СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
КИТ
22 января
#Статьи #ИБ

Жизненный цикл ИБ-документов: версии, трассировка изменений, внедрение требований и контроль исполнения

Жизненный цикл ИБ-документов: версии, трассировка изменений, внедрение требований и контроль исполнения

Изображение: recraft

Постулатами информационной безопасности (далее – ИБ) любой компании являются организационные и технические меры. Организационные меры представляют собой совокупность процессов и процедур для обеспечения ИБ, технические меры – различные средства и системы, непосредственно реализующие защитные функции в информационно-телекоммуникационной инфраструктуре (ИТ-инфраструктура). При этом важной составляющей любой системы обеспечения ИБ является документация, регламентирующая и организационные, и технические меры ИБ.

Существует мнение, что документы по ИБ – это лишняя бюрократия, пылящаяся на полке и всеми забытая. Однако такое мнение некорректно, поскольку грамотно составленная документация по ИБ представляет собой хороший управленческий инструмент. Так, в ИБ-документах регламентируются ответственность сотрудников, правила и процедуры, которые необходимо выполнять, способы реализации технических мер, различные схемы и так далее. Но, конечно же, не будем забывать, что документация полезна тогда, когда она несет в себе актуальную информацию, соответствующую реальным механизмам и процессам компании. Таким образом, недостаточно просто разработать и утвердить документы, требуется также поддерживать их в актуальном состоянии, т.е. актуализировать. Поэтому в данной статье мы рассмотрим жизненный цикл документов по ИБ.

В целом, хочется отметить, что жизненный цикл документов по ИБ мало чем отличается от цикла любого организационно-распорядительного документа компании. Все разрабатываемые и внедряемые документы живут по правилам документооборота, которые выстроены в компании. В общем виде жизненный цикл документов состоит из следующих стадий: разработка, согласование, внедрение (утверждение), пересмотр, отмена действия. Однако стоит понимать, что некоторые ИБ-документы могут иметь «короткую жизнь» ввиду отсутствия каких-либо стадий. Для того чтобы понимать жизненный цикл различных документов по ИБ, рассмотрим, какие виды документов выделяют.

По лучшим практикам выделяют иерархическую структуру ИБ-документов с 3 уровнями: стратегическим, тактическим и оперативным. Задача документов первого уровня состоит в том, чтобы описать систему обеспечения ИБ в общем виде, задать цели, задачи и основные принципы. Второй уровень нужен для описания детализированных процессов, правил и процедур обеспечения ИБ, определения порядка реализации организационных и технических мероприятий по направлениям ИБ. Третий уровень включает подробные рабочие документы, артефакты выполнения мер. Стоит отметить, что документы верхнего уровня (стратегического) являются основополагающими и отображают подход компании к обеспечению ИБ. Чем ниже уровень документа, тем чаще он меняется, поэтому на оперативном (нижнем) уровне находятся журналы, инструкции, паспорта и т.д.

Таким образом, ИБ-документы оперативного уровня чаще подвержены актуализации – пересмотру, внесению изменений, замене. При этом часть оперативных документов может не пересматриваться, а постоянно дополняться (например, журналы, в которые вносятся новые отметки, действия и т.д.).

Также существуют оперативные документы, основной смысл которых — показать выполнение установленных требований и реализацию мероприятий по ИБ – отчеты, протоколы, акты и тому подобное. Такие документы по своей сути являются свидетельствами, и их жизненный цикл начинается с утверждения формы соответствующего документа в стандартах (регламентах, положений, политик и пр.) тактического уровня. При этом документы-свидетельства не актуализируются, потому что они отражают фактическое состояние ИБ в определенный момент времени – в момент составления и подписания. И, соответственно, они «живут» до следующего проведения мероприятия по ИБ с формированием нового свидетельствующего документа.

Итак, мы кратко разобрали, какие уровни документации существуют. Рассмотрим типовые стадии жизненного цикла ИБ-документов. Работать с документацией по ИБ, как и в целом с системой управления и обеспечения ИБ, рекомендуется с использованием методологии PDCA (Plan-Do-Check-Act) – цикл Деминга-Шухарта.

