Инструкции и регламенты информационной безопасности: второй уровень организационно-распорядительной документации СИБ

Регламент vs инструкция

В пакете организационно-распорядительной документации по информационной безопасности (далее – ИБ) значительную роль играют документы второго уровня иерархии, определяющие порядок и методы выполнения того или иного вида деятельности по защите от угроз ИБ.

Наиболее часто используются следующие типы документов этого уровня:

• Регламент – документ, определяющий порядок взаимодействия подразделений и работников организации в рамках определенного процесса ИБ.
• Инструкция – документ, определяющий порядок выполнения отдельных или взаимосвязанных действий конкретным работником организации в рамках определенных процессов ИБ. [1]

Кроме того, встречается такой вид документа, как Методические рекомендации. Этот документ определяет унифицированные правила и методы выполнения действий (функций), независимые от исполнителей.

Различия между регламентом, инструкцией и методическими рекомендациями легко пояснить на примере, в котором процесс моделирования угроз безопасности информации осуществляется в государственных информационных системах.

Этот процесс начинается с определения и оценки актуальных угроз безопасности информации, возникновение которых обусловлено объективными факторами. При этом обязательно принимаются во внимание сведения из банка данных угроз безопасности информации ФСТЭК России. Впоследствии документ, содержащий описание полученной модели угроз для государственной информационной системы, согласовывается с ФСТЭК России и утверждается внутри самой организации.

Правила и формулы расчета показателей актуальности угроз безопасности информации при этом берутся из методических рекомендаций, поскольку эти правила и формулы не зависят ни от конкретной информационной системы, ни от подразделения или должности специалиста, выполняющего моделирование.

Процессы моделирования, предварительного согласования, направления сформированного документа во ФСТЭК России и утверждения моделей угроз безопасности информации представлены в регламенте, который описывает порядок взаимодействия конкретных подразделений организации, условия передачи документа между подразделениями, сроки его рассмотрения и утверждения.

Последовательность и методы действий специалиста ИБ при разработке модели угроз безопасности информации приводятся в соответствующей инструкции.

В приведенном примере совокупность действий по моделированию угроз безопасности информации разнесена по разным документам в соответствии с их спецификой, описанной выше. Однако бывает и так, что общий порядок выполнения процесса ИБ, методы выполнения отдельных действий, детали выполнения процесса на отдельных рабочих местах включаются в один общий документ. Такое объединение обосновывается удобством использования – описание всех деталей процесса можно узнать из одного источника.

Если же описание процесса ИБ распределено по нескольким документам, то в них необходимо целенаправленно отслеживать единство терминологии, согласованность действий и заданные сроки их выполнения. Эффективность такого подхода прежде всего определяют единообразие форм документов, используемых в рамках описываемого процесса, и наличие корректных взаимосвязей (ссылок на отдельные положения) этих документов в комплекте. [2]

Регламент

Регламент так же важен для организации, как устав для армейских подразделений. И регламент, и устав пишутся с общей целью – обеспечить слаженные действия как отдельных исполнителей, так и подразделений в целом.

Применительно к регламенту указанная цель достигается реализацией следующих принципов формирования документа:

• разбивка процесса ИБ на этапы (и/или подпроцессы) с указанием ключевых моментов (вех);
• целеуказание для исполнителей для достижения вех процесса ИБ;
• синхронизация действий и взаимная увязка подпроцессов ИБ;
• обеспечение согласованности требований к входам и выходам подпроцессов;
• использование единой терминологии и понятийного аппарата;

Необходимость регламентации процессов и типы регламентов

Регламент представляет собой свод правил принятия решений исполнителями в определенных ситуациях. Регламенты могут быть двух типов:

• верхнего уровня – описывают общие принципы, цели и границы принятия решений;
• нижнего уровня – устанавливают варианты готовых решений (совокупности определенных действий).

Внедрение типовых сценариев снижает нагрузку на исполнителя и способствует концентрации внимания на нештатных ситуациях в ИБ. Стандартизация действий позволяет повысить оперативность реагирования на инциденты ИБ, а также минимизировать влияние человеческого фактора на эффективность процессов ИБ.

Еще одним преимуществом регламентации является то, что регламентированный процесс ИБ легче контролируется (можно провести внутренний аудит ИБ). А наличие информации о достигнутых результатах (в том числе промежуточных) и о ходе процесса позволяет принимать обоснованные управленческие решения.

Регламентация дает и косвенные положительные эффекты: появляется возможность тиражирования и масштабирования процессов; в процессы легче вовлечь необходимый персонал и обучить его. Кроме того, организация демонстрирует прозрачность своей работы при проведении внешнего аудита и проверки.

Как правило, регламентации подлежат:

• процессы ИБ, необходимость регламентации которых определяется законодательством [6];
• часто повторяющиеся (типовые) процессы ИБ;
• процессы ИБ с большим количеством участников.

Масштабность или сложность процесса ИБ сами по себе не могут служить однозначными критериями необходимости регламентации. Рекомендуется руководствоваться риск-ориентированным подходом, с учетом критичности для организации скорости и точности выполнения процессов ИБ.

Как сформировать регламент?

Наименование регламента

Наименование регламента должно быть кратким, точно характеризующим регламентируемый процесс, обеспечивающим правильную классификацию регламента в системе локальных нормативных актов организации. Как правило, в наименовании регламента указываются: процесс, основные объекты процесса, обстоятельства выполнения процесса. Например, «Регламент предоставления удаленного доступа к информационным ресурсам организации». [3]

Содержание регламента

Содержание регламента варьируется в зависимости от предметной области, типа регламента, принятых правил делопроизводства, масштаба организации и процесса и т. п. В связи с этим возможно привести только общие рекомендации по составлению регламента (рисунок 1). [4]

Далее рассмотрим составляющие элементы структуры регламента.

Раздел 1. «Общие положения»

В этом разделе описываются: назначение; область применения регламента; ссылки на нормативные (в том числе локальные) документы, на основе которых разработан регламент; порядок утверждения, внесения изменения и дополнений в текст регламента. В общих положениях также содержится краткое описание регламентируемого процесса.

Раздел 1.1. «Назначение»

Данный элемент регламента лаконичен и в типичном случае выглядит так: «Настоящий Регламент определяет порядок <указывается наименование или краткое описание процесса> в <указывается полное наименование организации>».

Раздел 1.2. «Область применения»

Описывается область применения (предметная область) регламента. В описании области применения желательно указать:

• основные объекты, задействованные в регламентируемом процессе;
• процессы, на которые распространяется регламент;
• работников организации, задействованных в регламентируемом процессе.

Раздел 1.3. «Нормативные ссылки» В этом разделе указываются нормативные, методические и справочные документы, на основании (или с учетом) которых разрабатывается регламент.

Среди документов указываются:

• документы с указанием их полных реквизитов, предписывающие или требующие разработку регламента (например, закон, подзаконный акт, ведомственные требования, требование государственного или отраслевого стандарта) [5];
• методические документы, являющиеся основой для разработки регламента (например, «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015).

Раздел 1.4. «Порядок утверждения, внесения изменений и дополнений»

Описывается порядок утверждения регламента, внесения изменений и дополнений к нему. Указывается, кто из работников организации уполномочен внести изменения, дополнения или отменить регламент.

Раздел 2. «Термины, определения и сокращения»

Раздел характеризует предметную область, в которой реализуется регламентируемый процесс.

В данном разделе регламента могут быть указаны следующие термины:

• термины, вводимые и используемые в регламенте впервые;
• термины, используемые исключительно в рамках данного регламента;
• общеупотребительные термины, если их определения необходимы для полноты описания регламентируемого процесса.

Источниками определений должны быть:

• действующие законодательные акты Российской Федерации, действующие государственные и отраслевые стандарты, отраслевые и ведомственные нормативные документы;
• словари общих, специальных терминов, иностранных слов и т. п.

Желательно указывать источник определения. Однако нужно иметь в виду, что одному и тому же термину в разных нормативных и методических документах могут даваться разные определения. Поэтому следует выбирать определения терминов из нормативно-методических документов, базовых для разработки данного регламента, и опираться на действующее законодательство.

Если разработка регламента требует создания нового термина, то желательно учитывать следующие основные ограничения:

• в определении указываются важнейшие отличительные признаки объекта;
• объект не должен определяться через себя же;
• определение не должно содержать понятий, не определенных в регламенте (или иных локальных актах организации) или не относящихся к общеупотребительным;
• определение должно быть понятно исполнителям регламентируемого процесса.

Отметим, что возможен вариант, когда в организации перечень терминов и сокращений создается как отдельный документ (глоссарий). В этом случае в данном разделе регламента могут быть указаны термины с определениями, не вошедшие в действующий глоссарий.

Раздел 3. «Описание процесса»

В этом разделе дается описание:

• требований к объектам, задействованным в процессе ИБ;
• составляющих процесс ИБ подпроцессов, функций (действий) регламентируемого процесса ИБ;
• правил и методов работы.

Для корректного описания процесса необходимо указать:

• цель процесса;
• вход процесса;
• событие, запускающее процесс;
• выход процесса;
• событие, завершающее процесс;
• параметры, правила и методы выполнения процесса;
• срок выполнения процесса;
• место выполнения процесса (опционально);
• действия, выполняемые в рамках процесса;
• исполнителей процесса;
• средства документирования процесса.

Рекомендуется при описании процесса указать его границы, поскольку правильное определение границ процесса ИБ значительно облегчает работу организации.

Вход процесса – объекты, на основании (с использованием) которых выполняется процесс. Отметим, что в регламенте желательно определить требования к параметрам входных объектов и описать механизм проверки фактически полученных входных объектов на соответствие предъявляемым к ним требованиям. Также рекомендуется изложить действия в случае выявления несоответствия.

Выход процесса – результат выполнения процесса. Результатами процесса могут быть документы, записи, и т.п. Необходимо подчеркнуть, что выход процесса не является целью процесса ИБ.

Параметры, правила и методы выполнения процесса – объекты (как правило, информационного характера: нормативные акты, методики, технологии, справочники и т.п.), используемые, но не изменяемые в ходе выполнения процесса ИБ.

Событие, запускающее процесс. Выполнение процесса начинается при наступлении определенных событий (выполнении определенных условий). К таким событиям могут относиться:

• внешнее событие (инцидент ИБ);
• инициатива работника организации (заявки);
• достижение пороговых значений контролируемых параметров ИБ;
• плановое событие (например, наступление сроков).

Событие, завершающее процесс. Состоит в достижении цели процесса. При этом должны быть получены все необходимые выходные объекты. Примером события может быть подписание акта приемки выполненных работ или получение аттестата соответствия.

Следует иметь в виду, что события, запускающие и завершающие процессы, должны быть согласованы с готовностью входов и выходов процессов. Процесс не может считаться выполненным корректно, если, к примеру, срок его выполнения наступил, а входные объекты подготовлены не полностью.

Срок выполнения процесса ИБ может определяться следующими способами:

• как общая продолжительность процесса с момента запуска процесса до момента завершения;
• как требуемое время завершения процесса.

Исполнители процесса. Без определения исполнителей процесс не будет функционировать. Исполнителем процесса может быть:

• работник, занимающий определенную должность;
• подразделение организации;
• коллегиальный орган организации (комиссия, комитет, коллегия, совет, экспертная или рабочая группа и т. п.).

В случае, если сразу указать конкретного исполнителя невозможно, то в рамках регламента должна быть определена роль (совокупность функций, прав и ответственности), необходимая для выполнения регламентируемого процесса (или его подпроцессов). В дальнейшем на эту роль должны быть назначены (приказом, распоряжением и т. п.) конкретные исполнители.

Действия, предусмотренные процессом, не должны выходить за рамки обязанностей, установленных должностными инструкциями, и закрепленных в положениях о подразделениях организации, положениях о коллегиальных органах. В противном случае необходимо будет инициировать внесение изменений в локальные акты организации.

При описании процесса должны быть перечислены документы, отражающие ход его выполнения, а также документы, обрабатываемые и формируемые в ходе процесса. Формы документов могут быть унифицированными, как, например, в процессах, связанных с учетом ключевых документов или средств криптографической защиты информации. Также формы могут быть специально разработанными организацией. В последнем случае необходимо, чтобы в приложении к регламенту были приведены формы документов, правила и/или образцы их заполнения. По тексту регламента даются ссылки на соответствующие приложения.

Раздел «Описание требований, процессов, методов работы» имеет внутреннюю структуру, соответствующую структуре регламентируемого процесса: описываются иерархия подпроцессов, контрольные точки, требования к обрабатываемым объектам и т. п.

Раздел регламента процесса, посвященный подпроцессам, обычно разбивается на подразделы – по одному на каждый подпроцесс. В начале подраздела формулируется цель подпроцесса и условия запуска процесса. Дальнейшие действия осуществляются в соответствии с рисунком 2.

Указываются условия завершения процесса, действия, необходимые для учета выполнения процесса, и средства контроля выполнения процесса.

Раздел 4. «Ответственность»

В этом разделе определяется ответственность исполнителей за неисполнение (или ненадлежащее исполнение) регламента.

Раздел 5. «Контроль»

В данном разделе описываются средства контроля за исполнением регламента в целом.

Под контролем процесса подразумевается сопоставление фактически полученных (или промежуточных) результатов выполнения процесса с запланированными и/или определенными соответствующим нормативным актом задачами, критериями и т.п. (в текущем режиме, периодически, выборочно), а также выполнение или инициирование действий, направленных на минимизацию выявленных отклонений, в том числе, действий, связанных с коррекцией правил выполнения процесса.

Соответственно, при описании средств контроля в регламенте должны быть указаны:

• контрольные показатели (включая правила расчета значений, периодичность расчета, критические зоны значений, правила действия при достижении критических зон);
• работники, выполняющие контрольные функции.

При определении работников (лиц, участвующих в проведении контроля), необходимо учитывать, что у них должно быть достаточно прав, чтобы влиять на ход контролируемого процесса.

Инструкции

Инструкция определяет порядок выполнения отдельных или взаимосвязанных действий, выполняемых конкретным подразделением или работником организации в рамках определенных процессов ИБ.

В инструкцию рекомендуется включать примеры выполнения отдельных действий (функций), использования форм документов и т. п. Инструкции целесообразно разрабатывать после согласования регламентов процессов ИБ.

При разработке инструкций необходимо учитывать требования нормативно-методических документов в области защиты информации, а также требования по эксплуатации используемых в процессе изделий, приведенных в эксплуатационной документации на них.

Требования к содержанию инструкций аналогичны требованиям, предъявляемым к регламентам, с учетом направленности инструкции на описание порядка выполнения действий конкретным работником организации в рамках определенного процесса ИБ.

Инструкция пользователя по ИБ

Пользователи информационных систем составляют самый многочисленный круг лиц, обрабатывающих информацию, в том числе защищаемую. При этом, как правило, для них характерна низкая квалификация в вопросах обеспечения ИБ. Этот факт необходимо учитывать при выборе формата изложения требований инструкций.

Важно кратко и однозначно изложить все действия пользователя, касающиеся обеспечения ИБ, в одном документе.

Разделы инструкции должны охватить все основные процессы ИБ, в которых задействован пользователь, например:

• правила доступа и работы с информацией ограниченного доступа;
• правила защиты автоматизированного рабочего места от несанкционированного доступа;
• правила создания и использования паролей;
• защита от вредоносного программного обеспечения;
• использование съемных носителей информации и мобильных устройств;
• доступ к сети Интернет и использование электронной почты;
• пропускной и внутриобъектовый режимы;
• действия при нештатных ситуациях (инцидентах ИБ).

Инструкция администратора ИБ

Администраторы ИБ выполняют задачи по защите информации, обрабатываемой в информационных системах [7]. Для эффективного выполнения таких задач в инструкции необходимо описать как минимум порядок:

• обеспечения функционирования информационных систем в соответствии с установленными в организации требованиями информационной безопасности;
• обеспечения заданного уровня конфиденциальности, доступности и целостности информации;
• подготовки и хранения резервных копий данных, их периодической проверки и уничтожения;
• создания пользовательских учетных записей и ведения матрицы доступа;
• обнаружения и предупреждения компьютерных атак, реагирования на инциденты ИБ;
• взаимодействия с Национальным координационным центром по компьютерным инцидентам в части касающейся (с учетом нормативной правовой базы).

К функциям администратора ИБ также может относится и периодический контроль корректности и актуальности прав доступа пользователей к информационным ресурсам.

Инструкция ответственного за ИБ

Должностное лицо, ответственное за ИБ, организует процессы ИБ и управляет ими. Соответственно в инструкции для него должны быть отражены следующие моменты:

• взаимодействие с ответственными за эксплуатацию информационных систем и администратором безопасности по вопросам обеспечения защиты информации и предоставления пользователям прав доступа;
• организация и проведение внутренних расследований инцидентов ИБ;
• повышение осведомленности работников организации по вопросам ИБ;
• организация мероприятий по внутреннему контролю соблюдения требований ИБ;
• взаимодействие с контрольно-надзорными органами при проведении внешних проверок;
• взаимодействия с Национальным координационным центром по компьютерным инцидентам в части касающейся (с учетом нормативной правовой базы).

Инструкция администратора СКЗИ

В связи с тем, что работа администратора средств криптографической защиты информации (СКЗИ) сильно формализована нормативно-методическими документами [8], при разработке инструкции необходимо акцентировать внимание на следующем:

• педантичное и четкое выполнение процедур учета ключевых документов и СКЗИ, эксплуатационной документации на СКЗИ;
• обеспечение режима ограниченного доступа в помещение и к рабочим местам, оборудованным СКЗИ;
• оперативное выявление попыток посторонних лиц получить сведения о защищаемой информации, об используемых СКЗИ или ключевых документах к ним;
• действия при компрометации криптографических ключей. [9]

Важно учесть

По окончании разработки регламентов и инструкций ИБ необходимо провести следующие подготовительные мероприятия в организации:

• провести подбор персонала на роли исполнителей процесса ИБ;
• обучить исполнителей процесса ИБ новым правилам работы;
• провести пилотное внедрение регламентов и инструкций;
• скорректировать документы по итогам пилотного внедрения;
• признать утратившими силу локальные нормативные акты организации, ранее регламентировавшие процесс ИБ, описанный в разработанных документах;
• ввести в действие новые локальные нормативные акты, регламентирующие процесс ИБ, описанный в разработанных документах.

Также нужно иметь в виду, что с принятием инструкций и регламентов может потребоваться проведение модернизации информационных систем и систем защиты информации, внесение изменений в штатное расписание организации.

Используемые источники:

[1] Правила по стандартизации ПР 45.02-97 «Отраслевая система стандартизации. Принципы разработки нормативных документов».
[2] ОСТ 45.88-96 Отраслевая система стандартизации. Порядок разработки руководящих документов отрасли.
[3] Постановление Правительства Российской Федерации от 16.05.2011 № 373 «О разработке и утверждении административных регламентов исполнения государственных функций и административных регламентов предоставления государственных услуг».
[4] Рекомендации по разработке порядка разработки и утверждения административных регламентов исполнительных органов государственной власти субъектов Российской Федерации исполнения государственных функций и предоставления государственных услуг. Одобрены Правительственной комиссией по проведению административной реформы 23.11.2010 № 109.
[5] Методический документ «Меры защиты информации в государственных информационных системах» (утв. Федеральной службой по техническому и экспортному контролю 11.02.2014).
[6] ГОСТ Р 7.0.5-2008 «Библиографическая ссылка. Общие требования и правила составления».
[7] «Руководящий документ. Защита от несанкционированного доступа к информации. термины и определения» (утв. Гостехкомиссией при Президенте Российской Федерации от 30.03.1992).
[8] Приказ ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
[9] «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13.06.2001 № 152.

Автор:
Валерий Комаров, начальник отдела обеспечения осведомленности, Управление ИБ, ДИТ города Москвы.