Как писать понятные инструкции по ИБ

13.01.2023
24/03/25
Б-152
Максим Шаманаев, Екатерина Витенбург
Как писать понятные инструкции по ИБ в организации к системе защиты персональных данных
Статья посвящена роли и разработке нормативных документов в области информационной безопасности. Рассматриваются требования регуляторов, примеры детализации процессов на основе инструкции администратора безопасности, а также рекомендации по созданию практических и понятных документов для организации.

Роль нормативных документов в обеспечении ИБ

Обеспечение информационной безопасности процесс постоянный и многогранный. Одной из его сторон является разработка нормативных документов. Не смотря на то, что бытует мнение о бумажной безопасности, без них процесс обеспечения безопасности информации не будет последовательным и контролируемым.
Стоит учитывать тот факт, что наличие определенной документации по информационной безопасности — это требование регуляторов, а не просто фантазия и прихоть подразделения ИБ или руководства.
Взять, например, требования Федерального закона № 152-ФЗ «О персональных данных». Там явно прописана необходимость разработки в организации таких документов, как например:
  • Согласие субъекта на обработку персональных данных;
  • Регламент реагирования на обращения и запросы субъектов персональных данных;
  • Приказ о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных;
  • Положение об обработке персональных данных;
  • Инструкция администратора безопасности и т. д.
Разумеется в организации должны быть все документы, разработку которых предписывают регуляторы. Но вот вопрос — как сделать так чтобы они были понятными и полезными в применении? Данный вопрос разберем на примере инструкции администратора безопасности.

Инструкция администратора безопасности

Инструкция администратора безопасности информационных систем персональных данных — это документ, регламентирующий деятельность лица, ответственного за обеспечение информационной безопасности в одной или нескольких информационных систем персональных данных. В ней закреплены его права и обязанности. В идеале хорошая инструкция содержит конкретные методики и описание порядка действий по тому или иному процессу.
Разберем более детально примеры из типовой инструкции администратора безопасности и то, как можно более детально и понятно описать те или иные процессы.
Пример из типовой инструкции администратора безопасности
Более подробное описание процесса регистрации учёта машинных носителей информации, при котором администратор точно будет знать, как ему осуществлять деятельность.
«Администратор безопасности должен вести учёт машинных носителей информации.»
Учет машинных носителей информации
«Администратор безопасности обязан регистрировать все машинные носители ПДн, используемые при работе с СВТ для обработки и хранения ПДн, в Журнале учета выдачи Машинных носителей ПДн, форма которого приведена в Приложении № n к настоящей Инструкции. Допускается ведение Журнала в электронной форме.»
«Решение об уничтожении Машинного носителя ПДн принимает Администратор безопасности.
Основанием для уничтожения является:
  • повреждение Машинного носителя ПДн, исключающее его дальнейшее использование;
  • потеря практической ценности Носителя ПДн.

Администратор безопасности хранит списанные Машинные носители ПДн, подлежащие уничтожению, в месте, запираемом под ключ и отделенном от других Машинных носителей ПДн. Уничтожение Машинных носителей ПДн производится Администратором безопасности. После уничтожения Машинные носители ПДн снимаются с учета с отметкой об уничтожении в Журнале.

Уничтожение съемных Машинных носителей информации производится путем деформирования до состояния, которое исключает их повторное использование, нарушения единой целостности носителя или его сжигания. Перед уничтожением необходимо произвести циклы полного удаления всей информации."
Уничтожение машинных носителей информации
«Администратор безопасности непосредственно производит уничтожение машинных носителей персональных данных. Уничтожение осуществляется путем физического уничтожения носителя.»
Более подробное описание процесса уничтожения машинных носителей персональных данных
Пример из типовой инструкции администратора безопасности
Пример из типовой инструкции администратора безопасности
Более подробное описание процесса реагирования на инциденты информационной безопасности
Не лишним в случае расследования инцидента установить предельные длительности. Стоит также сказать, что существуют ГОСТы и рекомендации регуляторов, методические документы, которые полезно учитывать при разработке инструкций. Полезны и рекомендации международных стандартов
«Администратор безопасности принимает непосредственное участие в реагировании на инциденты информационной безопасности с целью скорейшей ликвидации инцидента и недопущения его повторения»
Реагирование на инциденты информационной безопасности
«В случае выявления Инцидента информационной безопасности, связанного с обработкой и обеспечением безопасности ПДн), Администратор безопасности обязан:
  • обеспечить прекращение работы с ресурсом, в котором выявлен Инцидент;
  • провести первичный опрос Работников, допустивших нарушение, а также лиц, которые могут оказать содействие в установлении обстоятельств возникновения Инцидента;
  • провести первичный осмотр объектов и предметов, которые могут иметь отношение к факту нарушения;
  • оповестить о факте выявленного Инцидента Ответственного.

При организации и проведении внутреннего расследования Инцидента безопасности обязан предоставлять всю необходимую информацию."
Вам нужна разработка или модернизация локальных нормативных актов по ИБ?

Правила разработки эффективных документов по ИБ

Основной проблемой при разработке пакета локальных нормативных актов в области информационной безопасности для организации является отношение к этим документам как к чему-то ненужному, что будет разработано один раз и никогда больше открываться не будет.
Для разработки понятного и рабочего пакета документов следует придерживаться следующих правил:
  • Документы должны описывать реальные процессы и быть написаны простым и понятным языком
  • Документы должны регулярно обновляться для поддержания их в актуальном состоянии
  • Документы должны на периодической основе доводится до сотрудников, а не разово при трудоустройстве
  • Документы должны содержать реальную ответственность за нарушение положений
  • Ну и конечно, самое важное — не должен быть сухим сборником терминов и определений
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме