Geekly articles weekly

Wie man in 10 Tagen einen Standard macht. Teil Zwei Langweilig

Wie man in 10 Tagen einen Standard macht, habe ich schon früher gesagt . Jetzt möchte ich über die Terminologie und Namen von Dokumenten, ihre Bedeutung und verschiedene Ansätze zur Erstellung von Dokumentationen sprechen. Natürlich weiß jeder, dass es nützlich ist, die Dokumente zu verstehen, aber nicht jeder hat die Geduld, sich mit ihnen zu befassen. Ich werde dir sagen, wie sie mich nur dafür verurteilt haben. Dieser Teil wird trocken und langweilig sein, gießen Sie sich Tee ein, nehmen Sie Kekse. Lass uns gehen.


Intro-Thema zu lang


Jede lebende Sprache ist in ihren Nuancen schön. Und die russische Sprache ist doppelt schön. Mit einer so starken Basis wird das russische Büro (wie ich die Sprache nenne, in der Gesetze, Regierungsverordnungen und andere offizielle Papiere verfasst sind) mit seinen Fähigkeiten fesseln. Natürlich, wenn Sie nicht versuchen, es zu lesen. Wenn es keine Möglichkeit gibt, dies zu vermeiden, müssen Sie die Kanzlei sorgfältig und genau lesen, sie mehrmals neu lesen und sich mit jedem Wort befassen.

Es war 2008 - Sommer, Freitag. Ich verabschiedete mich früh von der Arbeit, um nicht im Stau zu stehen, und fuhr zur Hütte entlang der Dmitrovsky-Autobahn in der Gegend von Yakhroma. Es war ziemlich eng, aber erträglich. Der Verkehrspolizeiinspektor hält mich an, bittet um Unterlagen und erklärt, dass ich keinen Fußgänger verpasst habe. Ich stimme ihm nicht zu.


Dann bietet der Inspektor an, mir einen Beschluss zu unterzeichnen, und sagt, dass ich 10 Tage Zeit habe, um Berufung einzulegen. Na ja, schon nicht schlecht. Ich unterschreibe das Papier und mache mich selbstständig. Es stellte sich heraus, dass der Inspektor meine Unwissenheit ausnutzte.

Protokoll? Welches Protokoll?


Am Gericht stellte sich heraus, dass ich nicht das Protokoll, sondern die Entscheidung unterschrieb.

Wenn der Vertreter der Regierung Anzeichen einer Ordnungswidrigkeit (z. B. Verkehrsregeln) sah, sollte er ein Protokoll erstellen. In das Protokoll können Sie schreiben, dass Sie mit den Kommentaren nicht einverstanden sind, aber in der Entscheidung gibt es keine solche Spalte. Das heißt, Mit der Unterzeichnung der Entscheidung gab ich tatsächlich meine Schuld zu. Ja, Sie haben 10 Tage Zeit, um gegen die Bestellung Einspruch einzulegen. Aber es gibt praktisch keine Chance. Somit ist das Protokoll nur eine Fixierung des Verstoßes, und die Entscheidung ist die bereits verhängte Strafe.

Es scheint, dass es zwei Zettel gibt, und was sind die verschiedenen Konsequenzen.

Dokumente zur Informationssicherheit


Wie bei jeder Aktivität erhalten Informationssicherheitsprozesse früher oder später ein bestimmtes Dokumentenvolumen: Richtlinien, Vorschriften, Anweisungen, Vorschriften usw. Jedes dieser Dokumente löst ein bestimmtes Problem, und Verwirrung (wie im obigen Beispiel) wirkt sich ohne Fehler destruktiv auf Ihre Aktivität aus.

Um Dokumente dieser Art zu erstellen, können wir die Leistungen sowohl der einheimischen als auch der westlichen Schulen nutzen.

Westliche Schule


Die westliche Schule ist in Namen und Inhalt der Dokumente ziemlich frei. Der auffälligste Beweis ist eine Reihe von Standards - ISO 2700x, die jeder Sicherheitsbeamte kennt.


Im Allgemeinen ist die gesamte Dokumentation in vier Ebenen unterteilt.

  • Die Politiker der ersten Ebene sind die "wässrigsten" und "strategischsten". Zum Beispiel „Informationssicherheitsrichtlinie von LLC Romashka.
  • Politiker der zweiten Ebene - spezifizieren spezifische Aspekte der globalen Politik oder spezifische Verfahren. Zum Beispiel "Antivirenschutzrichtlinie".
  • Anweisungen (dritte Ebene) - Beschreiben Sie die spezifischen Aufgaben der Mitarbeiter im Rahmen einer Richtlinie der zweiten Ebene, z. B. „Systemadministratorhandbuch für den Virenschutz des KSPD-Segments“.
  • Datensätze (vierte Ebene) - alles, was in den vorherigen drei Ebenen nicht enthalten ist. Von den Einstellungen für ein bestimmtes Segment bis zum Parsen von Vorfällen eines SIEM-Systems.

