كيفية جعل معيار في 10 أيام ، قلت في وقت سابق . أود الآن أن أتحدث عن مصطلحات وأسماء الوثائق ومعناها والمناهج المختلفة لإعداد الوثائق. بالطبع ، يعلم الجميع أنه من المفيد فهم الوثائق ، لكن ليس كل شخص لديه الصبر للتعمق فيها. سوف أخبرك كيف أدانوا لي من أجل ذلك. سيكون هذا الجزء جافًا ومملًا ، وسكب شايًا وتناول الكعك. دعنا نذهب.

مقدمة الموضوع طويلة جدا

أي لغة حية جميلة في الفروق الدقيقة. واللغة الروسية جميلة بشكل مضاعف. بوجود مثل هذا الأساس القوي ، فإن المكتب الديني الروسي (كما أسمي اللغة التي كتبت بها القوانين والمراسيم الحكومية والأوراق الرسمية الأخرى) سوف يأسر بقدراته. بالطبع ، إذا كنت لا تحاول قراءتها. إذا لم تكن هناك طريقة لتجنب ذلك ، فأنت بحاجة إلى قراءة القصيدة بعناية وقياس ، وإعادة قراءتها عدة مرات ، الخوض في كل كلمة.

كان عام 2008 - الصيف ، الجمعة. أخذت إجازة مبكرة من العمل ، حتى لا أكون متورطًا في الاختناقات المرورية ، وتوجهت إلى الكوخ على طول طريق ديمتروفسكي السريع في منطقة ياخروما. كان ضيق جدا ، ولكن محتمل. أوقفني مفتش شرطة المرور ، وطلب الوثائق وأعلن أنني لم يفوتني أحد المشاة. أنا لا أتفق معه.


ثم يعرض المفتش التوقيع على قرار ويقول إن أمامي 10 أيام للطعن. حسنا ، ليس سيئا بالفعل. أوقع الورقة وأذهب في عملي الخاص. اتضح أن المفتش استغل جهلي.

البروتوكول؟ أي بروتوكول؟

في المحكمة اتضح أنني لم توقع على البروتوكول ، ولكن القرار.

إذا رأى ممثل الحكومة علامات على مخالفة إدارية (على سبيل المثال ، قواعد المرور) ، فعليه وضع بروتوكول. في البروتوكول يمكنك كتابة أنك لا توافق على التعليقات ، ولكن في هذا القرار لا يوجد مثل هذا العمود. أي بالتوقيع على القرار ، اعترفت بالفعل بالذنب. نعم ، لديك 10 أيام لاستئناف الطلب. ولكن ليس هناك فرصة عمليا. وبالتالي ، فإن البروتوكول هو مجرد تثبيت للانتهاك ، والقرار هو العقوبة المفروضة بالفعل.

يبدو أن هناك قطعتين من الورق ، وما هي النتائج المختلفة.

وثائق لأمن المعلومات

مثل أي نشاط ، تحصل عمليات أمان المعلومات عاجلاً أم آجلاً على حجم معين من المستندات: السياسات واللوائح والتعليمات واللوائح ، إلخ. كل واحدة من هذه الوثائق تحل مشكلة معينة ، والارتباك فيها (كما في المثال أعلاه) دون فشل سيؤثر بشكل كبير على نشاطك.

لإنشاء مستندات من هذا النوع ، يمكننا استخدام إنجازات المدارس المحلية والغربية.

المدرسة الغربية

المدرسة الغربية خالية تماما في أسماء ومحتوى الوثائق. والدليل الأكثر إثارة للدهشة هو سلسلة من المعايير - ISO 2700x ، يعرفها كل حارس أمن.


بشكل عام ، يتم تقسيم جميع الوثائق إلى أربعة مستويات.

• الساسة من المستوى الأول هم الأكثر "مائي" و "استراتيجي". على سبيل المثال ، "سياسة أمن المعلومات من LLC Romashka.
• الساسة من المستوى الثاني - تحديد جوانب محددة من السياسة العالمية أو إجراءات محددة. على سبيل المثال ، "سياسة الحماية من الفيروسات".
• التعليمات (المستوى الثالث) - وصف الواجبات المحددة للموظفين في إطار سياسة المستوى الثاني ، على سبيل المثال ، "دليل مسؤول النظام لحماية مكافحة الفيروسات من شريحة KSPD".
• السجلات (المستوى الرابع) - كل ما لم يتم تضمينه في المستويات الثلاثة السابقة. من الإعدادات على شريحة معينة إلى تحليل حوادث نظام SIEM.

