Для обеспечения защиты конфиденциальной информации организации должны выполнять требования, установленные законами Российской Федерации. Необходимо иметь комплект типовых документов по информационной безопасности, включающих в себя эти требования. Они берутся за основу при разработке методов защиты конфиденциальной информации, используемых в организациях. К подобным документам относятся инструкции, правила и положения, составленные в соответствии с определенными шаблонами.

Какие вопросы учитываются в шаблонах

В документах отражаются общие обязательные требования российского законодательства по информационной безопасности, а также вопросы, связанные с индивидуальными особенностями деятельности данных организаций.

В шаблонах всю информационную документацию подразделяют на следующие группы:

• общая – касается всех информационных систем;
• для ГИС и МИС (государственных и муниципальных информационных систем);
• ПДн – все, что связано с защитой персональных данных;
• СКЗИ – документация, имеющая отношение к средствам криптографической защиты информации;
• касающаяся угроз безопасности, их моделирования и устранения.

Общие документы

К этой группе относятся:

• приказы о назначении лиц, ответственных за обеспечение безопасности и осуществление контроля эффективности защиты информации. В компании должен быть администратор ИБ, в обязанности которого входит техническое обеспечение защиты, а также сотрудник, контролирующий обработку информации на бумажных носителях. Для каждого из них разрабатывается инструкция с подробным изложением задач; 
• приказ о создании в организации групп реагирования на возможные инциденты. Группы отвечают за выявление нарушений (сбой в работе технических средств обеспечения безопасности, несанкционированный доступ в информационную систему, внедрение вирусов). В их обязанности входит анализ нарушений, принятие мер по устранению последствий и предотвращению повторения инцидентов;
• инструкция по работе с секретной информацией. Она создается для ознакомления сотрудников с нормами российского законодательства и мерами ответственности за допущенные нарушения;
• документ о политике информационной безопасности. Здесь говорится о разграничении доступа к секретной информации, о правилах взаимодействия с другими сетями. Имеется список допустимого программного обеспечения, описывается порядок резервирования данных;
• приказ о создании «зоны контроля», на территорию которой запрещен вход персонала без допуска к секретной информации.

В этой же папке шаблонов находятся журналы учета жестких дисков, ноутбуков, карт памяти и других информационных носителей, а также план контроля эффективности защиты. 

Документация по ГИС

Сюда входят приказ и акт о классификации информационной системы, определении уровня их защищенности и присвоении, соответственно, 1, 2, 3 класса. 

Для ввода систем в действие необходимо иметь приказ об их соответствии требованиям информационной безопасности и выдаче организации соответствующего аттестата. 

Документация по ПДн 

В эту группу документов включают:

• положение о защите и обработке персональных данных;
• правила подачи и рассмотрения запросов персональных данных с целью уточнения или несогласия с их обработкой. В правилах должны быть оговорены сроки рассмотрения таких запросов, созданы шаблоны ответов (как положительных, так и отрицательных) и их обоснование;
• приказ об утверждении сотрудников с доступом к персональным данным для их автоматизированной обработки и изучения по бумажным носителям. В документе указывается поименный список лиц, имеющих доступ к личным делам сотрудников, клиентским данным;
• приказы о способах и местах хранения бумажных и электронных носителей персональных данных;
• журналы учета документов и устройств с ПДн, запросов о персональных данных, учета посетителей, а также используемых средств криптографической защиты;
• акты о порядке уничтожения персональных данных и удаления их с устройств-носителей;
• инструкции для администратора информационной безопасности о правилах внесения изменений в ПДн, их копирования и антивирусной защиты.

Документация по СКЗИ

Сюда относятся шаблоны документов, определяющих порядок работы со средствами криптографической защиты информации. В комплект входит договор о времени использования СКЗИ, приказ о разработке инструкций и журналов учета криптографических средств, обеспечивающих информационную безопасность организаций. На основании этого приказа создаются инструкции по правилам обращения с различными средствами криптографической защиты для лица, отвечающего за их использование.

Составляется список сотрудников, имеющих доступ к СКЗИ. Заводятся журналы учета СКЗИ и сотрудников, допущенных к работе с ними. Разрабатывается форма акта, регламентирующего порядок уничтожения ключевых документов, касающихся способов применения СКЗИ.

К этой же группе относятся приложения о порядке доступа персонала в помещение, где используются СКЗИ, и журнал выдачи ключей от этого помещения.

***

Шаблоны составляются с учетом общего законодательства по нормам безопасности и правилам защиты конфиденциальной информации. В них отражаются требования к обеспечению информационной безопасности, защите персональных данных. Ответственные лица, разрабатывающие инструкции, журналы, формы учета и другую документацию, учитывают факторы, специфические для данного предприятия, и вносят актуальные изменения в документацию по безопасности.

17.06.2020