Bei der Anwendung dieses Ansatzes treten Probleme bei der Anpassung dieses Standards an unsere Realität auf. Es ist immer noch möglich, jede Kommunikation zwischen Sicherheitspersonal durch die Frage nach der Größe der Sicherheitspolitik leicht in einen rücksichtslosen Holivar zu verwandeln. Die meisten Menschen ziehen es vor, alle erforderlichen Informationen in einem Dokument zu speichern, denn je mehr Dokumente, desto mehr Zeit wird benötigt, um ihre Beziehungen zu verfolgen, und die Koordination und Einführung von Änderungen kann Monate dauern. Ich habe andere Meinungen getroffen, aber auf jeden Fall lautet die Schlussfolgerung wie folgt: Westliche Methoden enthüllen nicht viele der notwendigen Nuancen.

Wenden wir uns der häuslichen Erfahrung zu.

Hausschule


Angesichts der beeindruckenden Geschichte und Erfahrung von Generationen bei der Entwicklung von Konstruktionsdokumentationen (ESKD) wäre es überraschend, wenn wir nicht unsere eigenen Traditionen und unser eigenes Verständnis von Papierkram hätten. Wenn Sie sich dieselbe GOST 34-Serie genau ansehen, werden Sie überrascht sein, dass dies sehr logisch und sogar praktisch ist. Entwickeln Sie nicht vor der Einführung eines Systems eine übergeordnete Struktur (Konzeption), um diese detaillierter und detaillierter zu klären (technisches Design und Arbeitsdokumentation)?

Wenn Sie also Dokumente für ein russisches Unternehmen entwickeln, werden Sie höchstwahrscheinlich die Ansätze der Hausschule verwenden. Der Hauptunterschied zum Westen besteht in der Beachtung von Begriffen und Namen. Wenn Sie beispielsweise das Dokument "Liste der Eingangssignale und Daten" aufrufen, wird erwartet, dass Sie Informationen über Eingangssignale, möglicherweise sogar Ausgangssignale, und keine Anforderungen an die Informationsunterstützung oder eine Beschreibung des Informationsarrays sehen.

Aber hier kann ein Problem auf Sie warten. Was denkst du sind die Unterschiede:

  1. Informationssicherheitsrichtlinie,
  2. Informationssicherheitsverordnung
  3. Informationssicherheitsverordnung?

Diese Frage verwirrte mich, als ich mich der Erstellung einer Reihe von Organisations- und Verwaltungsdokumentationen (ARD) zuwandte. Lass es uns herausfinden.

Wie nennt man ein Boot, damit es schwimmt?


Lassen Sie uns auf die Hauptdokumente eingehen (wenn wir alles betrachten, wird es völlig langweilig und uninteressant sein). Der unten beschriebene Ansatz ist der wichtigste in der Arbeit der Abteilung für Informationssicherheit in einer der LANIT-Einheiten.

Bestellung


Alpha und Omega aller Prozesse, die Sie auf Papier übertragen möchten. Im Gegensatz zum westlichen Ansatz, bei dem die Genehmigung durch befugte Personen recht einfach ist, haben wir alle Dokumente auf Bestellung eingeführt. Sie können alle Anweisungen und Formulare in Ihrer Arbeit verwenden. Wenn diese jedoch nicht auf Bestellung eingegeben werden, denken Sie daran, dass Sie sie nicht haben.

Dies ist übrigens besonders relevant für den Schutz personenbezogener Daten. Jede Überprüfung der Regulierungsbehörden beginnt mit der Feststellung der Anwendbarkeit der getroffenen Maßnahmen. Wenn Sie mit einem Dokument beschäftigt sind, bereiten Sie höchstwahrscheinlich einen Auftragsentwurf vor.