عند تطبيق هذا النهج ، تنشأ مشاكل مع تكييف هذا المعيار في واقعنا. لا يزال من الممكن تحويل أي اتصال بين حراس الأمن بسهولة إلى holivar عن طريق مسألة حجم السياسة الأمنية. يفضل معظم الناس تخزين جميع المعلومات اللازمة في وثيقة واحدة ، لأنه كلما زاد عدد المستندات ، زاد الوقت اللازم لتتبع علاقاتهم ، والتنسيق وإدخال التغييرات قد يستغرق شهوراً. التقيت بآراء أخرى ، ولكن على أي حال ، فإن الاستنتاج هو كما يلي: الأساليب الغربية لا تكشف عن الكثير من الفروق الدقيقة اللازمة.

دعنا ننتقل إلى التجربة المحلية.

المدرسة المحلية

إن امتلاك هذا التاريخ العصري وتجربة الأجيال في تطوير وثائق التصميم (ESKD) ، سيكون من المدهش إذا لم يكن لدينا تقاليدنا وفهمنا للأعمال الورقية. إذا نظرت بعناية إلى نفس سلسلة GOST 34 ، يمكنك أن تتفاجأ بمعرفتها بأنها منطقية تمامًا وحتى مريحة. ألا تقوم بتطوير بنية المستوى العلوي (التصميم المفاهيمي) قبل تقديم أي نظام ، وتوضيحه بمزيد من التفصيل وبمزيد من التفصيل (التصميم الفني ووثائق العمل)؟

لذلك ، إذا قمت بتطوير مستندات لشركة روسية ، فستستخدم على الأرجح مناهج المدرسة المحلية. الفرق الرئيسي بينه وبين الغرب هو الانتباه إلى المصطلحات والأسماء. على سبيل المثال ، عند استدعاء المستند "قائمة إشارات الإدخال والبيانات" ، من المتوقع أن ترى معلومات حول إشارات الإدخال ، وربما حتى إشارات الإخراج ، وليس متطلبات دعم المعلومات أو وصفًا لصفيف المعلومات.

ولكن هنا قد تنتظرك مشكلة. ما رأيك هي الاختلافات:

1. سياسة أمن المعلومات ،
2. تنظيم أمن المعلومات
3. تنظيم أمن المعلومات؟

كان هذا السؤال هو الذي حيرني عندما انتقلت إلى مرحلة تجميع مجموعة من الوثائق التنظيمية والإدارية (ARD). دعونا معرفة ذلك.

ماذا تسمون القارب ، لذلك سوف تطفو

دعونا نلقي الضوء على الوثائق الرئيسية (إذا نظرنا في كل شيء ، فسيكون ذلك مملاً وغير مهم). النهج الموضح أدناه هو النهج الرئيسي في عمل قسم أمن المعلومات في إحدى وحدات LANIT.

ترتيب

ألفا وأوميغا من أي عملية تريد نقلها إلى الورق. على عكس النهج الغربي ، حيث موافقة الأشخاص المفوضين بسيطة للغاية ، لدينا جميع الوثائق المقدمة حسب الطلب. يمكنك استخدام أي تعليمات ونماذج في عملك ، ولكن إذا لم يتم إدخالها بالترتيب ، فاعتبر أنك لا تملكها.

هذا ، بالمناسبة ، مهم بشكل خاص لحماية البيانات الشخصية. أي التحقق من المنظمين يبدأ بإنشاء حقيقة إنفاذ القانون للتدابير المتخذة. إذا كنت مشتركًا في أي مستند ، فمن الأرجح أنك تعد مشروع أمر.

