Разработка пакета документов по информационной безопасности

Назначение: Определяет стратегические цели, принципы и приоритеты в области ИБ.

Структура:

• 1. Общие положения
  • 1.1. Цель и задачи концепции
  • 1.2. Область применения
  • 1.3. Нормативные ссылки
  • 1.4. Термины и определения
• 2. Стратегические цели ИБ
  • 2.1. Обеспечение непрерывности бизнеса
  • 2.2. Защита от финансовых потерь
  • 2.3. Сохранение репутации
  • 2.4. Соответствие требованиям законодательства
• 3. Принципы обеспечения ИБ
  • 3.1. Законность
  • 3.2. Комплексность
  • 3.3. Непрерывность
  • 3.4. Разграничение доступа
  • 3.5. Персональная ответственность
• 4. Объекты защиты
  • 4.1. Информационные активы
  • 4.2. Инфраструктура
  • 4.3. Персонал
• 5. Угрозы и риски
  • 5.1. Классификация угроз
  • 5.2. Оценка рисков
• 6. Организация системы ИБ
  • 6.1. Роли и ответственность
  • 6.2. Структура подразделений
  • 6.3. Взаимодействие с подразделениями
• 7. Этапы реализации
  • 7.1. Ближайшие мероприятия
  • 7.2. Среднесрочная перспектива
  • 7.3. Стратегическое развитие

Связь с подразделениями:

• Утверждается генеральным директором
• Доводится до всех руководителей подразделений
• Определяет зоны ответственности каждого отдела

Назначение: Основной документ, регламентирующий правила работы с информационными системами для всех сотрудников.

Структура:

• 1. Общие положения
  • 1.1. Цель политики
  • 1.2. Область действия
  • 1.3. Нормативные ссылки
  • 1.4. Термины и определения
• 2. Правила работы с информационными активами
  • 2.1. Классификация информации
  • 2.2. Маркировка документов
  • 2.3. Правила хранения
  • 2.4. Правила передачи
  • 2.5. Правила уничтожения
• 3. Правила доступа к информационным системам
  • 3.1. Регистрация и учетные записи
  • 3.2. Парольная политика
  • 3.3. Многофакторная аутентификация
  • 3.4. Удаленный доступ
• 4. Правила использования оборудования
  • 4.1. Рабочие станции
  • 4.2. Мобильные устройства
  • 4.3. Съемные носители
• 5. Правила работы в сети Интернет
  • 5.1. Доступ к веб-ресурсам
  • 5.2. Использование электронной почты
  • 5.3. Социальные сети и мессенджеры
• 6. Ответственность за нарушение
  • 6.1. Дисциплинарная ответственность
  • 6.2. Материальная ответственность
  • 6.3. Административная и уголовная

Связь с подразделениями:

• Все сотрудники обязаны ознакомиться под подпись
• HR-отдел включает знание политики в программу адаптации
• IT-отдел руководствуется политикой при настройке доступа

Назначение: Определяет процедуры обеспечения безопасности при работе с сотрудниками.

Структура:

• 1. Общие положения
  • 1.1. Цель положения
  • 1.2. Область применения
• 2. Прием на работу
  • 2.1. Проверка кандидатов
  • 2.2. Оформление допуска
  • 2.3. Ознакомление с документами
  • 2.4. Ввод в эксплуатацию учетной записи
• 3. В период работы
  • 3.1. Периодические инструктажи
  • 3.2. Проверка знаний
  • 3.3. Плановые изменения доступа
  • 3.4. Дисциплинарные взыскания
• 4. Перевод на другую должность
  • 4.1. Пересмотр прав доступа
  • 4.2. Дополнительный инструктаж
• 5. Увольнение
  • 5.1. Блокировка учетных записей
  • 5.2. Возврат оборудования
  • 5.3. Подписание обязательства о неразглашении
• 6. Работа с уволенными сотрудниками
  • 6.1. Хранение данных
  • 6.2. Действия при нарушениях

Связь с подразделениями:

• HR-отдел выполняет процедуры приема/увольнения
• IT-отдел технически реализует блокировку доступа
• Руководители подразделений инициируют изменения доступа
• Служба безопасности контролирует исполнение

Назначение: Пошаговый алгоритм действий всех подразделений при увольнении.

