Документы по ИБ - Форум по вопросам информационной безопасности

Добрый день! Возник вопрос в плане оформления типовых документов в организации. Существует АС в 150 компьютеров, в основном здании находится порядка 100, остальные раскиданы в другие здания, причем некоторые территориально не очень близко. В состав сети входит 2 ИСПДн на 8 и 7 компьютерах (они в 2-х отделах) основного здания. Так вот возник вопрос, какие документы делать? Делать документы на АС (концепция, политика, РСД, акты, паспорт и инструкции) и потом делать документы на ИСПДн (модель угроз, инструкции, приказы и и.д.). В большой АС циркулирует просто служебная информация, ПД не циркулируют. Или можно как то все под одно дело подогнать чтобы не плодить по сути дублирующие документы?

Я бы занялся в первую очередь ПДн, а затем уже "подогнал" комплект ОРД для АС. для унификации защииты применил бы те же СрЗИ, что и для ИСПДн

"В большой АС циркулирует просто служебная информация"
Вот здесь зарыта самая большая проблема в дальнейшей деятельности...

to sekira
"В большой АС циркулирует просто служебная информация"
Вот здесь зарыта самая большая проблема в дальнейшей деятельности...

А если конкретнее?

Вы в этой части не понимаете что защищать. А если не знаешь что защищать то и защитить не получится. Документация это всего лишь отражение организационных правовых и технических мер по защите информации. Это инструмент.
Защита информации это не только и иногда совсем не только защита конфиденциальной информации. Про ПДн есть требования (с вольным трактованием в пользу оператора) для "служебной информации" (если это не СИОР ДСП) требований нет вы формируете и отражаете их и их исполнение в своих документах. Форма и иерархия, решаемые документами вопросы все ваше в зависимости от многих факторов в вашей организации.
Вопрос очень походит на как сделать кнопку в программе нажав которую все делается само. Так не получится, нужна серьезная последовательная работа (в ПДн тоже). Начните с того что защищать где это находится и от чего защищать (модели угроз нарушителя (рисков).

Ну с ИСПДн я разберусь, так как по ним все ясно, что их надо защищать, от чего защищать и как защищать. А вот с большой АС не совсем понятно. И пусть документы будут формальностью, но они будут. В связи с этим всем и возник вопрос. Как подогнать документацию чтобы она хотела хотя бы была. И такой момент. Если инфа по сути общедоступная и является не ДСП, не Гос тайной и не ПД, то какой класс защищенности присваивать АС? 1Д?

если бы под "служебной информацией" ТС подразумевал "сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании" (98-ФЗ), то 1Г

> Если инфа по сути общедоступная и является не ДСП, не Гос тайной и не ПД, то какой класс защищенности присваивать АС?

а смысл?

Т.е. если инфа общедоступная никаких документов не нужно? И классификация АС не нужна? Может я что то не правильно объяснил. Есть АС (сетка в 150 компов) в этой сетке есть 2 ИСПДн. Остальные компы взаимодействуют между собой в плане передачи информации, которая к ИСПДн не имеет отношения. Это могут быть: распоряжения, приказы, какие то документы по юридической деятельности, земельной и т.д.

>если инфа общедоступная
наверное, стоит определится в терминах

> Это могут быть: распоряжения, приказы, какие то документы по юридической деятельности, земельной и т.д.

вряд ли это информация, упомянутая в пп.1, 2 ст. 7 федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации":

Статья 7. Общедоступная информация

1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.

2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

ergo, если вы (как юр.лицо) приняли решение о необходимости защиты своей внутренней информации, для начала смотрим 149-ФЗ в части требований по защите информации

Все таки тогда получается, что у нас будет "служебная информация" как писалось ранее. Значит необходимо делать АКТ и классифицировать как 1Г. Сразу тогда вопрос. Необходимо ли разделять документацию для АС общей и ИСПДн, входяище в состав, если АС будет классифицирована как 1Г?