Планирование. Любые работы начинаются с их планирования, когда определяются цели, задачи и составляется перечень мероприятий для их достижения. Так же и с документацией по ИБ. В первую очередь необходимо понять ценность ИБ-документов для компании. Часто ценность документов пропорциональна уровню ИБ-зрелости в компании: начиная от внедрения «бумажек» для выполнения регуляторных требований, заканчивая пониманием практической важности в регламентации правил и процедур. Стоит отметить, что в рамках российского законодательства и нормативно-технических стандартов существует несколько направлений по защите информации (например, персональные данные, коммерческая тайна, критическая информационная инфраструктура и т.д.), для соответствия которым требуется формирование и внедрение определенных комплектов организационно-распорядительных документов. Итак, исходя из потребностей компании определяются требования, мероприятия, роли и виды ответственности по управлению и обеспечению ИБ, которые необходимо регламентировать в ИБ-документах.

Соответственно, в рамках планирования формируется перечень стратегических, тактических и оперативных документов по ИБ.

Реализация и внедрение. Следующим этапом является непосредственная разработка документов и их внедрение в компании с учетом существующих правил документооборота. Разрабатывать документацию по ИБ можно как собственными силами компании, так и с привлечением сторонних организаций и экспертов. Если говорить про внутренние силы компании, то большую часть ИБ-документов разрабатывают специалисты отдела по ИБ. Ключевое – что большую часть. Так или иначе, документы по ИБ затрагивают не только процессы управления и обеспечения ИБ, но и процессы информационных технологий (ИТ-процессы) и юридические аспекты (например, права субъектов персональных данных). Поэтому ИБ-документы разрабатываются с привлечением профильных подразделений компании, или часть документов полностью передается в их ведение (вне зоны ответственности ИБ-отдела).

При формировании комплекта документации необходимо учитывать:

  • требования по ИБ, установленные нормативными правовыми актами;
  • требования по ИБ, установленные методическими и техническими стандартами (в виде лучших практик как ориентир и помощь);
  • архитектуру ИТ-инфраструктуры и эксплуатируемых систем и сетей;
  • существующие процессы управления и обеспечения ИБ, технологические и бизнес-процессы;
  • функциональные зоны ответственности сотрудников компании.

Стоит отметить, что разрабатываемые ИБ-документы не должны быть оторваны от реальности. Наоборот, документы должны отражать существующие в компании процессы (и речь не только об ИБ-процессах), правила и процедуры, не должны противоречить им, затруднять их реализацию. В целом, документы не должны содержать положения, которые невозможно реализовать на практике ввиду нецелесообразности, отсутствия отдельных технологий, избыточности и прочего-прочего. Хороший и полезный документ соответствует деятельности компании, он приземлен под контекст деятельности и адаптирован с учетом внутренних процессов.

Перед тем как внедрять документы, их необходимо согласовать с отдельными подразделениями и руководителями. Процессы согласования индивидуальны в каждой организации и зависят от установленных правил документооборота. Однако, как отмечалось ранее, в разработке ИБ-документов участвуют профильные подразделения, на которых будут возлагаться отдельные функции и задачи. Соответственно, проекты ИБ-документов необходимо согласовать с такими структурными подразделениями – с их руководителями и (или) техлидами (опытными экспертами). Отметим, что отдельные документы стратегического уровня рекомендуется согласовывать с высшим руководством (генеральным директором), поскольку такие документы могут отображать общую позицию компании по отношению к какой-либо деятельности в области ИБ или в целом отношение к ИБ (стратегии развития, принципы, бюджетные оценки и т.д.).

Итак, после разработки и согласования с необходимыми лицами документы по ИБ необходимо внедрить, то есть утвердить и «ввести в эксплуатацию». Документы утверждаются приказами уполномоченных лиц, то есть лицами, которые имеют соответствующие полномочия и права в рамках компании. Такими лицами, например, могут быть генеральный (исполнительный) директор, директор по ИБ (CISO), заместитель генерального директора или иной руководитель уровня топ-менеджмента. Стоит отметить, что документы оперативного уровня не всегда требуют своего утверждения путем издания соответствующего приказа. Зачастую оперативные документы, а точнее их формы утверждаются в рамках документации тактического уровня (например, в регламенте управления доступом утверждена форма заявки на предоставление доступа). Тогда, получается, что приказом утверждается тактический документ и форма оперативного документа. В таких случаях для оперативных документов под внедрением понимается их подготовка к использованию – настройка ИТ-инфраструктуры, создание электронных таблиц и документов по соответствующей форме, подготовка материальных (бумажных) носителей и так далее. То есть нужно создать условия для реального заполнения установленных форм.