Структура:

• 1. За день до увольнения
  • 1.1. Уведомление HR от руководителя
  • 1.2. Подготовка приказа
• 2. В день увольнения (до обеда)
  • 2.1. Блокировка учетной записи в Active Directory (IT)
  • 2.2. Блокировка почты (IT)
  • 2.3. Блокировка доступа к 1С, CRM, ERP (IT)
  • 2.4. Отзыв сертификатов и VPN-доступа (IT)
• 3. В день увольнения (встреча с сотрудником)
  • 3.1. Сдача ноутбука/ПК (IT)
  • 3.2. Сдача телефона/SIM-карты (IT)
  • 3.3. Сдача пропуска (СБ)
  • 3.4. Сдача документов и носителей (руководитель)
  • 3.5. Подписание обходного листа
• 4. После увольнения
  • 4.1. Архивирование почты (IT, через 30 дней)
  • 4.2. Передача прав другому сотруднику (IT)
  • 4.3. Удаление данных с оборудования (IT, после архивации)

Связь с подразделениями:

• Четкое распределение ролей между HR, IT, СБ и руководителем
• Конкретные сроки выполнения каждого действия
• Форма обходного листа в приложении

Назначение: Краткая инструкция для всех сотрудников (2-4 страницы) с основными правилами.

Структура:

• 1. Парольная защита
  • Как создавать надежные пароли
  • Как часто менять
  • Где хранить (запрет на стикеры)
• 2. Работа с почтой
  • Признаки фишинговых писем
  • Что делать с подозрительными вложениями
  • Правила пересылки конфиденциальной информации
• 3. Работа в интернете
  • Разрешенные/запрещенные сайты
  • Использование мессенджеров
  • Социальные сети
• 4. Физическая безопасность
  • Блокировка экрана при уходе
  • Чистый стол/чистый экран
  • Работа в общественных местах
• 5. Действия в нештатных ситуациях
  • Потеря устройства
  • Подозрительное письмо
  • Вирусное заражение
  • Контакты службы поддержки

Связь с подразделениями:

• Выдается каждому сотруднику при приеме
• HR проверяет знание памятки
• Размещается на внутреннем портале

Назначение: Определяет порядок предоставления, изменения и отзыва прав доступа.

Структура:

• 1. Общие положения
  • 1.1. Цель и задачи
  • 1.2. Принципы управления доступом
• 2. Ролевая модель доступа (RBAC)
  • 2.1. Определение ролей
  • 2.2. Матрица доступа (роль → ресурсы)
  • 2.3. Разделение обязанностей
• 3. Порядок предоставления доступа
  • 3.1. Инициация запроса
  • 3.2. Согласование
  • 3.3. Техническая реализация
  • 3.4. Уведомление заявителя
• 4. Периодический пересмотр прав
  • 4.1. Регулярные ревизии
  • 4.2. Подтверждение необходимости доступа
  • 4.3. Корректировка прав
• 5. Экстренное изменение доступа
  • 5.1. Основания для экстренной блокировки
  • 5.2. Порядок действий
  • 5.3. Пост-инцидентное оформление
• 6. Привилегированный доступ
  • 6.1. Правила для администраторов
  • 6.2. Контроль сессий
  • 6.3. Двухфакторная аутентификация

Связь с подразделениями:

• Руководители подают заявки на доступ для сотрудников
• IT-отдел технически реализует доступ
• Служба безопасности контролирует соответствие ролей
• PAM-система (при наличии) автоматизирует процесс

Назначение: Операционный документ с конкретными процедурами и сроками.

Структура:

• 1. Виды доступа
  • 1.1. Постоянный доступ
  • 1.2. Временный доступ
  • 1.3. Разовый доступ
  • 1.4. Удаленный доступ
• 2. Формы заявок
  • 2.1. Форма заявки на создание учетной записи
  • 2.2. Форма заявки на изменение прав
  • 2.3. Форма заявки на временный доступ
  • 2.4. Форма заявки на удаленный доступ
• 3. Сроки выполнения
  • 3.1. Стандартные заявки (до 24 часов)
  • 3.2. Срочные заявки (до 2 часов)
  • 3.3. Массовые заявки (до 3 дней)
• 4. Порядок согласования
  • 4.1. Для новых сотрудников
  • 4.2. Для изменения должности
  • 4.3. Для временных проектов
  • 4.4. Для подрядчиков
• 5. Типовые роли и права
  • 5.1. Роль “Пользователь”
  • 5.2. Роль “Старший пользователь”
  • 5.3. Роль “Руководитель”
  • 5.4. Роль “Администратор”
  • 5.5. Роль “Внешний пользователь”
• 6. Приложения
  • 6.1. Формы заявок (шаблоны)
  • 6.2. Матрица доступа (полная)

Связь с подразделениями:

• HelpDesk/Service Desk принимает заявки
• IT-администраторы выполняют настройку
• Руководители согласовывают заявки своих сотрудников

Назначение: Техническая инструкция для IT-специалистов по безопасной настройке ПК.

