Geekly articles weekly

Comment faire un standard en 10 jours. Deuxième partie Ennuyeux

Comment faire un standard en 10 jours, je l'ai dit plus tôt . J'aimerais maintenant parler de la terminologie et des noms des documents, de leur signification et des différentes approches de la préparation de la documentation. Bien sûr, tout le monde sait qu'il est utile de comprendre les documents, mais tout le monde n'a pas la patience de s'y plonger. Je vais vous dire comment ils m'ont condamné juste pour ça. Cette partie sera sèche et ennuyeuse, versez-vous du thé, prenez des biscuits. Allons-y.


Sujet d'introduction trop long


Toute langue vivante est belle dans ses nuances. Et la langue russe est doublement belle. Ayant une telle base puissante, le bureau de bureau russe (comme j'appelle la langue dans laquelle les lois, les décrets gouvernementaux et autres documents officiels sont écrits) séduira par ses capacités. Bien sûr, si vous n'essayez pas de le lire. S'il n'y a aucun moyen d'éviter cela, alors vous devez lire la chancellerie avec soin et mesure, relire plusieurs fois, fouiller chaque mot.

C'était en 2008 - l'été, vendredi. J'ai pris congé tôt du travail, afin de ne pas être coincé dans les embouteillages, et j'ai conduit jusqu'au chalet le long de l'autoroute Dmitrovsky dans la région de Yakhroma. C'était assez serré, mais supportable. L'inspecteur de police de la circulation m'arrête, demande des documents et déclare que je n'ai pas manqué un piéton. Je ne suis pas d'accord avec lui.


L'inspecteur propose ensuite de me signer une résolution et me dit que je disposerai de 10 jours pour faire appel. Eh bien, pas mal déjà. Je signe le papier et je lance ma propre entreprise. Il s'est avéré que l'inspecteur a profité de mon ignorance.

Protocole? Quel protocole?


Au tribunal, il s'est avéré que je n'ai pas signé le protocole, mais la décision.

Si le représentant du gouvernement voit des signes d'une infraction administrative (par exemple, les règles de circulation), il doit établir un protocole. Dans le protocole, vous pouvez écrire que vous n'êtes pas d'accord avec les commentaires, mais dans la décision il n'y a pas une telle colonne. C'est-à-dire En signant la décision, j'ai effectivement reconnu ma culpabilité. Oui, vous disposez de 10 jours pour faire appel de la commande. Mais il n'y a pratiquement aucune chance. Ainsi, le protocole n'est qu'une fixation de la violation, et la décision est la peine déjà imposée.

Il semblerait qu'il y ait deux morceaux de papier, et quelles sont les différentes conséquences.

Documents pour la sécurité de l'information


Comme toute activité, les processus de sécurité de l'information acquièrent tôt ou tard un certain volume de documents: politiques, réglementations, instructions, réglementations, etc. Chacun de ces documents résout un problème spécifique, et leur confusion (comme dans l'exemple ci-dessus) sans échec affectera négativement votre activité.

Pour créer des documents de ce type, nous pouvons utiliser les réalisations des écoles nationales et occidentales.

École occidentale


L'école occidentale est assez libre dans les noms et le contenu des documents. La preuve la plus frappante est une série de normes - ISO 2700x, que tout agent de sécurité connaît.


En général, toute la documentation est divisée en quatre niveaux.

  • Les politiciens du premier niveau sont les plus «aqueux» et «stratégiques». Par exemple, «Politique de sécurité des informations de LLC Romashka.
  • Politiciens de second niveau - spécifiez des aspects spécifiques de la politique mondiale ou des procédures spécifiques. Par exemple, «Politique de protection antivirus».
  • Instructions (troisième niveau) - décrivent les tâches spécifiques des employés dans le cadre d'une politique de deuxième niveau, par exemple, «Guide de l'administrateur système pour la protection antivirus du segment KSPD».
  • Records (quatrième niveau) - tout ce qui n'est pas inclus dans les trois niveaux précédents. Des paramètres sur un segment spécifique à l'analyse des incidents d'un système SIEM.

Lors de l'application de cette approche, des problèmes se posent avec l'adaptation de cette norme dans nos réalités. Il est toujours possible de transformer facilement toute communication entre les agents de sécurité en un holivar impitoyable par la question de la taille de la politique de sécurité. La plupart des gens préfèrent stocker toutes les informations nécessaires dans un seul document, car plus il y a de documents, plus il faut de temps pour suivre leurs relations, et la coordination et l'introduction de changements peuvent prendre des mois. J'ai rencontré d'autres opinions, mais en tout cas, la conclusion est la suivante: les méthodes occidentales ne révèlent pas beaucoup des nuances nécessaires.

Tournons-nous vers l'expérience domestique.

Ecole domestique


Ayant une histoire et une expérience des générations aussi impressionnantes dans le développement de la documentation de conception (ESKD), il serait surprenant que nous n'ayons pas nos propres traditions et notre compréhension de la paperasse. Si vous regardez attentivement la même série GOST 34, vous pouvez être surpris d'apprendre qu'elle est assez logique et même pratique. Ne développez-vous pas une structure de niveau supérieur (conception conceptuelle) avant d'introduire un système, en le clarifiant plus en détail et plus en détail (conception technique et documentation de travail)?

Par conséquent, si vous développez des documents pour une entreprise russe, vous utiliserez très probablement les approches de l'école domestique. Sa principale différence avec l'ouest est l'attention portée aux termes et aux noms. Par exemple, lorsque vous appelez le document «Liste des signaux et données d'entrée», vous êtes censé voir des informations sur les signaux d'entrée, éventuellement même des signaux de sortie, et non des exigences de prise en charge des informations ou une description du tableau d'informations.

