Время всеобщего карантина, когда многие бизнес-процессы замедлились или даже замерли, можно использовать с пользой! Например, привести в порядок дела и выполнить задачи, до которых при обычном режиме работы не доходили руки. В числе таких дел – разработка организационно-распорядительной документации (ОРД) в сфере защиты информации. Это трудоемкий и сложный процесс, который зачастую делается «для галочки» и «лишь бы выполнить требования регуляторов». Однако при грамотном, профессиональном подходе именно ОРД может стать тем инструментом, который запустит в компании процессы информационной безопасности, обеспечит дисциплину, смотивирует сотрудников на правильное, «безопасное» поведение, а также создаст условия для эффективного функционирования всей системы защиты.
В статье мы расскажем вам, какие именно документы должны быть в комплекте, если в ваших информационных системах обрабатываются персональные данные (ПДн), если у вас есть государственные информационные системы (ГИС) или значимые объекты критической информационной инфраструктуры (ЗО КИИ).
Условно комплект организационно-распорядительной документации можно разделить на четыре блока (см. рисунок):
- Документы, регламентирующие вопросы обработки персональных данных.
- Документы, регламентирующие вопросы применения средств шифрования.
- Документы, регламентирующие вопросы технической защиты информации.
- Документы, учитывающие отраслевую специфику.
Что же в них входит и на основании каких документов их составлять? Рассмотрим каждый из блоков подробнее.
Рисунок. ОРД по защите информации
Документы, регламентирующие вопросы обработки персональных данных, должны быть составлены на основе Федерального закона № 152 от 27.06.2006 «О персональных данных» и его подзаконных актов:
1. Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных».
2. Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
3. Постановления Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
4. Постановления Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
5. Приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
Среди документов этого блока можно выделить политику по обработке персональных данных, приказ о проведении мероприятий по защите персональных данных, план проведения внутреннего контроля соответствия обработки персональных данных требованиям по защите, перечень лиц, имеющих доступ к персональным данным, правила обработки персональных данных и другие.
Документы, регламентирующие вопросы применения средств шифрования, разрабатываются на основе документов Федеральной службы безопасности Российской Федерации (ФСБ России):
1. Приказа ФСБ России от 10.09.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
2. Приказа ФАПСИ при Президенте РФ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
3. Приказа ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
В этот блок включаем инструкцию пользователя криптосредств, перечень лиц, допущенных к работе с криптосредствами, журнал учета криптосредств, инструкцию по восстановлению связи в случае компрометации действующих ключей шифрования, перечень хранилищ средств шифрования и т.д.
Третий блок, описывающий реализацию технической защиты информации в компании, определяется тем, какие объекты и какую информацию необходимо защищать.
Приведем примеры:
- Для информационных систем персональных данных необходимо учесть требования приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
- Для государственных и муниципальных информационных систем применяем приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и методический документ ФСТЭК России от 11.02.2014 «Меры защиты информации в государственных информационных системах».
- Для значимых объектов критической информационной инфраструктуры используем приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» и приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Среди документов этого блока – инструкции, регламентирующие порядок реализации мер из соответствующих приказов ФСТЭК России:
- идентификация и аутентификация (ИАФ);
- управление доступом (УПД);
- ограничение программной среды (ОПС);
- защита машинных носителей информации (ЗНИ);
- аудит безопасности (АУД) или регистрация событий безопасности (РСБ);
- антивирусная защита (АВЗ);
- контроль (анализ) защищенности информации (АНЗ);
- предотвращение вторжений (компьютерных атак) (СОВ);
- обеспечение целостности (ОЦЛ);
- обеспечение доступности (ОДТ);
- защита среды виртуализации (ЗСВ);
- защита технических средств и систем (ЗТС);
- защита информационной (автоматизированной) системы и ее компонентов (ЗИС);
- планирование мероприятий по обеспечению безопасности (ПЛН);
- управление конфигурацией (УКФ);
- управление обновлениями программного обеспечения (ОПО);
- реагирование на инциденты информационной безопасности (ИНЦ);
- обеспечение действий в нештатных ситуациях (ДНС);
- информирование и обучение персонала (ИПО).
При этом перечень и состав мер зависят от нескольких факторов: типа защищаемой системы, требуемого уровня защиты, актуальных угроз безопасности информации, особенностей системы и применяемых технологий и т.д.
Четвертый блок ОРД определяется сферой, в которой функционирует ваша компания. Для финансовых и энергетических компаний это будут разные документы в зависимости от стандартов и рекомендаций, разработанных в конкретной отрасли. А их может быть очень много. Например, для электроэнергетики можно выделить порядка 40 отраслевых нормативно-технических документов: методических указаний и рекомендаций от Минэнерго России, отраслевых стандартов и типовых технических требований, которые важно учесть при разработке и внедрении ОРД.
При наличии объектов КИИ следует применять еще целый ряд нормативных документов, разработанных ФСБ России, и задокументировать порядок взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА):
1. Приказ ФСБ России от 24.07.2018 №367 «Об утверждении Перечня информации, представляемой в ГосСОПКА и Порядка представления информации в ГосСОПКА».
2. Приказ ФСБ России от 24.07.2018 №368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах и Порядка получения субъектами КИИ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения».
3. Приказ ФСБ России от 19.06.2019 №282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении ЗО КИИ РФ».
Нет желания и времени разбираться с тонкостями законодательства в сфере защиты информации? Вы можете доверить эту задачу нашей команде: специалисты "SoftMall" профессионально проконсультируют вас и составят документацию по защите информации так, чтобы отразить реальные процессы компании и вместе с тем выполнить требования регуляторов.