Структура:

• 1. Требования к оборудованию
  • 1.1. Минимальные технические характеристики
  • 1.2. Совместимость с ПО
• 2. Установка ОС
  • 2.1. Выбор редакции ОС
  • 2.2. Настройки безопасности при установке
  • 2.3. Разметка диска (шифрование)
• 3. Базовые настройки безопасности
  • 3.1. Отключение неиспользуемых служб
  • 3.2. Настройка брандмауэра
  • 3.3. Политики локальной безопасности
  • 3.4. Настройка UAC
  • 3.5. Включение аудита
• 4. Установка ПО
  • 4.1. Антивирус (настройки)
  • 4.2. Офисный пакет
  • 4.3. Браузеры (настройки безопасности)
  • 4.4. Специализированное ПО
• 5. Ввод в домен
  • 5.1. Проверка сетевых настроек
  • 5.2. Присоединение к домену
  • 5.3. Применение групповых политик
• 6. Передача пользователю
  • 6.1. Проверка работоспособности
  • 6.2. Инструктаж пользователя
  • 6.3. Акт приема-передачи

Связь с подразделениями:

• IT-отдел (системные администраторы) выполняет настройку
• IT-отдел (техподдержка) консультирует пользователей
• Служба безопасности проверяет соответствие настройкам

Назначение: Регулирует использование личных и корпоративных мобильных устройств.

Структура:

• 1. Общие положения
  • 1.1. Цель политики
  • 1.2. Область применения
• 2. Категории устройств
  • 2.1. Корпоративные устройства (COPE)
  • 2.2. Личные устройства (BYOD)
  • 2.3. Гостевые устройства
• 3. Требования к устройствам
  • 3.1. Поддерживаемые ОС и версии
  • 3.2. Требования к парольной защите
  • 3.3. Шифрование
  • 3.4. Обновления ПО
• 4. Управление устройствами (MDM)
  • 4.1. Регистрация в MDM
  • 4.2. Удаленная блокировка/очистка
  • 4.3. Инвентаризация приложений
• 5. Правила использования
  • 5.1. Корпоративная почта на мобильных
  • 5.2. Доступ к корпоративным документам
  • 5.3. Запрет на джейлбрейк/рутинг
  • 5.4. Использование в общественных местах
• 6. Действия при утере/краже
  • 6.1. Немедленное уведомление
  • 6.2. Удаленная блокировка
  • 6.3. Удаленная очистка
• 7. При увольнении
  • 7.1. Корпоративные устройства (возврат)
  • 7.2. Личные устройства (удаление корпоративных данных)

Связь с подразделениями:

• IT-отдел настраивает MDM и контролирует устройства
• Сотрудники подписывают соглашение об использовании
• Служба безопасности контролирует соответствие

Назначение: Определяет порядок обнаружения, регистрации и реагирования на инциденты.

Структура:

• 1. Общие положения
  • 1.1. Цель и задачи
  • 1.2. Термины и определения
• 2. Классификация инцидентов
  • 2.1. По критичности (критический, высокий, средний, низкий)
  • 2.2. По типу (взлом, вирус, DDoS, утечка)
  • 2.3. По источнику (внешний, внутренний)
• 3. Обнаружение и регистрация
  • 3.1. Источники информации об инцидентах
  • 3.2. Форма регистрации
  • 3.3. Первичная оценка
• 4. Порядок реагирования
  • 4.1. Сбор команды (CSIRT)
  • 4.2. Сдерживание (локализация)
  • 4.3. Исследование (форензика)
  • 4.4. Устранение последствий
  • 4.5. Восстановление
• 5. Коммуникация при инцидентах
  • 5.1. Внутренние уведомления
  • 5.2. Уведомление регуляторов (РКН, ФСТЭК)
  • 5.3. Связи с общественностью/клиентами
• 6. Пост-инцидентный анализ
  • 6.1. Разбор причин
  • 6.2. Корректирующие меры
  • 6.3. Обновление документации
• 7. Приложения
  • 7.1. Форма отчета об инциденте
  • 7.2. Контакты членов CSIRT
  • 7.3. Контакты регуляторов

Связь с подразделениями:

• IT-отдел и SOC обнаруживают инциденты
• CSIRT (межфункциональная команда) реагирует
• Юридический отдел взаимодействует с регуляторами
• PR-отдел управляет внешними коммуникациями

Назначение: Обеспечение работоспособности критических бизнес-процессов при сбоях.

