Geekly articles weekly

Cómo hacer un estándar en 10 días. Segunda parte Aburrido

Cómo hacer un estándar en 10 días, dije antes . Ahora me gustaría hablar sobre la terminología y los nombres de los documentos, su significado y los diferentes enfoques para la preparación de la documentación. Por supuesto, todos saben que es útil entender los documentos, pero no todos tienen la paciencia para profundizar en ellos. Te diré cómo me condenaron solo por eso. Esta parte será seca y aburrida, sírvete té, toma galletas. Vamos


Tema de introducción demasiado largo


Cualquier lenguaje vivo es hermoso en sus matices. Y el idioma ruso es doblemente hermoso. Con una base tan poderosa, el clérigo ruso (como yo llamo el idioma en el que se escriben las leyes, los decretos del gobierno y otros documentos oficiales) cautivará con sus capacidades. Por supuesto, si no estás tratando de leerlo. Si no hay forma de evitar esto, entonces debe leer la cancillería con cuidado y de forma medida, releerla varias veces, profundizar en cada palabra.

Era 2008: verano, viernes. Me despedí temprano del trabajo, para no quedar atrapado en atascos, y conduje hasta la cabaña a lo largo de la autopista Dmitrovsky en el área de Yakhroma. Fue bastante apretado, pero soportable. El inspector de la policía de tránsito me detiene, pide documentos y declara que no he echado de menos a un peatón. No estoy de acuerdo con él


Luego, el inspector me ofrece firmar una resolución y dice que tendré 10 días para apelar. Bueno, no está mal ya. Firmo el documento y me dedico a mi propio negocio. Resultó que el inspector se aprovechó de mi ignorancia.

Protocolo? Cual protocolo


En el tribunal resultó que no firmé el protocolo, sino la decisión.

Si el representante del gobierno vio signos de un delito administrativo (por ejemplo, normas de tráfico), debe elaborar un protocolo. En el protocolo puede escribir que no está de acuerdo con los comentarios, pero en la decisión no existe dicha columna. Es decir Al firmar la decisión, admití mi culpa. Sí, tiene 10 días para apelar el pedido. Pero prácticamente no hay posibilidad. Por lo tanto, el protocolo es solo una fijación de la violación, y la decisión es el castigo ya impuesto.

Parece que hay dos hojas de papel y cuáles son las diferentes consecuencias.

Documentos para la seguridad de la información.


Al igual que cualquier actividad, los procesos de seguridad de la información, tarde o temprano, adquieren un cierto volumen de documentos: políticas, reglamentos, instrucciones, reglamentos, etc. Cada uno de estos documentos resuelve un problema específico, y la confusión en ellos (como en el ejemplo anterior) sin falta afectará destructivamente su actividad.

Para crear documentos de este tipo, podemos utilizar los logros de las escuelas nacionales y occidentales.

Escuela occidental


La escuela occidental es bastante libre en los nombres y el contenido de los documentos. La prueba más llamativa es una serie de estándares: ISO 2700x, que todo guardia de seguridad conoce.


En general, toda la documentación se divide en cuatro niveles.

  • Los políticos del primer nivel son los más "acuosos" y "estratégicos". Por ejemplo, "Política de seguridad de la información de LLC Romashka.
  • Políticos de segundo nivel: especifique aspectos específicos de la política global o procedimientos específicos. Por ejemplo, "Política de protección antivirus".
  • Instrucciones (tercer nivel): describa las tareas específicas de los empleados en el marco de una política de segundo nivel, por ejemplo, "Guía del administrador del sistema para la protección antivirus del segmento KSPD".
  • Registros (cuarto nivel): todo lo que no está incluido en los tres niveles anteriores. Desde la configuración de un segmento específico hasta el análisis de incidentes de un sistema SIEM.

Al aplicar este enfoque, surgen problemas con la adaptación de este estándar en nuestras realidades. Todavía es posible convertir fácilmente cualquier comunicación entre guardias de seguridad en un holivar despiadado por la cuestión del tamaño de la política de seguridad. La mayoría prefiere almacenar toda la información necesaria en un solo documento, ya que cuantos más documentos, más tiempo necesita para rastrear sus relaciones, la coordinación e introducción de cambios puede llevar meses. Conocí otras opiniones, pero en cualquier caso, la conclusión es la siguiente: los métodos occidentales no revelan muchos de los matices necesarios.

Pasemos a la experiencia doméstica.

Escuela domestica


Con una historia y experiencia tan impresionantes de generaciones en el desarrollo de la documentación de diseño (ESKD), sería sorprendente si no tuviéramos nuestras propias tradiciones y comprensión del papeleo. Si observa cuidadosamente la misma serie GOST 34, puede sorprenderse al saber que es bastante lógico e incluso conveniente. ¿No desarrolla una estructura de nivel superior (diseño conceptual) antes de introducir cualquier sistema, aclarándolo con más detalle y con más detalle (diseño técnico y documentación de trabajo)?

Por lo tanto, si desarrolla documentos para una empresa rusa, lo más probable es que utilice los enfoques de la escuela nacional. Su principal diferencia con respecto al oeste es la atención a los términos y nombres. Por ejemplo, al llamar al documento “Lista de señales y datos de entrada”, se espera que vea información sobre las señales de entrada, posiblemente incluso las señales de salida, y no los requisitos de soporte de información o una descripción de la matriz de información.