الملامح الرئيسية المميزة للأمر هي:

1. يتم وضعه موضع التنفيذ من قبل المدير العام ، وهو الذي لديه الحق في توزيع متطلبات معينة على المنظمة بأكملها.
2. وجود الفريق. على سبيل المثال ، قم بتطبيق سياسة أمان المعلومات.
3. تعيين المسؤول. يجب أن يشير الأمر إلى من المسؤول عن تنفيذ جوهر الأمر ، على سبيل المثال ، في حالة السياسة ، مدير أمن المعلومات.
4. توافر المواعيد النهائية. كل شيء واضح هنا. على سبيل المثال ، استرعاء انتباه جميع موظفي سياسة أمن المعلومات في غضون يومين.
5. حضور المشرف. غالبًا ما يتم نسيان هذا الجزء ، لكن من المرغوب فيه للغاية الإشارة إلى من يتم تعيين التحكم في تنفيذ جوهر الأمر. عادة ، يبقى إما مع الرئيس التنفيذي ، أو يتم نقله إلى الشخص المسؤول.

يقدم الطلب كل شيء من نظام حماية البيانات الشخصية إلى الموافقة على نماذج التقارير. سواء كان ذلك لتقديم طلبات مختلفة لكل العطس أو كمجموعة واحدة ، فغالبًا ما يكون ذلك أمرًا ذوقًا. إذا تم إدخال كل شيء في أوامر منفصلة ، فسيكون تغيير المستندات المضمنة أسهل. إذا كان تجمع واحد ، فمن الأسهل التفاوض والتوقيع.

سياسة

وأخيرا ، وصلنا إلى السياسة. في تقاليدنا ، هذه وثيقة جديدة نسبيًا ، على عكس الوثائق الأخرى المعروضة هنا. من ميزات السياسة أنها تصف العمليات. على سبيل المثال ، عملية ضمان أمن المعلومات.

يمكن للسياسة ويجب أن تضع متطلبات لتشغيل العملية ، ويمكن أن تصف الأمن والاستثناءات المطلوبة.

باستخدام النهج المحلي ، يمكنك إنشاء سياسة من أي حجم. الشيء الرئيسي هو أنك لست بحاجة إلى تحويل السياسة إلى وصف للمهام وتوزيع المسؤولية بين المنفذين ، فهناك لوائح وتعليمات لهذا الغرض.

موقف

على عكس السياسة ، تهدف اللائحة بالتحديد إلى تنظيم أنشطة الأفراد والوحدات. وتنظم اللائحة ، في الحالة العامة ، إجراء التكوين والحقوق والالتزامات والمسؤولية وتنظيم عمل الوحدة الهيكلية (هيئة رسمية أو استشارية أو جماعية) ، فضلاً عن تفاعلها مع الإدارات والمسؤولين الآخرين.

أي في الواقع ، نادراً ما يتم تطبيق اللوائح على العمليات ، لكنها ستكون مناسبة للغاية في شكل "لائحة بشأن إدارة أمن المعلومات".

قوانين

اللائحة هي الوثيقة الأكثر إثارة للجدل. قابلت شركة لا يوجد فيها سوى مجموعة متنوعة من اللوائح. يجب أن يكون مفهوما أن تنظيمه في جوهره هو وثيقة مؤقتة ، على الأقل في أمن المعلومات. هذا ما أصبح من المألوف الآن تسميته "خريطة الطريق". تحدد اللائحة ، على عكس السياسة واللوائح ، الخطوات المحددة وتوقيت تنفيذها.

وإذا كانت هناك مواعيد نهائية ، فإن اللائحة لا تنطبق على العمليات المستمرة ، على سبيل المثال ، ضمان سلامة الشركة بأكملها أو ضمان مراقبة الجودة. أي قد يكون هناك "لائحة لتنفيذ سياسة أمنية" ، لكن من الأفضل عدم القيام "لائحة لأمن المعلومات".

دليل التعليمات

التعليمات هي آخر وثيقة في التسلسل الهرمي ، ولكنها ليست ذات أهمية. يصف التعليمات الخطوات المحددة التي ينبغي القيام بها في موقف معين ، أو العكس ، ما الذي يجب عدم القيام به أبدًا. المثال الأكثر شهرة لتعليمات كلا النوعين هو ميثاق الخدمة الداخلية للقوات المسلحة.

لا ترتبط التعليمات بأي هيكل معين ، وربما يكون الشرط الرئيسي هو سهولة القراءة وسهولة القراءة.



على هذا أود أن أنهي ، أتمنى أن تقرأ حتى النهاية. لا تكرر أخطائي وتعرف معنى الوثائق.