Структура:

• 1. Общие положения
  • 1.1. Цель плана
  • 1.2. Область применения
• 2. Критические бизнес-процессы
  • 2.1. Перечень процессов
  • 2.2. Приоритеты восстановления
  • 2.3. RTO (целевое время восстановления)
  • 2.4. RPO (целевая точка восстановления)
• 3. Сценарии сбоев
  • 3.1. Отказ оборудования
  • 3.2. Отказ ПО
  • 3.3. Кибератака
  • 3.4. Отключение электричества
  • 3.5. Пожар/затопление
  • 3.6. Недоступность персонала
• 4. Режимы функционирования
  • 4.1. Нормальный режим
  • 4.2. Режим повышенной готовности
  • 4.3. Аварийный режим
  • 4.4. Восстановительный режим
• 5. План восстановления
  • 5.1. Активация плана
  • 5.2. Сбор аварийной команды
  • 5.3. Оценка ущерба
  • 5.4. Запуск резервных мощностей
  • 5.5. Восстановление данных
  • 5.6. Возврат к нормальному режиму
• 6. Ресурсы для восстановления
  • 6.1. Резервное оборудование
  • 6.2. Резервные копии
  • 6.3. Альтернативные площадки
  • 6.4. Аварийные контракты с подрядчиками
• 7. Тестирование плана
  • 7.1. Периодичность учений
  • 7.2. Сценарии учений
  • 7.3. Оценка результатов

Связь с подразделениями:

• Бизнес-подразделения определяют критические процессы
• IT-отдел обеспечивает техническое восстановление
• Руководство принимает решения о режимах работы
• Все подразделения участвуют в учениях

Назначение: Определяет правила физического доступа в помещения компании.

Структура:

• 1. Общие положения
  • 1.1. Цель положения
  • 1.2. Область применения
• 2. Зоны безопасности
  • 2.1. Общедоступная зона (холл, переговорные)
  • 2.2. Служебная зона (офисные помещения)
  • 2.3. Ограниченная зона (серверная, архивы)
  • 2.4. Особо охраняемая зона (комната хранения носителей)
• 3. Система пропусков
  • 3.1. Виды пропусков (постоянные, временные, разовые)
  • 3.2. Порядок выдачи пропусков
  • 3.3. Порядок возврата пропусков
  • 3.4. Действия при утере пропуска
• 4. Правила доступа в зоны
  • 4.1. Доступ сотрудников
  • 4.2. Доступ посетителей
  • 4.3. Доступ подрядчиков
  • 4.4. Доступ в нерабочее время
• 5. Видеонаблюдение
  • 5.1. Зоны видеоконтроля
  • 5.2. Сроки хранения записей
  • 5.3. Порядок доступа к записям
• 6. Действия при нарушении
  • 6.1. Обнаружение нарушения
  • 6.2. Реагирование охраны
  • 6.3. Расследование

Связь с подразделениями:

• Служба безопасности (охрана) контролирует доступ
• HR выдает пропуска новым сотрудникам
• Руководители согласовывают доступ для посетителей
• IT-отдел контролирует доступ в серверную

Назначение: Основной документ для Роскомнадзора, определяющий порядок работы с ПДн.

Структура:

• 1. Общие положения
  • 1.1. Цель политики
  • 1.2. Правовые основания
  • 1.3. Термины и определения (по 152-ФЗ)
• 2. Принципы обработки ПДн
  • 2.1. Законность
  • 2.2. Ограничение целями
  • 2.3. Достоверность
  • 2.4. Недопустимость избыточности
  • 2.5. Хранение не дольше необходимого
• 3. Категории субъектов ПДн
  • 3.1. Сотрудники
  • 3.2. Кандидаты на вакансии
  • 3.3. Клиенты и контрагенты
  • 3.4. Посетители сайта
• 4. Состав обрабатываемых ПДн
  • 4.1. По каждой категории субъектов
  • 4.2. Обоснование необходимости
• 5. Цели обработки ПДн
  • 5.1. Кадровый учет
  • 5.2. Исполнение договоров
  • 5.3. Маркетинговые коммуникации
• 6. Способы обработки
  • 6.1. С использованием средств автоматизации
  • 6.2. Без использования средств автоматизации
• 7. Права субъектов ПДн
  • 7.1. Право на доступ
  • 7.2. Право на уточнение
  • 7.3. Право на блокирование
  • 7.4. Право на уничтожение
• 8. Меры по защите ПДн
  • 8.1. Организационные меры
  • 8.2. Технические меры
• 9. Сроки обработки и хранения
  • 9.1. Для сотрудников
  • 9.2. Для клиентов
• 10. Заключительные положения
  • 10.1. Порядок ознакомления
  • 10.2. Ответственность
  • 10.3. Актуализация

Связь с подразделениями:

• Публикуется на сайте компании (обязательное требование)
• HR-отдел руководствуется при работе с данными сотрудников
• Отдел продаж — при работе с клиентами
• Юридический отдел контролирует соответствие

Назначение: Форма для получения согласия от субъектов ПДн (клиентов, сотрудников).

