Определим дальнейший план действий.
Для начала выполним минимально необходимый набор организационных мер. Здесь я вынужден сделать небольшое отступление.
В настоящее время сложилась практика определять эффективность ИБ количеством разработанных в организации документов. К примеру один интегратор предлагает разработать пакет из 30 внутренних документов, другой из сорока, а мега-олайн-сервис грозится сгенерировать для Вас 60 документов! Кому верить? Верить нужно здравому смыслу. Количество документов не является показателем эффективности принятых мер. Документы должны работать, их содержание, структура, иерархия должны быть понятны Вашим работникам. И если вы попытаетесь заставить их исполнять несколько десятков нормативных документов… Да они даже читать не станут! Вы впустую потратите время и бумагу. Да и управлять этим бумажным царством не тривиальная задача. А еще, как только вы согласитесь на тонну документов, вам тут же впарят какую-нибудь систему управления этими документами с ежегодной абонплатой тысяч в 50-100. В общем, не будем плодить сущности. Обойдемся минимальным набором.
Заложим бумажный фундамент нашей безопасности:
- Почитать список минимально необходимых терминов и сокращений.
- Разработать и утвердить политику информационной безопасности.
- Назначить ответственных.
- Определить состав комиссий.
- Разработать и утвердить положения. (Персональные данные, коммерческая тайна)
- Утвердить списки допущенных.
- Определить перечень сведений, относимых к коммерческой тайне.
- Определить места хранения.
- Внести изменения в должностные обязанности.
- Разработать и утвердить инструкции.
Дальше займемся вплотную персональными данными:
- Разработать и утвердить политику обработки ПДн. Опубликовать её.
- Выделить ИСПДн и определить уровень защищенности.
- Разработать модель угроз для каждой ИСПДн.
- Разработать техническое задание на ПИБ ИСПДн.
- Внедрить ПИБ согласно техническому заданию.
И теперь наладим контроль и непрерывность процессов ИБ:
- Разработать и утвердить план мероприятий по защите информации. Делать это ежегодно.