Спецификация СУИБ в ДОУ организации: какие реалии?

[Shamanay]

конфиден-циальный, законодатель-ного, по-мощь.
Вам за каждый символ платят?
на определенную дефиницу души
Это что за единица измерения?

«Из приведенного формата перечня документов следует, что совокупности образований, являются применительными в организации, с действующими режимами конфиденциальности организации.»
Чё?

Ну и главный вопрос, ответ на который я хотел найти: как документацией управлять? Вот есть пункт инструкции. В случае выявления нарушения я запускаю определенный сценарий (шаблон письма, вызов на ковер, заявка в ИТ на устранение проблемы и т.д.). Пункт этой инструкции следует из аналогичного положения Стандарта. Так вот, как меняя пункты в одном документе, получать обновления в другом и еще и коллизии искать, если такие возникают?

[geminishkv]

Приветствую, спасибо, что дали свой фидбэк, скажу так:
— очень приятно, что вы прочитали и вникли в статью до конца
— что дали взвешенные аргументы
— задали интересующие вас вопросы ;)

Ответ на ваш комментарий:
1 —

конфиден-циальный, законодатель-ного, по-мощь.Вам за каждый символ платят?

— писал статью в MS Word, забыл убрать автопереносы при публикации статьи и очень рад, что вы это заметили. Отредактировал и опубликовал — спасибо.
2 —

на определенную дефиницу души Это что за единица измерения

— это оборот речи, так скажем, фактически звучит: единица населения
3 —

«Из приведенного формата перечня документов следует, что совокупности образований, являются применительными в организации, с действующими режимами конфиденциальности организации.» Чё?

— в зависимости от типа организации и формата ее деятельности существует формат категорирования информации внутри организации (в том числе, которая обрабатывается, хранится и применяется в распределенных подразделениях). Как пример: если разобраться в типах служебной информации (согласно действующего законодательства), сможем сделать вывод о их классификации и, соответственно, режимах соблюдения частных и общих политик информационной безопасности организации. Где классификация по большей части относится к рассмотрению инцидентов и рисков по KPI, где также присутствует категорирование информации на: С, СС, ОВ, ОД.
4 —

Ну и главный вопрос, ответ на который я хотел найти: как документацией управлять? Вот есть пункт инструкции. В случае выявления нарушения я запускаю определенный сценарий (шаблон письма, вызов на ковер, заявка в ИТ на устранение проблемы и т.д.). Пункт этой инструкции следует из аналогичного положения Стандарта. Так вот, как меняя пункты в одном документе, получать обновления в другом и еще и коллизии искать, если такие возникают?

— это очень хороший вопрос, но по факту тут рассмотрены определенные моменты указанные в Аннотации, но отвечая на ваш вопрос могу сказать следующее: есть инциденты и риски, то есть их расследование, предупреждение и формат отработки — они применяются в определенных случаях, если сам инцидент принесет больше убытков, чем возникновение/допущение риска. Для такого формирования документации мы можем сослаться на ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» — а также смежные ГОСТ Р из серии 27000. На практике, то есть моем собственном опыте и реалиях, которые я застал это выглядит так: формируется документ, который отрабатывается по определенному алгоритму/методике (к этому вопросу у меня будет статья в течении ближайшего времени далее) и обрабатывается в зависимости от БП организации, что бы ликвидность и рентабельность продукта была не зависима и не было формата — «работа ради работы», — как бы это смешно не звучало. Фактически надо составлять документацию и гладить по головке ребят, кто накосячил и пришел к вам, так как это намного лучше, чем разгребать инцидент с конкретным ущербом постфактум. Насчет коллизий — их не надо искать, нужна только систематизация — которая решит все вопросы, необходимые СУИБ.

Спасибо за комментарии, буду рад ответить еще на ваши вопросы ;)