Pero aquí puede esperarte un problema. ¿Cuáles crees que son las diferencias?

  1. Política de seguridad de la información,
  2. Reglamento de seguridad de la información
  3. Reglamento de seguridad de la información?

Fue esta pregunta la que me dejó perplejo cuando pasé a la etapa de compilar un conjunto de documentación organizativa y administrativa (ARD). Vamos a resolverlo.

¿Cómo se llama un bote para que flote?


Detengámonos en los documentos principales (si consideramos todo, será completamente aburrido y sin interés). El enfoque descrito a continuación es el principal en el trabajo del Departamento de Seguridad de la Información en una de las unidades de LANIT.

Orden


Alfa y omega de cualquier proceso que desee transferir al papel. A diferencia del enfoque occidental, donde la aprobación por parte de personas autorizadas es bastante simple, tenemos todos los documentos presentados por orden. Puede utilizar las instrucciones y formularios en su trabajo, pero si no se ingresan por orden, considere que no los tiene.

Esto, por cierto, es especialmente relevante para la protección de datos personales. Cualquier verificación de los reguladores comienza con el establecimiento del hecho de la aplicabilidad de las medidas tomadas. Si está involucrado en algún documento, entonces es más probable que prepare un borrador de orden.

Las principales características distintivas de la Orden son las siguientes:

  1. El director general lo pone en práctica, es él quien tiene derecho a distribuir ciertos requisitos a toda la organización.
  2. La presencia del equipo. Por ejemplo, implemente una política de seguridad de la información.
  3. Nombramiento del responsable. La orden debe indicar quién es responsable de cumplir con la esencia de la orden, por ejemplo, en el caso de la política, el director de seguridad de la información.
  4. Disponibilidad de plazos. Todo es obvio aquí. Por ejemplo, llamar la atención de todos los empleados sobre la Política de seguridad de la información en un plazo de 2 días.
  5. La presencia de un supervisor. Esta parte a menudo se olvida, pero es altamente deseable indicar a quién se le asigna el control sobre la ejecución de la esencia de la orden. Por lo general, permanece con el CEO o es transferido a la persona responsable.

La orden introduce todo, desde el régimen de protección de datos personales hasta la aprobación de formularios de informes. Si hacer diferentes pedidos para cada estornudo o como un solo grupo es a menudo una cuestión de gustos. Si todo se ingresa en órdenes separadas, los documentos incrustados serán más fáciles de cambiar. Si se trata de un grupo único, es más fácil negociar y firmar.

Política


Finalmente, llegamos a la política. En nuestra tradición, este es un documento relativamente nuevo, a diferencia de los otros presentados aquí. Una característica de la Política es que describe los procesos. Por ejemplo, el proceso de garantizar la seguridad de la información.

Una política puede y debe presentar requisitos para el funcionamiento del proceso, puede describir la seguridad requerida y las excepciones.

Utilizando el enfoque interno, puede crear una política de cualquier tamaño. Lo principal es que no es necesario convertir la Política en una descripción de las tareas y la distribución de responsabilidad entre los ejecutores, existen Regulaciones e Instrucciones para esto.

Posición


A diferencia de la política, el Reglamento está dirigido precisamente a regular las actividades de las personas y las unidades. La regulación, en el caso general, regula el procedimiento de formación, los derechos, las obligaciones, la responsabilidad y la organización del trabajo de una unidad estructural (organismo oficial, asesor o colegiado), así como su interacción con otros departamentos y funcionarios.

Es decir de hecho, el Reglamento rara vez se aplica a los procesos, pero será muy apropiado en forma de "Reglamento sobre el Departamento de Seguridad de la Información".

Reglamento


La regulación es el documento más controvertido. Conocí una empresa en la que solo había una variedad de regulaciones. Debe entenderse que, en esencia, la regulación es un documento temporal, al menos en seguridad de la información. Esto es lo que ahora está de moda llamar un "mapa de ruta". El Reglamento, en contraste con la Política y el Reglamento, determina los pasos específicos y el momento de su implementación.

Y si hay plazos, el Reglamento no es aplicable a procesos continuos, por ejemplo, garantizar la seguridad de toda la empresa o garantizar el control de calidad. Es decir puede haber un "Reglamento para implementar una política de seguridad", pero es mejor no hacer un "Reglamento para la seguridad de la información".

Manual de instrucciones


La instrucción es el último documento en la jerarquía, pero no tiene importancia. La instrucción describe los pasos específicos que se deben hacer en una situación particular, o viceversa, lo que nunca se debe hacer. El ejemplo más famoso de instrucciones de ambos tipos es la Carta del servicio interno de las Fuerzas Armadas.

Las instrucciones no están vinculadas a ninguna estructura en particular, y quizás el requisito principal es la comprensión y la facilidad de lectura.



En esto me gustaría terminar, espero que lean hasta el final. No repita mis errores y sepa el significado de los documentos.

Por cierto, tenemos una vacante.

Source: https://habr.com/ru/post/461009/

More articles:


All Articles