Geekly articles weekly

Como fazer um padrão em 10 dias. Parte Dois Chato

Como fazer um padrão em 10 dias, eu disse anteriormente . Agora eu gostaria de falar sobre a terminologia e nomes dos documentos, seu significado e diferentes abordagens para a preparação da documentação. Obviamente, todos sabem que é útil entender os documentos, mas nem todos têm paciência para se aprofundar neles. Vou te contar como eles me condenaram por isso. Esta parte será seca e chata, sirva-se de chá, tome biscoitos. Vamos lá


Tópico de introdução muito longo


Qualquer língua viva é bonita em suas nuances. E a língua russa é duplamente bonita. Tendo uma base tão poderosa, o escritório administrativo russo (como chamo de idioma em que as leis, os decretos do governo e outros documentos oficiais são escritos) cativará suas capacidades. Claro, se você não está tentando ler. Se não houver maneira de evitar isso, você precisará ler a chancelaria com cuidado e ponderação, relendo-a várias vezes, investigando cada palavra.

Era 2008 - verão, sexta-feira. Saí cedo do trabalho para não ficar preso nos engarrafamentos e dirigi até a cabana ao longo da estrada Dmitrovsky, na área de Yakhroma. Era bem apertado, mas suportável. O inspetor da polícia de trânsito me para, pede documentos e declara que não perdi um pedestre. Eu não concordo com ele.


Então o inspetor se oferece para assinar uma resolução e diz que terei 10 dias para recorrer. Bem, já não é ruim. Eu assino o papel e vou para o meu próprio negócio. Acabou que o inspetor se aproveitou da minha ignorância.

Protocolo? Qual protocolo?


No tribunal, descobriu-se que eu não assinei o protocolo, mas a decisão.

Se o representante do governo viu sinais de uma infração administrativa (por exemplo, regras de trânsito), ele deve elaborar um protocolo. No protocolo, você pode escrever que não concorda com os comentários, mas na decisão não existe essa coluna. I.e. Ao assinar a decisão, admiti minha culpa. Sim, você tem 10 dias para recorrer do pedido. Mas praticamente não há chance. Assim, o protocolo é apenas uma fixação da violação, e a decisão é a punição já imposta.

Parece que existem dois pedaços de papel e quais são as diferentes consequências.

Documentos para segurança da informação


Como qualquer atividade, os processos de segurança da informação, mais cedo ou mais tarde, adquirem um certo volume de documentos: políticas, regulamentos, instruções, regulamentos, etc. Cada um desses documentos resolve um problema específico, e a confusão neles (como no exemplo acima) sem falhas afetará destrutivamente sua atividade.

Para criar documentos desse tipo, podemos usar as conquistas das escolas domésticas e ocidentais.

Escola ocidental


A escola ocidental é bastante livre em nomes e conteúdo de documentos. A prova mais impressionante é uma série de padrões - ISO 2700x, que todo guarda de segurança conhece.


Em geral, toda a documentação é dividida em quatro níveis.

  • Os políticos do primeiro nível são os mais "lacrimejantes" e "estratégicos". Por exemplo, “Política de Segurança da Informação da LLC Romashka.
  • Políticos de segundo nível - especificam aspectos específicos da política global ou procedimentos específicos. Por exemplo, "Política de proteção antivírus".
  • Instruções (terceiro nível) - descreva os deveres específicos dos funcionários na estrutura de uma política de segundo nível, por exemplo, “Guia do administrador do sistema para proteção antivírus do segmento KSPD”.
  • Registros (quarto nível) - tudo o que não está incluído nos três níveis anteriores. De configurações em um segmento específico a analisar incidentes de um sistema SIEM.

Ao aplicar essa abordagem, surgem problemas com a adaptação desse padrão em nossas realidades. Ainda é possível transformar facilmente qualquer comunicação entre guardas de segurança em um holivar implacável pela questão do tamanho da política de segurança. A maioria das pessoas prefere armazenar todas as informações necessárias em um documento, porque quanto mais documentos, mais tempo leva para rastrear seus relacionamentos, e a coordenação e a introdução de mudanças podem levar meses. Conheci outras opiniões, mas, de qualquer forma, a conclusão é a seguinte: Os métodos ocidentais não revelam muitas das nuances necessárias.

Vamos voltar à experiência doméstica.

Escola doméstica


Tendo uma história e uma experiência impressionantes de gerações no desenvolvimento da documentação de design (ESKD), seria surpreendente se não tivéssemos nossas próprias tradições e entendimento da papelada. Se você observar atentamente a mesma série GOST 34, poderá se surpreender ao saber que ela é bastante lógica e até conveniente. Você não desenvolve uma estrutura de nível superior (projeto conceitual) antes de introduzir qualquer sistema, esclarecendo-o em mais detalhes e em mais detalhes (projeto técnico e documentação de trabalho)?

Portanto, se você desenvolver documentos para uma empresa russa, provavelmente usará as abordagens da escola doméstica. Sua principal diferença em relação ao oeste é a atenção a termos e nomes. Por exemplo, ao chamar o documento “Lista de sinais e dados de entrada”, é esperado que você veja informações sobre sinais de entrada, possivelmente até mesmo sinais de saída, e não requisitos de suporte a informações ou uma descrição da matriz de informações.