Контроль. По своей сути постоянно «функционирует» только документация оперативного уровня, поскольку она заполняется по мере реализации процедур по обеспечению ИБ. В большинстве случаев документы по ИБ представляют собой свод правил, которые требуется учитывать при осуществлении деятельности компании. Грубо говоря, большинство ИБ-документов просто существуют, так как с ними не происходит активных действий. Однако это не означает, что документы можно положить на полочку и забыть про них. Напротив, как отмечалось в самом начале, ИБ-документы должны содержать в себе актуальные положения, соответствующие реальности и современным требованиям по ИБ. Ввиду необходимости поддержания документации в актуальном состоянии требуется проводить периодические контрольные мероприятия.

Потребность в актуализации документации по ИБ в случае возникновения каких-либо изменений понятна и логична – в документы вносятся корректировки и дополнения. Однако контроль необходимо проводить также для того, чтобы проверить исполнение регламентированных требований: учитывают ли сотрудники ИБ-документы при выполнении своих задач, действительно ли процедуры внедрены, заполняются ли журналы и иные оперативные документы. То есть проводится аудит, в рамках которого соотносятся регламентация и практика. Так, если выяснится, что «бумажные» требования и технические меры живут разную жизнь, то это повод пересмотреть ИБ-документы с целью их улучшения и в целом улучшения системы обеспечения ИБ.

Таким образом, контроль за документацией имеет смысл инициировать и проводить периодически (например, раз в 3 года) или в следующих случаях:

  • изменение нормативных требований;
  • изменение ИТ-инфраструктуры, внедрение новых технологий и средств защиты;
  • организационно-кадровые изменения;
  • изменение процессов: как ИБ-процессов, так и производственных, бизнес-процессов.

По результатам контроля делаются выводы о соответствии ИБ-документов действительности или нововведениям, то есть формируется перечень недостатков и несоответствий, которые подлежат дальнейшему анализу.

Совершенствование. После проведения контрольных мероприятий необходимо осуществить анализ их результатов с целью улучшения документационного обеспечения ИБ и совершенствования процессов ИБ. Так, выявленные недостатки и несоответствия в документах ИБ анализируются с точки зрения причин их возникновения: непонятные требования, сложно реализуемые процедуры, избыточная бюрократия, отсутствие компетенций и так далее. Постепенно процесс совершенствования перетекает в процесс планирования, в рамках которого принимаются и планируются решения для корректировки действующих или разработки новых ИБ-документов.

Как раз из-за того, что некоторые документы корректируются, возникают различные их версии. Некоторые документы по ИБ могут иметь множество недостатков (несоответствий), и ввиду этого их полностью обновляют; а некоторые документы могут требовать небольшие правки, и тогда их точечно корректируют, конкретизируя, дополняя или исключая отдельные положения. Здесь можно провести аналогию с нумерацией версий обновлений программного обеспечения или операционных систем: первичному документу присваивается версия 1.0, далее по мере небольших изменений версия дополняется десятичными дробями (1.1, 1.2.1 и т.д.), при полном пересмотре документа или возникновении крупных изменений нумерация версии увеличивается (с 1.0 до 2.0 и далее). Однако стоит отметить, что правила нумерации версий ИБ-документов и в целом необходимость такой нумерации определяется внутренними правилами документооборота, то есть нумерация версий не является обязательным требованием к документу. На практике встречается такой артефакт как «Лист изменений» или «Лист регистрации изменений», в котором указываются замененные страницы действующего документа или внесенные в него корректировки. Соответствующие листы являются дополнением к документу и прикреплены к нему.

Таким образом, мы понимаем, что документы, приносящие пользу для компании в рамках деятельности по ИБ, имеют цикличную жизнь и подвержены пересмотрам, обновлениям и совершенствованиям. ИБ-документы не просто бесполезные бумажки, а классный инструмент для управления.

Автор: Лабынцева Наталья Сергеевна, ведущий консультант по информационной безопасности «КИТ» (Киберинтеллектуальная Трансформация).

КИТ
Автор: КИТ
КИТ — поставщик профессиональных сервисов в области кибербезопасности, цифровой трансформации и ИИ.
Комментарии: