Пакет документов
Все этапы жизненного цикла объекта информатизации должны быть формализованы, т.е. описаны в том или ином документе. По большому счету у объекта два этапа в жизни – до аттестации и после, ну и конечно промежуточный этап – собственно процесс аттестации. Один набор документов фиксирует состояние защищаемого объекта до начала его аттестации. Логично, чтобы его разрабатывал собственник объекта – заказчик работ по аттестации. Другой набор документов сопровождает процесс аттестации, и разрабатывает его исполнитель работ по аттестации. После аттестации в документы первого набора могут (и должны!) вноситься изменения, отражающие изменения в состоянии объекта.
Состав пакета документов зависит от вида объекта информатизации (автоматизированная система на базе ПЭВМ, помещение для ведения переговоров, средство размножения документов) и от обрабатываемой информации (государственная тайна, служебная/коммерческая тайна, персональные данные). Строго говоря, нормативными документами определяется не состав пакета документов (точное название и количество документов), а их содержание. Т.е. многие вопросы (на усмотрение заказчика и исполнителя работ) могут быть либо разбиты на отдельные документы, либо объединены в один документ.
Нормативные документы, раскрывающие состав и содержание пакета документов для объектов, обрабатывающих государственную и служебную тайну, имеют соответствующие грифы секретности. Поэтому все вопросы по таким документам решаются при аттестации между конкретным заказчиком и исполнителем. Причем документы из первого набора могут разрабатываться не заказчиком, а исполнителем, если это обусловлено договором.
В открытых источниках можно рассмотреть вопросы пакета документов только для объекта информатизации – информационная система персональных данных (ИСПДн). По составу данный пакет документов делится на две части - документы, касающиеся организации в целом, и документы, касающиеся каждой ИСПДн в отдельности.
Для организации в целом необходимы следующие документы:
1. Документ, содержащий информацию о текущем состоянии системы защиты, количество ИСПДн в организации, рекомендации по созданию системы защиты ПД. Этот документ является результатом обследования (акт, отчет, аналитическое обоснование и т.п.). Этот документ теряет актуальность по мере создания систем защиты.
2. Перечень ПД. Обязательный документ, формат произвольный. Для организаций, обязанных направлять уведомление об обработке ПД в Роскомнадзор, этот перечень содержится в уведомлении.
3. Приказ о назначении ответственного сотрудника за защиту ПД, администратора информационной безопасности. Здесь же можно назначить всех допущенных к обработке ПД сотрудников (можно для каждой ИСПДн отдельный приказ).
4. Журнал учета носителей ПД. Обязательный документ, формат произвольный.
5. Журнал учета криптографических СЗИ (если они есть). Обязательный документ, формат регламентирован в «Типовых требованиях…» ФСБ.
6. Документ, определяющий порядок проведения расследований случаев нарушения требований по защите, порядок действий (работы ИСПДн) в этих случаях.
7. Документ, определяющий контролируемую зону организации. Оформляется в виде схемы помещений с указанием расположения средств обработки ПД и инженерных коммуникаций.
8. Документ, определяющий порядок технической охраны (пропускной системы) в КЗ организации. Обычно уже есть инструкция в подразделении охраны.
Для каждой ИСПДн необходимы следующие документы:
1. Документ, определяющий требования по обеспечению безопасности ПД. Может быть в виде раздела Технического задания или разделов в инструкции администратора информационной безопасности и инструкции пользователя ИСПДн.
2. Технический проект (имеет смысл при наличии ТЗ). Может в виде отдельных схем входить в состав технического описания ИСПДн.
3. Документ, содержащий перечень применяемых СЗИ. Может быть разделом в техническом описании ИСПДн.
4. Документ, определяющий порядок резервирования ПД. Может быть разделом в техническом описании ИСПДн или в инструкции администратора информационной безопасности.
5. Документ, определяющий порядок распространения ПД. Может быть разделом в техническом описании ИСПДн.
6. Документ, определяющий порядок антивирусной защиты ПД. Может быть разделом в техническом описании ИСПДн или в инструкции администратора информационной безопасности.
7. Документ, определяющий порядок парольной защиты в ИСПДн. Может быть разделом в техническом описании ИСПДн или в инструкции администратора информационной безопасности.
8. Акт классификации ИСПДн. Обязательный документ, формат произвольный. Определяется класс ИСПДн в соответствии с приказом «О порядке классификации…».
9. Модель угроз ИСПДн. Обязательный документ, формат произвольный. Определяются актуальные угрозы ПД в соответствии с «Методикой определения актуальных угроз…» ФСТЭК. Если в ИСПДн используются криптографические СЗИ, то модель угроз дополняется в соответствии с «Методическими рекомендациями…» ФСБ.
10. Документ, определяющий готовность СЗИ к эксплуатации. Может быть в виде акта установки СЗИ.