Mais ici, un problème peut vous attendre. Quelles sont selon vous les différences:

  1. Politique de sécurité de l'information,
  2. Règlement sur la sécurité de l'information
  3. Règlement sur la sécurité de l'information?

C'est cette question qui m'a intrigué lorsque je suis passé à l'étape de la compilation d'un ensemble de documentation organisationnelle et administrative (DRA). Voyons cela.

Comment appelez-vous un bateau pour qu'il flotte


Arrêtons-nous sur les principaux documents (si nous considérons tout, ce sera complètement ennuyeux et sans intérêt). L'approche décrite ci-dessous est la principale dans le travail du Département de la sécurité de l'information dans l'une des unités de LANIT.

Commander


Alpha et oméga de tout processus que vous souhaitez transférer sur papier. Contrairement à l'approche occidentale, où l'approbation par des personnes autorisées est assez simple, nous avons tous les documents introduits par arrêté. Vous pouvez utiliser toutes les instructions et formulaires dans votre travail, mais s'ils ne sont pas saisis par commande, considérez que vous ne les avez pas.

Cela est d'ailleurs particulièrement pertinent pour la protection des données personnelles. Toute vérification des régulateurs commence par la constatation de la répression des mesures prises. Si vous êtes engagé dans un document, vous êtes le plus susceptible de préparer un projet de commande.

Les principales caractéristiques distinctives de l'Ordre sont les suivantes:

  1. Elle est mise en œuvre par le directeur général, c'est lui qui a le droit de diffuser certaines exigences à l'ensemble de l'organisation.
  2. La présence de l'équipe. Par exemple, implémentez une politique de sécurité des informations.
  3. Désignation du responsable. L'ordonnance devrait indiquer qui est responsable de l'exécution de l'essence de l'ordre, par exemple, dans le cas de la politique, le directeur de la sécurité de l'information.
  4. Disponibilité des délais. Tout est évident ici. Par exemple, porter à l'attention de tous les employés de la politique de sécurité de l'information dans les 2 jours.
  5. La présence d'un superviseur. Cette partie est souvent oubliée, mais il est hautement souhaitable d'indiquer à qui le contrôle de l'exécution de l'essence de l'ordre est attribué. Habituellement, il reste soit avec le PDG, soit est transféré à la personne responsable.

L'ordonnance introduit tout, du régime de protection des données personnelles à l'approbation des formulaires de déclaration. Que ce soit pour faire des commandes différentes pour chaque éternuement ou comme une seule piscine est souvent une question de goût. Si tout est entré dans des commandes distinctes, les documents intégrés seront plus faciles à modifier. S'il s'agit d'un seul pool, il est plus facile de négocier et de signer.

La politique


Enfin, nous sommes arrivés à la politique. Dans notre tradition, il s'agit d'un document relativement nouveau, contrairement aux autres présentés ici. Une caractéristique de la politique est qu'elle décrit les processus. Par exemple, le processus visant à garantir la sécurité des informations.

Une politique peut et doit mettre en avant des exigences pour le fonctionnement du processus, peut décrire la sécurité et les exceptions requises.

En utilisant l'approche domestique, vous pouvez créer une politique de n'importe quelle taille. L'essentiel est que vous n'avez pas besoin de transformer la politique en une description des tâches et de la répartition des responsabilités entre les exécuteurs, il existe des règlements et des instructions pour cela.

Poste


Contrairement à la politique, le règlement vise précisément à réglementer les activités des personnes et des unités. Le règlement, dans le cas général, régit la procédure de formation, les droits, les obligations, la responsabilité et l'organisation du travail d'une unité structurelle (organe officiel, consultatif ou collégial), ainsi que son interaction avec les autres services et fonctionnaires.

C'est-à-dire en fait, le règlement est très rarement appliqué aux processus, mais il sera très approprié sous la forme d'un "règlement sur le département de la sécurité de l'information".

Règlements


Le règlement est le document le plus controversé. J'ai rencontré une entreprise dans laquelle il n'existait qu'une variété de réglementations. Il faut comprendre que, dans son essence, la réglementation est un document temporaire, au moins en matière de sécurité de l'information. C'est ce qu'il est désormais à la mode d'appeler une «feuille de route». Le règlement, contrairement à la politique et au règlement, détermine les étapes spécifiques et le calendrier de leur mise en œuvre.

Et s'il y a des délais, le règlement ne s'applique pas aux processus continus, par exemple pour assurer la sécurité de l'ensemble de l'entreprise ou assurer le contrôle de la qualité. C'est-à-dire il peut y avoir un «règlement pour la mise en œuvre d'une politique de sécurité», mais il vaut mieux ne pas faire un «règlement pour la sécurité de l'information».

Manuel d'instructions


L'instruction est le dernier document de la hiérarchie, mais sans importance. L'instruction décrit les étapes spécifiques qui doivent être effectuées dans une situation particulière, ou vice versa, ce qui ne doit jamais être fait. L'exemple le plus célèbre d'instructions des deux types est la Charte du service interne des forces armées.

Les instructions ne sont liées à aucune structure particulière, et la principale exigence est peut-être la compréhensibilité et la facilité de lecture.



Sur ce, je voudrais terminer, j'espère que vous lirez jusqu'au bout. Ne répétez pas mes erreurs et connaissez le sens des documents.

Soit dit en passant, nous avons un poste vacant.

Source: https://habr.com/ru/post/fr461009/

More articles:


All Articles