Cara membuat standar dalam 10 hari, saya katakan sebelumnya . Sekarang saya ingin berbicara tentang terminologi dan nama dokumen, maknanya dan pendekatan yang berbeda untuk persiapan dokumentasi. Tentu saja, semua orang tahu bahwa itu berguna untuk memahami dokumen, tetapi tidak semua orang memiliki kesabaran untuk menyelidiki mereka. Saya akan memberi tahu Anda bagaimana mereka mengutuk saya hanya untuk itu. Bagian ini akan kering dan membosankan, tuangkan teh untuk diri sendiri, ambil kue. Ayo pergi.

Topik pengantar terlalu panjang

Bahasa apa pun yang hidup memiliki nuansa indah. Dan bahasa Rusia sangat indah. Dengan basis yang begitu kuat, kantor klerus Rusia (sebagaimana saya sebut bahasa tempat undang-undang, keputusan pemerintah, dan surat-surat resmi lainnya ditulis) akan memikat dengan kemampuannya. Tentu saja, jika Anda tidak berusaha membacanya. Jika tidak ada cara untuk menghindari ini, maka Anda perlu membaca kanselir dengan hati-hati dan terukur, membaca kembali beberapa kali, mempelajari setiap kata.

Itu 2008 - musim panas, Jumat. Saya mengambil cuti lebih awal dari pekerjaan, agar tidak terjebak dalam kemacetan lalu lintas, dan pergi ke pondok di sepanjang jalan raya Dmitrovsky di daerah Yakhroma. Itu cukup ketat, tetapi tertahankan. Inspektur polisi lalu lintas menghentikan saya, meminta dokumen dan menyatakan bahwa saya tidak melewatkan seorang pejalan kaki. Saya tidak setuju dengannya.


Kemudian inspektur menawarkan untuk menandatangani saya resolusi dan mengatakan bahwa saya akan memiliki 10 hari untuk naik banding. Yah, sudah tidak buruk. Saya menandatangani kertas dan melanjutkan bisnis saya sendiri. Ternyata inspektur mengambil keuntungan dari ketidaktahuan saya.

Protokol? Protokol yang mana?

Di pengadilan ternyata saya tidak menandatangani protokol, tetapi keputusan.

Jika perwakilan pemerintah melihat tanda-tanda pelanggaran administratif (misalnya, peraturan lalu lintas), ia harus menyusun protokol. Dalam protokol Anda dapat menulis bahwa Anda tidak setuju dengan komentar, tetapi dalam keputusan tidak ada kolom seperti itu. Yaitu Dengan menandatangani keputusan itu, saya benar-benar mengakui kesalahan saya. Ya, Anda punya 10 hari untuk mengajukan banding atas pesanan. Tapi praktis tidak ada peluang. Dengan demikian, protokol hanyalah fiksasi dari pelanggaran, dan keputusannya adalah hukuman yang sudah dijatuhkan.

Tampaknya ada dua lembar kertas, dan apa konsekuensi yang berbeda.

Dokumen untuk keamanan informasi

Seperti aktivitas apa pun, proses keamanan informasi cepat atau lambat memperoleh volume dokumen tertentu: kebijakan, peraturan, instruksi, peraturan, dll. Masing-masing dokumen ini memecahkan masalah tertentu, dan kebingungan di dalamnya (seperti dalam contoh di atas) tanpa gagal akan merusak aktivitas Anda.

Untuk membuat dokumen semacam ini, kita dapat menggunakan prestasi sekolah domestik dan Barat.

Sekolah barat

Sekolah Barat cukup gratis dalam nama dan isi dokumen. Bukti paling mencolok adalah serangkaian standar - ISO 2700x, yang diketahui oleh setiap penjaga keamanan.


Secara umum, semua dokumentasi dibagi menjadi empat tingkatan.

• Politisi tingkat pertama adalah yang paling "berair" dan "strategis". Misalnya, “Kebijakan Keamanan Informasi LLC Romashka.
• Politisi tingkat kedua - menentukan aspek spesifik dari politik global atau prosedur khusus. Misalnya, "Kebijakan perlindungan anti-virus".
• Instruksi (tingkat ketiga) - menjelaskan tugas khusus karyawan dalam kerangka kebijakan tingkat 2, misalnya, "Panduan Administrator Sistem untuk Perlindungan Antivirus dari Segmen KSPD".
• Catatan (level keempat) - semua yang tidak termasuk dalam tiga level sebelumnya. Dari pengaturan pada segmen tertentu hingga parsing insiden sistem SIEM.

