3. Приказ ФСБ России от 19.06.2019 №282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении ЗО КИИ РФ».

Нет желания и времени разбираться с тонкостями законодательства в сфере защиты информации? Вы можете доверить эту задачу нашей команде: специалисты “SoftMall” профессионально проконсультируют вас и составят документацию по защите информации так, чтобы отразить реальные процессы компании и вместе с тем выполнить требования регуляторов.