вторник, 18 октября 2016 г.

Про документы и оформление..

Сейчас операторам необходимо подготовить большое количество документации по защите информации. Будь то защита персональных данных или другая конфиденциальная информации. Можно даже определиться с конкретным перечнем документации (например) в организации, согласно нормативным документам. Но вот формы данных документов нигде не представлены и не описаны. И требования к оформлению тоже я нигде не встречал.  Например..
Возьмём модель угроз. Некий документ где должны быть учтены и требования ФСТЭК и ФСБ. У ФСТЭК своё мировоззрение на это, у ФСБ своё. Как этот документ должен выглядеть по правильному тоже никто не скажет. (Если только конечно передать его на согласование в эти органы, и тогда будет внутренняя уверенность что всё правильно сделал). Требований к оформлению тоже нет или есть но очень малом количестве, что приходится собирать их по крупицам с разных источников.
Вот наши операторы и интеграторы делают "модели" кто во что горазд, поскольку единого подхода нету.
Или взять документ "Техническое задание на создание системы защиты....", тут как бы всё есть и ГОСТ отдельный, который можно применить и ссылки ссылающиеся на этот ГОСТ в нормативных документах. Но вот опять проблема (я как уже упоминал об этом ранее). В каком документе выбирать меры? адаптации базового набора, уточнении адаптированного базового набора, дополнение уточнённого адаптированного базового набора?

В своё время на сайте Росстандарта был выложен проект ГОСТа, которые до сих пор так и не вышел в свет.
ПРОЕКТ ГОСТ ДОКУМЕНТАЦИЯ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ ИНФОРМАЦИИ НА ОБЪЕКТЕ ИНФОРМАТИЗАЦИИ
На мой взгляд ГОСТ очень полезный. Говорит о типовом комплекте документации, наполнение каждого документа, а так же представлены типовые формы.

Комментариев нет:

Отправить комментарий