Ketika menerapkan pendekatan ini, masalah muncul dengan adaptasi standar ini dalam realitas kita. Masih mungkin untuk dengan mudah mengubah komunikasi antara penjaga keamanan menjadi holivar yang kejam dengan pertanyaan tentang ukuran kebijakan keamanan. Kebanyakan orang lebih suka menyimpan semua informasi yang diperlukan dalam satu dokumen, karena semakin banyak dokumen, semakin banyak waktu yang dibutuhkan untuk melacak hubungan mereka, dan koordinasi dan pengenalan perubahan bisa memakan waktu berbulan-bulan. Saya bertemu dengan pendapat lain, tetapi bagaimanapun, kesimpulannya adalah sebagai berikut: Metode Barat tidak mengungkapkan banyak nuansa yang diperlukan.

Mari kita beralih ke pengalaman domestik.

Sekolah domestik

Memiliki sejarah dan pengalaman generasi yang mengesankan dalam pengembangan dokumentasi desain (ESKD), akan mengejutkan jika kita tidak memiliki tradisi dan pemahaman tentang dokumen. Jika Anda hati-hati melihat seri GOST 34 yang sama, Anda dapat terkejut mengetahui bahwa itu cukup logis dan bahkan nyaman. Apakah Anda tidak mengembangkan struktur tingkat atas (desain konseptual) sebelum memperkenalkan sistem apa pun, mengklarifikasi lebih detail dan lebih detail (desain teknis dan dokumentasi kerja)?

Karena itu, jika Anda akan mengembangkan dokumen untuk perusahaan Rusia, kemungkinan besar Anda akan menggunakan pendekatan sekolah domestik. Perbedaan utamanya dari barat adalah perhatian pada istilah dan nama. Misalnya, ketika memanggil dokumen "Daftar sinyal input dan data", Anda diharapkan untuk melihat informasi tentang sinyal input, bahkan mungkin sinyal output, dan bukan persyaratan dukungan informasi atau deskripsi dari array informasi.

Tapi di sini masalah mungkin menunggu Anda. Menurut Anda apa perbedaannya:

1. Kebijakan Keamanan Informasi,
2. Peraturan Keamanan Informasi
3. Peraturan Keamanan Informasi?

Pertanyaan inilah yang membingungkan saya ketika saya pindah ke tahap menyusun seperangkat dokumentasi organisasi dan administrasi (ARD). Mari kita cari tahu.

Apa yang Anda sebut perahu, sehingga akan melayang

Mari kita memikirkan dokumen-dokumen utama (jika kita mempertimbangkan semuanya, itu akan benar-benar membosankan dan tidak menarik). Pendekatan yang dijelaskan di bawah ini adalah yang utama dalam pekerjaan Departemen Keamanan Informasi di salah satu unit LANIT.

Memesan

Alpha dan omega dari setiap proses yang ingin Anda transfer ke kertas. Berbeda dengan pendekatan Barat, di mana persetujuan oleh orang yang berwenang cukup sederhana, kami memiliki semua dokumen yang diperkenalkan berdasarkan pesanan. Anda dapat menggunakan instruksi dan formulir apa pun dalam pekerjaan Anda, tetapi jika itu tidak dimasukkan berdasarkan pesanan, pertimbangkan bahwa Anda tidak memilikinya.

Omong-omong, ini sangat relevan untuk perlindungan data pribadi. Setiap verifikasi dari regulator dimulai dengan penetapan fakta penerapan tindakan yang diambil. Jika Anda terlibat dalam dokumen apa pun, maka kemungkinan besar Anda akan menyiapkan draf pesanan.

