Политики и процессы

Политика информационной безопасности

📜 Структура документа:

  1. Цели и область применения

  2. Термины и определения (ссылка на ГОСТ/законы)

  3. Роли и ответственность (CISO, администраторы, пользователи)

  4. Принципы защиты (КЦД, принцип наименьших привилегий и др.)

  5. Классификация информации и правила обращения

  6. Технические меры (шифрование, аутентификация, мониторинг)

  7. Процессы (управление доступом, реагирование на инциденты)

  8. Обучение и осведомлённость

  9. Контроль соответствия и пересмотр политики

  10. Приложения (шаблоны, формы, ссылки на регламенты)

✅ Критерии эффективной политики:

  • 🎯 Конкретность: чёткие требования, а не общие фразы

  • 🔄 Актуальность: пересмотр минимум раз в год или при изменениях в законодательстве

  • 👥 Понятность: изложение на языке, доступном целевой аудитории

  • ⚖️ Соответствие: прямые ссылки на 152-ФЗ, приказы ФСТЭК/ФСБ

    blog.infra-tech.ru

  • 📊 Измеримость: наличие метрик для оценки выполнения (например, % сотрудников, прошедших обучение)

Классификация данных и работа с ними

🏷️ Модель классификации (пример):

Уровень

Описание

Примеры

Меры защиты

🔴 Строго конфиденциально

Утечка нанесёт критический ущерб

Гостайна, коммерческая тайна, ПДн спец. категорий

Шифрование (СКЗИ), строгий доступ, аудит всех действий

🟠 Конфиденциально

Утечка нанесёт существенный ущерб

Персональные данные, финансовая отчётность

Шифрование в покое/передаче, RBAC, логирование

🟡 Внутреннее использование

Не для публикации, но не критично

Внутренние регламенты, черновики

Контроль доступа по ролям, запрет на внешнюю пересылку

🟢 Публичное

Предназначено для открытого доступа

Пресс-релизы, маркетинговые материалы

Контроль целостности (защита от подмены)

🔄 Жизненный цикл данных:

Создание → Классификация → Обработка → Хранение → Архивирование → Уничтожение
↓ ↓ ↓ ↓ ↓ ↓
Метки Политики Шифрование Резервное Сроки хранения Сертифицированное
доступа обработки при передаче копирование согласно НПА уничтожение

Реагирование на инциденты (Incident Response)

🚨 Процесс IR по методологии NIST (адаптировано под РФ):


📋 Чек-лист при инциденте:

🔍 Этап 1: Обнаружение
□ Зафиксировать время и источник алерта
□ Определить тип инцидента (утечка, малварь, DDoS и т.д.)
□ Оценить критичность (по матрице: воздействие × вероятность)

🛑 Этап 2: Сдерживание
□ Изолировать затронутые системы (отключить сеть, заблокировать учётки)
□ Сохранить доказательства (образы памяти, дампы трафика, логи)
□ Уведомить ответственных (внутренний регламент + регуляторы при необходимости)

🧹 Этап 3: Ликвидация и восстановление
□ Удалить угрозу (удалить малварь, закрыть уязвимость)
□ Восстановить данные из «чистых» бэкапов
□ Проверить системы на наличие бэкдоров перед возвратом в prod

📚 Этап 4: Пост-инцидентный анализ
□ Провести root cause analysis (метод 5 почему, диаграмма Исикавы)
□ Обновить политики, правила SIEM, процедуры
□ Документировать урок в базе знаний

Обучение и осведомлённость сотрудников

🎓 Программа awareness-обучения:

👥 Целевые группы и форматы:
• Все сотрудники:
- Ежегодный обязательный курс (онлайн, 30-45 мин)
- Симуляции фишинга (ежеквартально, с обратной связью)
- Инфографика, памятки, рассылки

• ИТ-персонал:
- Углублённые тренинги по безопасной разработке/администрированию
- CTF-соревнования, хакатоны
- Участие в конференциях (РИФ, Positive Hack Days)

• Руководители:
- Сессии по управлению ИБ-рисками
- Разбор кейсов и регуляторных требований

📊 Метрики эффективности:
• % сотрудников, прошедших обучение (цель: 100%)
• Уровень кликов на фишинговые симуляции (цель: снижение на 50% за год)
• Количество инцидентов по вине человеческого фактора
• Результаты тестирования знаний (пост-тренинг)

💡 Эффективные форматы:

  • 🎮 Геймификация: бейджи, рейтинги, небольшие призы за правильные действия

  • 🎬 Микрообучение: короткие видео (3-5 мин) по конкретным темам

  • 🗣️ Peer-to-peer: обучение через внутренних чемпионов ИБ в подразделениях

  • 📱 Мобильное приложение: доступ к материалам и тестам в любое время

Соответствие стандартам (ISO 27001, PCI DSS, GDPR)

owasp.org

🌍 Сравнительная таблица стандартов:

Стандарт

География

Фокус

Применимость в РФ

ГОСТ Р ИСО/МЭК 27001-2022

Международная (адаптирована в РФ)

СМИБ: процессы, риски, непрерывное улучшение

✅ Рекомендуется для коммерческих организаций, совместим с требованиями ФСТЭК

ФСТЭК: Базовый набор мер

РФ

Технические и организационные меры для ИСПДн/ГИС

✅ Обязательно для гос. систем и операторов ПДн

blog.infra-tech.ru

PCI DSS

Международная

Защита данных платёжных карт

⚠️ Применяется при работе с картами, но требует адаптации под 152-ФЗ

GDPR

ЕС

Защита персональных данных граждан ЕС

⚠️ Обязателен только при обработке данных резидентов ЕС; в РФ приоритет — 152-ФЗ

🔄 Интеграция требований:

🎯 Стратегия соответствия нескольким стандартам:

  1. Провести gap-анализ: какие требования пересекаются, какие уникальны

  2. Создать единую матрицу контролей (control mapping):
    • Один контроль может закрывать требования нескольких стандартов
    • Пример: шифрование ПДн закрывает требования 152-ФЗ, ГОСТ Р 57580, PCI DSS

  3. Автоматизировать сбор доказательств:
    • Использование GRC-платформ для управления соответствием
    • Интеграция с системами мониторинга для автоматических отчётов

  4. Регулярный внутренний аудит:
    • Проверка не только на "бумажное" соответствие, но и на реальную эффективность мер


Last modified: Friday, 17 April 2026, 9:24 PM