понедельник, 22 июня 2015 г.

Ментальные карты и теги при подготовке документов

Ментальные карты и теги при подготовке документов
Когда готовится объемный документ, например руководство по защите информации или детальная политика информационной безопасности, хочется уместить в минимум объема максимум смысла и при этом иметь возможность оперативно ориентироваться в тексте документа.
При подготовке очередного такого многостраничного монстра применил подход, основанный на использовании ментальных карт и тегов, о котором и расскажу.

Описание возможностей ментальных карт смежная тема и ее затрагивать не буду.
В описываемом примере используется MindManager, но возможно есть и другие продукты, работать в которых с ментальными картами так же удобно.

В создании документа через ментальную карту есть следующие плюсы:
  1. За счет использования карты четко видна структура документа, можно легко переносить блоки текста между разделами.
  2. Не нужные в настоящий момент блоки текста можно скрывать (сворачивать).
  3. Между блоками текста можно устанавливать связи (Relationship).
  4. Можно использовать теги.
Из недостатков следует отметить необходимость перед печатью преобразовывать карту в офисный документ. Для этого можно использовать меню экспорт документа и шаблон. Вот тут можно скачать уже готовый шаблон для экспорта документов в Word (TimesNewRoman, 12 pt).

Использование тегов при подготовке документов - самая интересная из возможностей ментальных карт. Например, можно использовать такие группы тегов:

Тег Ответственность - определяет пользователя (группу пользователей) ответственных за исполнение пункта документа.
Предварительно следует нормативно распределить ответственных, например, документом Перечень уполномоченных администраторов и лиц, обеспечивающих функционирование АС. В описываемых ниже примерах распределение ролей следующее:

  • Администратор прикладной системы (АПС);
  • Администратор по обеспечению безопасности информации (АБИ);
  • Служба информационной безопасности (СИБ);
  • Служба системного администрирования (ССА);
  • Служба технической поддержки (СТП);

В результате такого тегирования можно осуществлять удобное перемещение и фильтрацию по телу документа. Ответственным лицам, в свою очередь, не нужно читать весь документ, достаточно осуществить фильтрацию по тегу и получить выписку, в части себя касающейся.

Тег Мера: Техническая, Организационная - исполнение пункта достигается за счет применения технических или организационных мер. Такая классификация позволяет по каждому пункту документа определить, требуется ли что-то делать для его исполнения или пункт закрыт техническими мерами и является описанием.

Тег СЗИ/ПО - определяет программное обеспечение или техническое средство, применение которого обеспечивает реализацию технической меры. Помимо добавления полезной информационной нагрузки к пункту, появляется побочный эффект: по каждому средству защиты можно получить список мест его применения.

Тег Приказ 17 - ссылка на соответствующий раздел "Требований о защите информации, не составляющих государственную тайну, содержащихся в государственных информационных системах", утвержденных приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК) № 17 от 11.02.2013 и Методического документа "Меры защиты информации в государственных информационных системах" утвержденного ФСТЭК 11.02.2014, во исполнение которого действует соответствующий пункт документа.
Рассматриваемый ниже пример документ готовился с оглядкой на 17 Приказ ФСТЭК и Методический документ к нему, но конечно перечень таких тегов может быть шире, все зависит от того, исполнение каких требований закрывается (описывается) документом: 21 приказ ФСТЭК, РД АС, ГОСТ Р ИСО/МЭК 27*, PCI DSS и т.д.
Подобное тегирование позволяет обосновывать пункты документа и оперативно определять, какими мерами (пунктами документа) закрываются те или иные требования.

Пример

На следующих примерах видно, как использование тегов упрощает восприятие документа.
Один пункт документа с тегами:
Отметки об установке обновлений ПО фиксируются в электронной форме в подсистеме анализа защищенности.
 Ответственность: АБИ
 Мера: Техническая
 СЗИ/ПО: XXX
 Приказ 17: АНЗ.2
Тот же пункт но без тегов: 
Контроль установки обновлений программного обеспечения осуществляется путем применения технических мер - использования средства защиты информации XXX, ответственным за обеспечение данного пункта является Администратор безопасности информации, а необходимость указанных действий определена в разделе АНЗ.2 приказа ФСТЭК России № 17.
В качестве примера документа ниже привожу его часть, описывающую достаточно типовой блок вопросов по парольной защите и блокировке учетных записей. 
Исходная версия документа в *.MMAP и его печатная версия в *.DOCX, а так же в MindJet *.PDF.
Применение MindMap и тегов при подготовке документов по защите информации
Применение MindMaps и тегов при подготовке документов

Буду рад, если приведенный способ подготовки и ведения нормативной документации в организации окажется полезен.

5 комментариев:

  1. Интересная идея, если все пользователи документа работают в MindManager. Но у вас на примере 3.3.1 - ответственный Пользователь.

    Как видно из вашего примера - экспорт в .docx явно хромает, для утверждения и работы в таком варианте документ не пригоден.

    ОтветитьУдалить
    Ответы
    1. Не смог уйти от указания ответственности рядовых пользователей, для них конечно нужно делать отдельные документы в виде инструкций.

      Удалить
    2. Mindjet14 - сохраняя в формате Ворд, документ автоматически и переводится в этот формат не теряя структуры. Очень удобно. А можно в Прожекте сохранить

      Удалить
  2. Николай, имеются ли бесплатные аналоги рассматриваемого ПО?

    ОтветитьУдалить
    Ответы
    1. Даже несколько. Вот подборка: http://www.stimul.biz/ru/lib/soft/. Из того что пробовал - FreeMind так же позволяет делать экспорт в офисный документ для печати (в *.ODT)

      Удалить