Структура:

• 1. Информация о субъекте
  • ФИО, контактные данные
• 2. Цели обработки
  • Четкое указание, для чего собираются данные
• 3. Перечень данных
  • Какие именно данные разрешено обрабатывать
• 4. Перечень действий
  • Сбор, запись, систематизация, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление
• 5. Способы обработки
  • Автоматизированная, неавтоматизированная
• 6. Срок действия согласия
  • Конкретный срок или условие (например, “до отзыва”)
• 7. Порядок отзыва
  • Как субъект может отозвать согласие
• 8. Подпись и дата
  • Собственноручная подпись или электронная

Связь с подразделениями:

• HR получает при приеме на работу
• Менеджеры по продажам получают при оформлении клиентов
• Хранится в личном деле или в CRM
• Юридический отдел проверяет формы на актуальность

Назначение: Выполнение требований к сайтам (152-ФЗ, о cookie, о согласиях).

Структура:

• 1. Общие положения
  • 1.1. О сайте
  • 1.2. Термины
• 2. Какие данные собираются
  • 2.1. Технические данные (IP, user-agent)
  • 2.2. Cookie (сессионные, постоянные, сторонние)
  • 2.3. Данные из форм обратной связи
• 3. Цели сбора
  • 3.1. Обеспечение работы сайта
  • 3.2. Аналитика (Яндекс.Метрика, Google Analytics)
  • 3.3. Маркетинг
• 4. Правовые основания
  • 4.1. Согласие пользователя
  • 4.2. Законный интерес
• 5. Передача данных третьим лицам
  • 5.1. Хостинг-провайдер
  • 5.2. Аналитические системы
  • 5.3. Рекламные сети
• 6. Управление cookie
  • 6.1. Как отключить в браузере
  • 6.2. Влияние на функциональность
• 7. Контактная информация
  • Кому писать по вопросам обработки данных

Связь с подразделениями:

• Маркетинг определяет, какие аналитические системы используются
• IT-отдел обеспечивает техническую реализацию баннера о cookie
• Юридический отдел проверяет текст

Назначение: Определяет правила предоставления доступа внешним организациям.

Структура:

• 1. Общие положения
  • 1.1. Цель положения
  • 1.2. Категории внешних пользователей
• 2. Требования к подрядчикам
  • 2.1. Наличие лицензий (ФСТЭК, ФСБ при необходимости)
  • 2.2. Включение требований ИБ в договор
  • 2.3. Соглашение о конфиденциальности (NDA)
• 3. Порядок предоставления доступа
  • 3.1. Инициация от профильного подразделения
  • 3.2. Согласование со службой безопасности
  • 3.3. Техническая реализация доступа
  • 3.4. Ограничение по времени
• 4. Типы доступа для внешних
  • 4.1. Удаленный доступ (VPN)
  • 4.2. Доступ к отдельным системам
  • 4.3. Физический доступ (приезд в офис)
• 5. Контроль за внешними пользователями
  • 5.1. Мониторинг активности
  • 5.2. Периодический пересмотр необходимости доступа
  • 5.3. Немедленное отключение по окончании работ
• 6. Требования к договорам
  • 6.1. Типовые формулировки по ИБ
  • 6.2. Ответственность подрядчика за инциденты
  • 6.3. Право на проверку

Связь с подразделениями:

• Закупки/юристы включают требования в договоры
• Профильные подразделения инициируют доступ для подрядчиков
• IT-отдел технически предоставляет доступ
• Служба безопасности контролирует

Назначение: Юридический документ, обязывающий контрагента не разглашать информацию.

Структура:

• 1. Определение конфиденциальной информации
  • 1.1. Какие данные считаются конфиденциальными
  • 1.2. Исключения (общедоступная информация)
• 2. Обязательства сторон
  • 2.1. Не разглашать
  • 2.2. Использовать только для целей сотрудничества
  • 2.3. Обеспечить меры защиты
  • 2.4. Уведомлять о попытках доступа третьих лиц
• 3. Срок действия
  • 3.1. На время сотрудничества
  • 3.2. На _____ лет после окончания
• 4. Ответственность
  • 4.1. Возмещение убытков
  • 4.2. Неустойка (опционально)
• 5. Реквизиты и подписи

Связь с подразделениями:

• Подписывается со всеми контрагентами, имеющими доступ к информации
• Хранится в договорной базе
• Юридический отдел контролирует исполнение