Awareness — осведомлённость, знание, понимание.
Если честно, было трудно подобрать удобоваримый и понятный аналог в русском языке. Есть только громоздкий вариант: курсы повышения осведомлённости.
Если нет вопросов относительно модели угроз и классификации системы, то по факту у регуляторов не должно быть вопросов, почему мы так исполнили пункт нормативного документа. В нём же описан только обязательный нижний предел сложности пароля (6 символов и 2 алфавита). Если мы выполняем это требование, то остальное на наше усмотрение (относительно этого пункта).
Для этого так же необходим документ, юридически и по смыслу верно составленный. В том же ISO 27002-2005 раздел есть: сбор доказательств. Там описаны основополагающие принципы сбора доказательств инцидента.
Грубо говоря, в случае электронных копий необходимо запротоколировать процесс расследования с указанием того откуда, кем, когда и какие данные брались, при этом так же под протокол зафиксировать зеркалирование этих данных для возможной передачи в суд или МВД.
Если на бумаге, то также снимаются копии, для предоставления в органы. Оригиналы хранятся у ответственного сотрудника (офицера безопасности) в сейфе.
Ну и соответственно в таких документах, как должностная инструкция, коллективный договор и/или трудовой договор должны быть прописаны пункты об ответственности за защиту информации и должно быть подписано соглашение о неразглашении.
Про обоснованность длинны пароля для ИСПДн, к примеру, из Приказа №58 ФСТЭК, для систем 3 класса: а) управление доступом:
— идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
Про читают/выполняют, я писал в следующем посте о необходимости обучения. про работу с юзерами напишу отдельный пост, как и что лучше делать. но попозже.
Про доказательную базу тоже не совсем понял, доказательства для кого? Регуляторов? Топ-менеджмента?
Я как правило строю реальную безопасность, а не отмахиваюсь бумагами от регуляторов.
Сегодня я опубликовал пост с примерами и рекомендациями по написанию инструкций. habrahabr.ru/post/153973/
Все примеры из документов, написанных мной.
Причём тут про 6 знаков в пароле, я не понял.
Да причём тут тэг, сказали про обязательные российские стандарты, попытался узнать есть ли такие — ни одного прямого ответа.
Интеграторов позвали ДО того, как я пришёл в организацию. Фактически я там появился, когда они проводили обследование. Работы были именно консалтинговые, пока никакого ПО или железа они у нас не внедряли, провели только обследование+выдали рекомендации.
Вы занимались построением системы управления безопасностью или просто системы безопасности?
Тогда перефразирую так: приведите список обязательных российских стандартов по безопасности, для сферической коммерческой организации в вакууме без учета отраслей, которые я отмёл ранее.
Ссылок на другие документы, кроме первой части, нет. вот первая часть:
1. Общие положения
1.1. Инструкция действий в нештатной ситуации (далее – Инструкция) разработана в соответствии с Федеральным законом №152-ФЗ от 27 июля 2006 года «О персональных данных», Федеральным законом «Об информации, информационных технологиях и защите информации» от 27.07.2006г. № 149-Ф3, Постановлением Правительства РФ от 17 ноября 2007г. №781, другими нормативными правовыми актами Российской Федерации, регулирующими отношения в области защиты персональных данных.
1.1. Настоящая инструкция предназначена для организации порядка действий при возникновении нештатных ситуаций.
1.2. Инструкция регламентирует действия персонала подразделений при возникновении нештатных ситуаций.
1.3. Настоящая инструкция доводится под роспись до всех сотрудников ООО «Вектор» (Приложение №1 – Журнал ознакомления с настоящей Инструкцией).
Приведите, пожалуйста, список обязательных российских стандартов по ИБ, для коммерческой организации, не имеющей отношения к кредитным организациям, гос сектору, энергетике и тд!
Документ не утвердили, утверждена написанная лично мной инструкция. Этот документ лежит сейчас у меня в качестве образца — как не надо делать!
Я начла как раз-таки с того, что сделал сам, как нужно. Сделал инструкции, сваял презентацию для сотрудников, подготовил план обучения основам ИБ для людей не понимающих в этом ничего.
То что это нужно для отписки от регуляторов на 90% — понятно. Хотя учитывая характер нашей организации, по ФЗ-152 мы имеем права не подавать уведомление в Роскомнадзор (обрабатываем данные только своих сотрудников+тех, с кем заключен контракт). Так что тут история проще.
Если честно, было трудно подобрать удобоваримый и понятный аналог в русском языке. Есть только громоздкий вариант: курсы повышения осведомлённости.
Не с целью поехидствовать, а опыта для.
Тут про ДБО, но как пример сбора доказательств вполне хороший док
Для этого так же необходим документ, юридически и по смыслу верно составленный. В том же ISO 27002-2005 раздел есть: сбор доказательств. Там описаны основополагающие принципы сбора доказательств инцидента.
Грубо говоря, в случае электронных копий необходимо запротоколировать процесс расследования с указанием того откуда, кем, когда и какие данные брались, при этом так же под протокол зафиксировать зеркалирование этих данных для возможной передачи в суд или МВД.
Если на бумаге, то также снимаются копии, для предоставления в органы. Оригиналы хранятся у ответственного сотрудника (офицера безопасности) в сейфе.
Ну и соответственно в таких документах, как должностная инструкция, коллективный договор и/или трудовой договор должны быть прописаны пункты об ответственности за защиту информации и должно быть подписано соглашение о неразглашении.
а) управление доступом:
— идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
Про читают/выполняют, я писал в следующем посте о необходимости обучения. про работу с юзерами напишу отдельный пост, как и что лучше делать. но попозже.
Про доказательную базу тоже не совсем понял, доказательства для кого? Регуляторов? Топ-менеджмента?
Сегодня я опубликовал пост с примерами и рекомендациями по написанию инструкций. habrahabr.ru/post/153973/
Все примеры из документов, написанных мной.
Причём тут про 6 знаков в пароле, я не понял.
Интеграторов позвали ДО того, как я пришёл в организацию. Фактически я там появился, когда они проводили обследование. Работы были именно консалтинговые, пока никакого ПО или железа они у нас не внедряли, провели только обследование+выдали рекомендации.
Вы занимались построением системы управления безопасностью или просто системы безопасности?
Так понятнее?
Ну и вопрос: вы какое имеете отношение к ИБ?
1. Общие положения
1.1. Инструкция действий в нештатной ситуации (далее – Инструкция) разработана в соответствии с Федеральным законом №152-ФЗ от 27 июля 2006 года «О персональных данных», Федеральным законом «Об информации, информационных технологиях и защите информации» от 27.07.2006г. № 149-Ф3, Постановлением Правительства РФ от 17 ноября 2007г. №781, другими нормативными правовыми актами Российской Федерации, регулирующими отношения в области защиты персональных данных.
1.1. Настоящая инструкция предназначена для организации порядка действий при возникновении нештатных ситуаций.
1.2. Инструкция регламентирует действия персонала подразделений при возникновении нештатных ситуаций.
1.3. Настоящая инструкция доводится под роспись до всех сотрудников ООО «Вектор» (Приложение №1 – Журнал ознакомления с настоящей Инструкцией).
Приведите, пожалуйста, список обязательных российских стандартов по ИБ, для коммерческой организации, не имеющей отношения к кредитным организациям, гос сектору, энергетике и тд!
Документ не утвердили, утверждена написанная лично мной инструкция. Этот документ лежит сейчас у меня в качестве образца — как не надо делать!