Fitur pembeda utama dari Order adalah sebagai berikut:

1. Hal ini diberlakukan oleh direktur umum, dialah yang memiliki hak untuk mendistribusikan persyaratan tertentu ke seluruh organisasi.
2. Kehadiran tim. Misalnya, menerapkan kebijakan keamanan informasi.
3. Penunjukan yang bertanggung jawab. Urutan harus menunjukkan siapa yang bertanggung jawab untuk memenuhi esensi ordo, misalnya, dalam kasus politik, direktur keamanan informasi.
4. Ketersediaan tenggat waktu. Semuanya jelas di sini. Misalnya, dengan memperhatikan semua karyawan dari Kebijakan Keamanan Informasi dalam waktu 2 hari.
5. Kehadiran seorang supervisor. Bagian ini sering dilupakan, tetapi sangat diinginkan untuk menunjukkan kepada siapa kontrol atas pelaksanaan esensi ordo ditugaskan. Biasanya, ia tetap bersama CEO, atau dipindahkan ke orang yang bertanggung jawab.

Perintah itu memperkenalkan segala sesuatu mulai dari rezim perlindungan data pribadi hingga persetujuan formulir pelaporan. Apakah membuat pesanan berbeda untuk setiap bersin atau sebagai satu kolam sering merupakan masalah selera. Jika semuanya dimasukkan dalam pesanan terpisah, maka dokumen yang disematkan akan lebih mudah diubah. Jika satu kumpulan, lebih mudah untuk bernegosiasi dan menandatangani.

Politik

Akhirnya, kami sampai di Politik. Dalam tradisi kami, ini adalah dokumen yang relatif baru, tidak seperti yang lain yang disajikan di sini. Fitur dari Kebijakan ini adalah bahwa kebijakan tersebut menggambarkan proses. Misalnya, proses memastikan keamanan informasi.

Suatu kebijakan dapat dan harus mengedepankan persyaratan untuk berfungsinya proses, dapat menggambarkan keamanan dan pengecualian yang diperlukan.

Dengan menggunakan pendekatan domestik, Anda dapat membuat kebijakan dengan ukuran apa pun. Hal utama adalah bahwa Anda tidak perlu mengubah Kebijakan menjadi uraian tugas dan distribusi tanggung jawab antara pelaksana, ada Peraturan dan Instruksi untuk ini.

Posisi

Tidak seperti Politik, Peraturan ini justru bertujuan mengatur kegiatan orang dan unit. Peraturan tersebut, dalam kasus umum, mengatur prosedur pembentukan, hak, kewajiban, tanggung jawab, dan organisasi kerja unit struktural (pejabat, badan penasihat atau kolegial), serta interaksinya dengan departemen dan pejabat lain.

Yaitu pada kenyataannya, Peraturan tersebut sangat jarang diterapkan pada proses, tetapi akan sangat sesuai dalam bentuk "Peraturan tentang Departemen Keamanan Informasi".

Peraturan

Peraturan tersebut adalah dokumen yang paling kontroversial. Saya bertemu dengan sebuah perusahaan di mana hanya ada berbagai peraturan. Harus dipahami bahwa pada intinya regulasi adalah dokumen sementara, setidaknya dalam keamanan informasi. Inilah yang sekarang modis untuk disebut "peta jalan". Peraturan, berbeda dengan Kebijakan dan Peraturan, menentukan langkah-langkah spesifik dan waktu pelaksanaannya.

Dan jika ada tenggat waktu, Peraturan tidak berlaku untuk proses yang berkelanjutan, misalnya, memastikan keselamatan seluruh perusahaan atau memastikan kontrol kualitas. Yaitu mungkin ada "Peraturan untuk menerapkan kebijakan keamanan", tetapi lebih baik untuk tidak melakukan "Peraturan untuk keamanan informasi".

Instruksi manual

Instruksi adalah dokumen terakhir dalam hierarki, tetapi tidak penting. Instruksi tersebut menjelaskan langkah-langkah spesifik yang harus dilakukan dalam situasi tertentu, atau sebaliknya, apa yang tidak boleh dilakukan. Contoh instruksi paling terkenal dari kedua jenis ini adalah Piagam dinas internal Angkatan Bersenjata.

Instruksi tidak terikat pada struktur tertentu, dan mungkin persyaratan utama adalah mudah dimengerti dan kemudahan membaca.



Tentang ini saya ingin mengakhiri, saya harap Anda membaca sampai akhir. Jangan ulangi kesalahan saya dan tahu arti dokumen.