Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
1. Одобрение руководством проектирования СУИБ
Цель: Получить одобрение руководства путем определения случая применения СУИБ для предприятия и подготовки плана проекта.
Исходные данные: Описание случая применения СУИБ для данного предприятия, включающее приоритеты и цели внедрения СУИБ, а также структуру организации для СУИБ.
Рекомендации: Составить первоначальный план проекта СУИБ.
Выходные
Одобрение руководством проектирования СУИБ определяют следующие процессы:
1) определение приоритетов организации для разработки СУИБ;
2) определение предварительной области действия СУИБ;
3) техническое обоснование и план проекта СУИБ для получения санкции руководства.
1.1. Определение приоритетов организации для разработки СУИБ
Исходные данные:
– стратегические цели организации;
– обзор существующих систем управления;
– перечень действующих нормативно-правовых и договорных требований к ИБ.
Рекомендации: Выполнить сбор существенной информации, показывающей значение СУИБ для организации. Организация должна определить, зачем нужна СУИБ, определить цели внедрения СУИБ и запустить проектирование СУИБ.
Выходные данные:
– документ, излагающий цели, приоритеты в области ИБ и требования организации к системе СУИБ;
– перечень нормативно-правовых и контрактных требований к ИБ организации;
– описание характеристик организации, местонахождения, активов и технологий.
1.2. Определение предварительной области действия СУИБ
Определение предварительной области обеспечивают следующие процессы:
– разработка предварительной области;
– определение для нее ролей и сфер ответственности.
1.2.1. Разработка предварительной области
Исходные длиные: Выходные данные 1.1.
Рекомендации: Определить структуру организации для реализации СУИБ.
Выходные данные:
– изложение обязательных требований к УИБ, определяемых руководством организации, и обязательств, накладываемых на организацию извне;
– описание того, как части области действия СУИБ взаимодействуют с другими системами управления;
– перечень целей предприятия в области УИБ;
– перечень важнейших бизнес-процессов, активов, организационных структур и регионов, где будет использоваться СУИБ;
– соотношение существующих систем управления, регулирования, соответствия и целей организации;
– характеристики организация, местонахождение,
1.2.2. Определение для предварительной области ролей и сфер ответственности
Исходные данные
– выходные данные 1.2.1;
– список заинтересованных сторон, которые получат выгоду в результате реализации проекта СУИБ.
Рекомендации: Определить роль организации в реализации проекта и ответственных лиц за УИБ, а для сотрудников должны быть определены роли и сферы ответственности на основе квалификации, требуемой для выполняемой работы.
Выходные данные: представляют собой документ или таблицу, описывающую роли и сферы ответственности с указанием имен и организацию, необходимую для успешного внедрения СУИБ.
1.3. Техническое обоснование и план проекта СУИБ для получения санкции руководства
Одобрение руководства и выделение ресурсов для реализации проекта внедрения СУИБ должны быть получены путем определения случая применения СУИБ для предприятия и подготовки плана проекта СУИБ.
Исходные данные:
– выходные данные 1.1;
– выходные данные 1.2.
Рекомендации:
Информация по случаю применения СУИБ для предприятия и первоначальный план проекта СУИБ должны охватывать следующие вопросы:
– цели и конкретные задачи;
– выгоды для организации;
– предварительная область действия СУИБ, включая затрагиваемые бизнес-процессы;
– важнейшие процессы и ф акторы для достижения целей СУИБ;
– описание проекта высокого уровня;
– первоначальный план внедрения СУИБ;
– определенные роли и сферы ответственности;
– требуемые ресурсы (технологические и людские);
– соображения, касающиеся внедрения СУИБ, включая существующую систему ИБ;
– временная шкала с ключевыми этапами;
– предполагаемые затраты;
– важнейшие факторы успеха;
– количественное определение выгод для организации.
Руководство должно утвердить описание случая применения СУИБ для предприятия и первоначальный план проекта, чтобы составить поручения для всей организации и начать реализацию проекта СУИБ.
Выходные данные:
– документированное одобрение руководством выполнения проекта СУИБ с распределенными ресурсами;
– документированное описание случая применения СУИБ для данного предприятия;
– начальное предложение по проекту СУИБ с основными этапами, такими как выполнение оценки риска, реализация проекта, внутренний аудит и проверки, осуществляемые руководством.
2. Определение области действия, границ и политики СУИБ