Краткая памятка по самостоятельной разработке политики ИБ

Создано 09 Февраль 2018

Основным рабочим документом администратора информационной безопасности является политика информационной безопасности. Почти все госорганы уже озаботились её разработкой и все находятся в разной стадии готовности. От постановки задачи до согласования готового документа. Сегодня мы в немногих словах расскажем о типичных проблемах на этом сложном пути.
1. Если нет возможности пригласить опытных специалистов, то разработать политику можно и самим. Проще всего начать анализировать ежедневную работу и возникающие проблемы, описывать принимаемые решения. На выходе получится набор инструкций по самым насущным проблемам. Рекомендуем быть осторожными с готовыми шаблонами из интернета, их нужно воспринимать именно как шаблон. Мы же не дарим близким людям первую попавшуюся открытку или стишок из интернета, если и берём что-то оттуда, то дорабатываем, «настраиваем» под себя.
2. Обычно, в течение года с начала работы набирается уже приличная база знаний в письменном виде, можно обобщать её в виде документа. Лучше, если удастся подключить к работе специалиста, постоянно связанного с разработкой документов - методиста, юриста, специалиста нормоконтроля или СМК. Вместе можно будет «причесать» документ, упорядочить разделы.
3. Попытаться согласовать и ввести в действие разработанный проект политики. Для госорганов Узбекистана эта процедура описана такими словами «Разработанный проект политики в установленном порядке направляется на согласование в Министерство по развитию информационных технологий и коммуникаций Республики Узбекистан и уполномоченным органам». Не указано (но многим понятно), с какими именно ещё, кроме Мининфокома, уполномоченными органами согласовывается проект политики. По нашей практике именно согласование с уполномоченными органами занимает очень много времени - от полугода и больше. За это время могут произойти серьезные изменения в структуре организации, которые отразятся в тексте политики, а значит, её нужно будет согласовывать заново.
4. Чтобы во всё время согласования политики в организации был какой-то руководящий документ по ИБ, мы предлагаем утвердить политику хотя бы на уровне руководства самой организации как «временную инструкцию», «временный порядок». Даже такой промежуточный статус позволит предприятию (особенно отделу ИБ) работать в рамках правового поля, зафиксированного документально.
5. Постоянно дорабатывать политику. Не реже раза в год нужно пересматривать политику, даже если никаких значительных изменений не произошло. Например, почти у всех организаций появились группы и каналы в Telegram. Обеспечение ИБ при работе в этом сервисе нужно тоже включить в политику.

Что почитать ещё:
1. Совместную статью нашего специалиста с экспертом Росатома «С чего начинается информационная безопасность на предприятии? Кадры решают всё.»
2. Государственный стандарт O'z DSt ISO/IEC 27002:2016 «Информационная технология. Методы обеспечения безопасности. Практические правила управления информационной безопасностью» целиком и его 5-й раздел особенно.
3. Методические пособия по разработке политики информационной безопасности на территории Республики Узбекистан. Для госорганов этот документ обязателен к руководству, для всех остальных - к сведению.