Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Цель: Определить области действия и границ СУИБ и разработать политику СУИБ.
Определение области действия и границ СУИБ обеспечивают предварительные процессы:
– определение организационной и физической областей действия и границ СУИБ;
– определение области действия и границ информационных и коммуникационных технологий (далее – ИКТ);
Определение областей действия и политики СУИБ также обеспечивают
– объединение всех областей действия и границ СУИБ;
– разработка политики СУИБ и получение одобрения руководства.
2.1. Определение организационной области действия и границ
Исходные данные:
– выходные данные 1.2 – документированная предварительная область действия СУИБ, охватывающая:
• соотношения существующих систем управления, регулирования, соответствия и целей организации;
• характеристики организации, ее местонахождения, активов и технологий.
– выходные данные 1.1 – документированное утверждение руководством внедрения СУИБ и запуск проекта с необходимыми распределенными ресурсами.
Рекомендации: Одним из методов определения организационных границ является определение сфер ответственности, не перекрывающих друг друга, чтобы облегчить назначение подотчетности в организации.
На основе такого подхода анализируемые организационные границы должны определять всех сотрудников, участвующих в сфере УИБ, и эти границы должны быть включены в область действия СУИБ. Если некоторые процессы в организации выполняются сторонними организациями, эти зависимости должны быть четко задокументированы.
Выходные данные:
– описание организационных границ СУИБ, включая обоснования исключения каких-либо частей организации из области действия СУИБ;
– функции и структура частей организации, находящихся в области действия СУИБ;
– определение информации, подлежащей обмену в рамках области действия СУИБ, и информации, обмен которой осуществляется через границы СУИБ;
– процессы в организации и сферы ответственности за информационные активы в области действия СУИБ и за ее пределами;
– процесс в иерархии принятия решений, а также ее структура в рамках системы СУИБ.
2.2. Определение области действия и границ ИКТ
Исходные данные:
– выходные данные 1.2 – описание предварительной области действия СУИБ;
– выходные данные 2.1 – определение организационной области действия и границ.
Рекомендации: Определение области действия и границ ИКТ может быть получено на основе анализа имеющихся информационных систем. Элементы ИКТ включают все части организации, которые хранят, обрабатывают или передают важную информацию, активы или являются важными для других частей организации, входящих
Границы ИКТ должны включать описание следующих элементов:
– инфраструктура связи, в которой ответственность за ее управление входит в компетенцию организации, располагающей различными технологиями (например, беспроводные и проводные сети или сети передачи данных и телефонной связи);
– ПО в рамках организационных границ, используемое и контролируемое организацией;
– аппаратное обеспечение ИКТ, требуемое для сетей, приложений или производственных систем;
– роли и сферы ответственности, связанные с аппаратным обеспечением ИКТ, сетью и ПО.
Выходные данные:
– информация, обмен которой осуществляется как в рамках области действия СУИБ, так и через ее границы;
– границы ИКТ для СУИБ с обоснованием исключения из области действия СУИБ каких-либо элементов ИКТ, находящихся под управлением организации;
– информация об информационных и телекоммуникационных системах, описывающая, какие из них находятся в пределах области действия СУИБ вместе с ролями и сферами ответственности для этих систем.
2.3. Определение физической области действия и границ
Исходные данные:
– выходные данные 1.2 – описание предварительной области действия СУИБ;
– выходные данные 2.1 – определение организационной области действия и границ;
– выходные данные 2.2 – определение области действия и границ ИКТ.
Рекомендации: Определить помещения, обьекты и оборудование в организации, которые должны стать частью СУИБ. При этом сложнее работать с информационными системами, пересекающими физические границы, и для этого требуется:
– периферийное оборудование;
– средства связи с информационными системами клиентов и обслуживание, предоставляемое сторонними организациями;
– применение соответствующих средств связи и уровней обслуживания.
Физические границы должны включать описание следующих элементов:
– функций или процессов с учетом их физического местонахождения и степени контроля их организацией;
– специального оборудования, используемого для размещения аппаратного обеспечения ИКТ или данных, применяемых в СУИБ.
Выходные данные:
– описание физических границ СМИБ с обоснованием для исключения каких-либо физических границ, находящихся под управлением организации, из области действия СМИБ;
– описание организации и ее географических характеристик, относящихся к области действия СМИБ.
2.4. Объединение всех областей действия и границ СУИБ
Исходные данные:
– выходные данные 1.2 – описание предварительной области действия СУИБ;