Die Hauptunterscheidungsmerkmale des Ordens sind folgende:

  1. Es wird vom Generaldirektor in Kraft gesetzt. Er hat das Recht, bestimmte Anforderungen an die gesamte Organisation zu verteilen.
  2. Die Anwesenheit des Teams. Implementieren Sie beispielsweise eine Informationssicherheitsrichtlinie.
  3. Ernennung des Verantwortlichen. In der Anordnung sollte angegeben werden, wer für die Erfüllung des Wesens der Anordnung verantwortlich ist, beispielsweise im Falle der Politik der Direktor für Informationssicherheit.
  4. Verfügbarkeit von Fristen. Hier ist alles offensichtlich. Zum Beispiel, um alle Mitarbeiter der Informationssicherheitsrichtlinie innerhalb von 2 Tagen darauf aufmerksam zu machen.
  5. Die Anwesenheit eines Vorgesetzten. Dieser Teil wird oft vergessen, aber es ist äußerst wünschenswert anzugeben, wem die Kontrolle über die Ausführung des Wesens des Auftrags übertragen wird. In der Regel bleibt er entweder beim CEO oder wird an die verantwortliche Person übertragen.

Mit der Bestellung wird alles vom Datenschutzsystem bis zur Genehmigung von Meldeformularen eingeführt. Ob für jedes Niesen oder als einzelner Pool unterschiedliche Bestellungen getätigt werden, ist oft Geschmackssache. Wenn alles in separaten Bestellungen eingegeben wird, können die eingebetteten Dokumente leichter geändert werden. Bei einem einzelnen Pool ist es einfacher zu verhandeln und zu unterschreiben.

Politik


Schließlich kamen wir zur Politik. In unserer Tradition ist dies ein relativ neues Dokument, im Gegensatz zu den anderen hier vorgestellten. Ein Merkmal der Richtlinie ist, dass sie die Prozesse beschreibt. Zum Beispiel der Prozess der Gewährleistung der Informationssicherheit.

Eine Richtlinie kann und sollte Anforderungen an die Funktionsweise des Prozesses stellen, kann die erforderliche Sicherheit und Ausnahmen beschreiben.

Mit dem inländischen Ansatz können Sie eine Richtlinie beliebiger Größe erstellen. Die Hauptsache ist, dass Sie die Richtlinie nicht in eine Beschreibung der Aufgaben und der Verteilung der Verantwortung zwischen den Ausführenden umwandeln müssen. Hierfür gibt es Vorschriften und Anweisungen.

Position


Im Gegensatz zur Politik zielt die Verordnung genau darauf ab, die Aktivitäten von Personen und Einheiten zu regeln. Die Verordnung regelt im Allgemeinen das Gründungsverfahren, die Rechte, Pflichten, die Verantwortung und die Organisation der Arbeit einer Struktureinheit (Beamter, Beratungs- oder Kollegialorgan) sowie deren Interaktion mit anderen Abteilungen und Beamten.

Das heißt, Tatsächlich wird die Verordnung sehr selten auf Prozesse angewendet, sie wird jedoch in Form einer "Verordnung über das Ministerium für Informationssicherheit" sehr angemessen sein.

Vorschriften


Die Verordnung ist das umstrittenste Dokument. Ich habe eine Firma getroffen, in der es nur eine Vielzahl von Vorschriften gab. Es versteht sich, dass die Regulierung im Wesentlichen ein vorübergehendes Dokument ist, zumindest in Bezug auf die Informationssicherheit. Dies ist heute in Mode, um eine „Straßenkarte“ zu nennen. Die Verordnung legt im Gegensatz zur Richtlinie und der Verordnung die spezifischen Schritte und den Zeitpunkt ihrer Umsetzung fest.

Und wenn es Fristen gibt, gilt die Verordnung nicht für kontinuierliche Prozesse, zum Beispiel zur Gewährleistung der Sicherheit des gesamten Unternehmens oder zur Gewährleistung der Qualitätskontrolle. Das heißt, Möglicherweise gibt es eine "Verordnung zur Umsetzung einer Sicherheitspolitik", aber es ist besser, keine "Verordnung zur Informationssicherheit" zu erlassen.

Bedienungsanleitung


Die Anweisung ist das letzte Dokument in der Hierarchie, aber nicht von Bedeutung. Die Anweisung beschreibt die spezifischen Schritte, die in einer bestimmten Situation ausgeführt werden sollten, oder umgekehrt, was niemals ausgeführt werden sollte. Das bekannteste Beispiel für Anweisungen beider Arten ist die Charta des internen Dienstes der Streitkräfte.

Die Anweisungen sind nicht an eine bestimmte Struktur gebunden, und möglicherweise ist die Hauptanforderung Verständlichkeit und einfache Lesbarkeit.



Damit möchte ich enden, ich hoffe du liest bis zum Ende. Wiederholen Sie meine Fehler nicht und kennen Sie die Bedeutung der Dokumente.

Wir haben übrigens eine freie Stelle.

Source: https://habr.com/ru/post/de461009/

More articles:


All Articles