Мы расскажем, как оформить регламент так, чтобы он был юридически корректным и реально применялся. Также вы узнаете, какие еще документы по ИБ должны быть в каждой организации.
Для чего нужны документы по ИБ
Оформление регламента ИБ по закону не требуется, но мы рекомендуем его разработать, чтобы работа всех систем была нормированной и понятной. Также стоит учитывать, что обязанность оператора принимать организационные и технические меры защиты информации закреплена, в частности, в ст. 18.1 и 19 закона от 27.07.2006 № 152-ФЗ «О персональных данных», и наличие регламента и других документов по ИБ только снижает риски инцидентов.
Почему так важны правильно оформленные документы по ИБ:
Они фиксируют ответственность: кто отвечает за ИБ, ПДн, реагирование на инциденты.
Регламент позволяет доказать добросовестность при проверках Роскомнадзором, ФСТЭК и другими надзорными органами.
Появляется управляемость процессов, снижаются риски штрафов и блокировок систем.
У сотрудников появляется понятное руководство к действию, а не «догадывайтесь сами».
Какие документы по ИБ должны быть в организации
Общие
Регламент по информационной безопасности — это комплекс правил и рекомендаций, которые каждая организация должна разрабатывать самостоятельно с учетом уровня защищенности ИСПДн и ряда других факторов. Но, помимо него, должны быть и другие документы:
Название | Что регламентирует | Для чего нужен |
Приказ о назначении ответственного за информационную безопасность | Утверждает конкретное лицо, отвечающее за ИБ | Закрепляет персональную ответственность |
Инструкции для ответственного, администратора ИБ и иных сотрудников отдела ИБ | Определяют обязанности и полномочия | Распределяет зоны контроля в сфере ИБ |
Приказ о создании группы реагирования на инциденты информационной безопасности (ГРИИБ) | Утверждение конкретных лиц, которые должны реагировать на инциденты | Закрепляет ответственность за несколькими сотрудниками на случай инцидентов |
Инструкции по реагированию на инциденты | Устанавливает порядок действий для каждого сотрудника при инциденте ИБ | Обеспечивает управляемое реагирование и фиксацию событий |
Инструкция пользователя | Правила работы сотрудников с ИСПДн | Снижает риск инцидентов и упрощает привлечение к ответственности |
Политика информационной безопасности | Совокупность правил и процедур защиты информации | Формирует единый регламент информационной безопасности |
Положение о контролируемой зоне | Правила доступа к ИС и техническим средствам | Предотвращает несанкционированный физический доступ |
План мероприятий по ИБ | Разовые и периодические меры защиты | Подтверждает внутренний контроль и планирование, снижает риски инцидентов |
Журналы учета | Фиксация носителей, событий и проверок | Подтверждает выполнения мер, отслеживание доступа к конфиденциальной информации |
По персональным данным
Для обработки персональных данных нужен отдельный набор ЛНА. Он дополняет регламент работы в информационной системе и другие документы по ИБ, но не дублирует их, поскольку это разные по назначению документы:
Политика обработки ПДн.
Положение о защите и обработке персональных данных.
Правила рассмотрения запросов субъектов ПДн.
Приказ об утверждении перечня лиц, допущенных к обработке ПДн.
Политика в отношении обработки персональных данных (публичная).
Приказ об определении уровня защищенности ПДн и акт.
Правила обработки ПДн без использования средств автоматизации.
Приказ о комиссии по уничтожению ПДн и форма акта.
Приказ об утверждении мест хранения ПДн.
Форма письменного согласия субъекта ПДн.
Положение о видеонаблюдении.
Соглашение о неразглашении персональных данных.
Журнал учета обращений субъектов ПДн.
Учтите, это лишь неполный набор документов. Точный перечень зависит от масштабов обработки ПДн и ряда других факторов. Например, крупной компании может понадобиться до 60–70 документов, в то время как небольшому ИП иногда достаточно до 10.
Для ГИС
Владельцы государственных и муниципальных ИС должны руководствоваться отдельными регламентами государственных информационных систем, разработанными в соответствии с Методическими рекомендациями, утвержденными ФСТЭК от 11 февраля 2014 г. Также понадобятся другие документы:
Приказ о защите информации.
Приказ о классификации ГИС и акт классификации.
Приказ о вводе ГИС в действие на основании аттестата соответствия.
Документы, подтверждающие выполнение требований ФСТЭК к выбранному классу защищенности.
Документы для СКЗИ
Если используются средства криптографической защиты информации, необходимы:
Приказ о назначении ответственных за эксплуатацию СКЗИ.
Регламент учета, хранения и уничтожения ключевой информации.
Инструкции пользователей СКЗИ.
Журналы учета СКЗИ и ключевых носителей.
Документы, подтверждающие использование сертифицированных СКЗИ (по требованиям ФСБ).
Без этого технический регламент информационной системы считается неполным.
Разработка многоуровневой системы IT безопасности и правовой защиты персональных данных
Обеспечиваем информационную и правовую безопасность для госучреждений и крупного бизнеса
Как оформить регламент информационной безопасности
Первое, что нужно учитывать: регламент — это главный рабочий документ, который связывает закон, технику и людей.
В регламенте должны быть:
область применения и цели;
принципы защиты информации;
роли и ответственность работников;
порядок управления доступами;
правила использования ИТ-ресурсов;
регламент действий при инцидентах в информационной безопасности;
требования к обучению сотрудников;
порядок актуализации документа;
ссылки на связанные ЛНА и приложения.
Как разработать регламент ИБ: пошаговая инструкция
Разработка регламента информационной безопасности должна вестись индивидуально, с учетом реальных процессов в организации. Если вы скачаете готовый шаблон из интернета и не адаптируете его под себя, документ может оказаться неэффективным.