Mas aqui um problema pode esperar por você. O que você acha que são as diferenças:

  1. Política de Segurança da Informação,
  2. Regulamento de Segurança da Informação
  3. Regulamento de Segurança da Informação?

Foi essa questão que me intrigou quando mudei para o estágio de compilação de um conjunto de documentação organizacional e administrativa (ARD). Vamos descobrir.

Como você chama um barco, então ele flutua


Vamos nos debruçar sobre os principais documentos (se considerarmos tudo, será completamente chato e desinteressante). A abordagem descrita abaixo é a principal no trabalho do Departamento de Segurança da Informação em uma das unidades da LANIT.

Encomendar


Alfa e ômega de qualquer processo que você deseja transferir para o papel. Em contraste com a abordagem ocidental, onde a aprovação por pessoas autorizadas é bastante simples, temos todos os documentos introduzidos por ordem. Você pode usar quaisquer instruções e formulários em seu trabalho, mas se eles não forem inseridos por pedido, considere que você não os possui.

A propósito, isso é especialmente relevante para a proteção de dados pessoais. Qualquer verificação dos reguladores começa com o estabelecimento da aplicação da lei das medidas tomadas. Se você estiver envolvido em algum documento, é mais provável que prepare um rascunho de pedido.

As principais características distintivas da Ordem são as seguintes:

  1. É posto em prática pelo diretor geral, é ele quem tem o direito de distribuir certos requisitos a toda a organização.
  2. A presença da equipe. Por exemplo, implemente uma política de segurança da informação.
  3. A nomeação do responsável. A ordem deve indicar quem é responsável pelo cumprimento da essência da ordem, por exemplo, no caso da política, o diretor de segurança da informação.
  4. Disponibilidade de prazos. Tudo é óbvio aqui. Por exemplo, chamando a atenção de todos os funcionários da Política de Segurança da Informação em 2 dias.
  5. A presença de um supervisor. Essa parte é frequentemente esquecida, mas é altamente desejável indicar a quem o controle sobre a execução da essência da ordem está atribuído. Geralmente, ele permanece com o CEO ou é transferido para a pessoa responsável.

O pedido apresenta tudo, desde o regime de proteção de dados pessoais até a aprovação de formulários de relatório. Fazer pedidos diferentes para cada espirro ou como uma única piscina geralmente é uma questão de gosto. Se tudo for digitado em pedidos separados, será mais fácil alterar os documentos incorporados. Se um único pool, é mais fácil negociar e assinar.

Política


Finalmente, chegamos à política. Em nossa tradição, este é um documento relativamente novo, diferente dos outros aqui apresentados. Uma característica da política é que ela descreve os processos. Por exemplo, o processo de garantir a segurança da informação.

Uma política pode e deve apresentar requisitos para o funcionamento do processo, pode descrever a segurança e as exceções necessárias.

Usando a abordagem doméstica, você pode criar uma política de qualquer tamanho. O principal é que você não precisa transformar a política em uma descrição das tarefas e na distribuição de responsabilidades entre os executores; existem regulamentos e instruções para isso.

Posição


Ao contrário da política, o regulamento visa precisamente regular as atividades de pessoas e unidades. O regulamento, no caso geral, regula o procedimento de formação, direitos, obrigações, responsabilidade e organização do trabalho de uma unidade estrutural (órgão oficial, consultivo ou colegiado), bem como sua interação com outros departamentos e funcionários.

I.e. de fato, o regulamento é muito raramente aplicado aos processos, mas será muito apropriado na forma de "Regulamento do Departamento de Segurança da Informação".

Regulamentos


O regulamento é o documento mais controverso. Eu conheci uma empresa na qual havia apenas uma variedade de regulamentos. Deve-se entender que, em sua essência, a regulação é um documento temporário, pelo menos em segurança da informação. Isto é o que está na moda para chamar de "roteiro". O regulamento, em contraste com a política e o regulamento, determina as etapas específicas e o momento de sua implementação.

E, se houver prazos, o regulamento não é aplicável a processos contínuos, por exemplo, garantindo a segurança de toda a empresa ou garantindo o controle de qualidade. I.e. pode haver um "Regulamento para implementar uma política de segurança", mas é melhor não fazer um "Regulamento para segurança da informação".

Manual de instruções


A instrução é o último documento na hierarquia, mas não tem significado. A instrução descreve as etapas específicas que devem ser executadas em uma situação específica, ou vice-versa, o que nunca deve ser feito. O exemplo mais famoso de instruções de ambos os tipos é a Carta do serviço interno das Forças Armadas.

As instruções não estão vinculadas a nenhuma estrutura específica e, talvez, o principal requisito seja a compreensibilidade e a facilidade de leitura.



Sobre isso, gostaria de terminar, espero que você leia até o fim. Não repita meus erros e saiba o significado dos documentos.

A propósito, temos uma vaga.

Source: https://habr.com/ru/post/pt461009/

More articles:


All Articles