Что нужно сделать пошагово:
Определите, какие ИС, данные и процессы подпадают под действие регламента.
Проанализируйте требования ФЗ №152-ФЗ, ФЗ №149-ФЗ и приказов ФСТЭК.
Опишите реальные процессы, а не «идеальную модель».
Разделите роли: руководство, ИБ, ИТ, пользователи.
Вынесите сложные процедуры в приложения.
Согласуйте документ с ИТ и юристами.
Утвердите приказом и ознакомьте сотрудников с регламентом.
Как хранить документы по ИБ
Допускаются несколько вариантов хранения регламентов информационной безопасности ООО и других организаций:
электронные версии — в системе с разграничением доступа и журналированием;
бумажные — в закрытых шкафах у ответственных.
Если документ устарел, его нужно актуализировать или изъять и заархивировать, оформив взамен новый.
Если есть удаленные сотрудники
В такой ситуации требования к информационной безопасности должны быть зафиксированы отдельно. В регламенте важно прямо описать порядок удаленного доступа к корпоративным системам, условия использования личных устройств и домашних сетей Wi-Fi, а также требования к защите учетных данных, включая двухфакторную аутентификацию.
Отдельное внимание стоит уделить учету и контролю выданных доступов, чтобы в любой момент было понятно, кто и к каким ресурсам подключается. Всем удаленным сотрудникам желательно подписывать NDA и обязательно проходить инструктаж по ИБ. Логика здесь довольно простая: вопрос не в доверии к людям, а в управлении рисками и возможности доказать соблюдение требований при проверке или разборе инцидента.
Какие документы проверяют чаще всего
Контроль за деятельностью операторов распределен между разными органами, от этого зависит и список проверяемых документов:
Роскомнадзор — ПДн, согласия, политика, меры защиты.
ФСТЭК — выполнение требований к защите информации, регламент проведения аудита информационной безопасности.
ФСБ — СКЗИ и их сертификация.
Прокуратура — наличие ЛНА и назначение ответственных.
Трудинспекция — инструктажи, подписи, ответственность работников.
Когда нужно обновлять документы по ИБ
Документы по информационной безопасности должны своевременно пересматриваться и актуализироваться. Обновлять их необходимо при изменении законодательства, в том числе при появлении новых требований к защите информации и персональных данных, а также при смене ответственного за ИБ или ПДн.
Поводов для пересмотра много: например, внедрение новых информационных систем, сервисов или хранилищ данных, изменение организационной структуры компании, появление удаленных сотрудников или новых подразделений. На практике документы также приводят в порядок при подготовке к аудиту или проверке со стороны надзорных органов.
Даже если никаких изменений не происходило, актуализируйте регламент не реже одного раза в 12 месяцев.
Последствия нарушения регламента информационной безопасности
За нарушения правил ИБ могут привлечь к административной ответственности по ст.13.12 КоАП:
Нарушение | Размер штрафа (рублей) |
Нарушение условий лицензии на деятельность в области защиты информации (без гостайны) | Граждане — 1 000–1 500; должностные лица — 1 500–2 500; юридические лица — 15 000–20 000 |
Использование несертифицированных ИС, баз и банков данных, а также СЗИ, подлежащих обязательной сертификации (без гостайны) | Граждане — 5 000–10 000 (с конфискацией СЗИ или без); должностные лица — 10 000–50 000; юридические лица — 50 000–100 000 (с конфискацией СЗИ или без) |
Нарушение условий лицензии на работы, связанные с использованием и защитой информации, составляющей государственную тайну | Должностные лица — 2 000–3 000; юридические лица — 20 000–25 000 |
Использование несертифицированных средств защиты информации, предназначенных для защиты государственной тайны | Должностные лица — 20 000–50 000; юридические лица — 50 000–100 000 (с конфискацией СЗИ или без) |
Грубое нарушение условий лицензии на деятельность в области защиты информации (без гостайны) | ИП — 2 000–3 000 или приостановление деятельности до 90 суток; должностные лица — 2 000–3 000; юридические лица — 20 000–25 000 или приостановление деятельности до 90 суток |
Нарушение требований о защите информации (без гостайны), если не подпадает под иные части статьи | Граждане — 5 000–10 000; должностные лица — 10 000–50 000; юридические лица — 50 000–100 000 |
Нарушение требований о защите информации, составляющей государственную тайну, если отсутствует состав уголовного преступления | Граждане — 10 000–20 000; должностные лица — 20 000–50 000; юридические лица — 50 000–100 000 |
Разработка многоуровневой системы IT безопасности и правовой защиты персональных данных
Обеспечиваем информационную и правовую безопасность для госучреждений и крупного бизнеса
Распространенные ошибки при оформлении документов по ИБ
На практике чаще всего встречаются следующие проблемы:
Поверхностный регламент информационной безопасности, не связанный с реальными процессами.
Дублирование документов по ПДн и ИБ, когда они говорят об одном и том же разными словами или вообще противоречат друг другу.
Отсутствие пофамильных списков доступа.
Неактуальные версии и «мертвые» приказы.
Попытка заменить регламент об утверждении информационной системы или иной документ по ИБ универсальным шаблоном.
Нет инструктажей и подтверждения ознакомления.
Игнорирование инцидентов и отсутствующий регламент действий при инцидентах в информационной безопасности.
Грамотно оформленные документы — это в первую очередь страховка бизнеса. Когда регламент информационной безопасности написан под реальные процессы, по нему начинают работать. И именно это больше всего ценят проверяющие.
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFK72iwz
Начать дискуссию