Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
– выходные данные 2.1 – определение организационной области действия и границ;
– выходные данные 2.2 – определение области действия и границ ИКТ;
– выходные данные 2.3 – определение физической области действия и границ.
Рекомендации: Свести все исходные данные в один документ.
Выходные данные: Документ, описывающий область действия и границы СУИБ, должен содержать следующую информацию:
– ключевые характеристики организации (функция,
– процессы в организации, находящиеся в области действия СУИБ;
– предварительный перечень активов, находящихся в области действия СУИБ;
– конфигурация оборудования и сетей, находящихся в области действия СУИБ;
– схемы объектов, определяющие физические границы СУИБ;
– описание ролей и сфер ответственности в рамках СУИБ и их связи со структурой организации;
– описание и обоснование исключений каких-либо элементов из области действия СУИБ.
2.5. Разработка политики СУИБ и получение одобрения руководства
Исходные данные:
– выходные данные 2.4 – документированная область действия и границы СУИБ;
– выходные данные 1.2 – документированные цели внедрения СУИБ;
– выходные данные 1.3 – описание случая применения и проект плана СУИБ.
Рекомендации: Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику ИБ и политику СУИБ. В свою очередь, политика ИБ может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам ИБ.
Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика ИБ подкрепляется политиками, касающимися контроля доступа, политики чистого рабочего стола и экрана, использования сетевых служб и криптографического контроля. В некоторых случаях возможно включение дополнительных уровней политики.
Согласно стандарту ISO/IEC 27001 требуется, чтобы организации имели политику СУИБ и политику ИБ. Согласно стандарту ISO/IEC 27035 требуется, чтобы организации имели политику управления инцидентами ИБ.
Эти политики могут разрабатываться как равноправные политики – политика СУИБ может подчиняться политике ИБ или наоборот. В то же время политика управления инцидентами ИБ является составной частью политики СУИБ.
Содержание политики основано на контексте, в котором работает организация.
При разработке любой политики нужно учитывать следующие составляющие:
– цели и задачи;
– стратегии для достижения целей;
– структуру и процессы организации;
– требования политик более высокого уровня.
Любая политика содержит следующие разделы:
– введение;
–
– цели, принципы;
– сферы ответственности;
– ключевые результаты;
– связанные политики.
Краткое содержание политики:
1. Введение – краткое объяснение предмета политики.
2. Область действия – описывает части или действия организации, находящиеся под влиянием политики.
3. Цели – описание назначения политики.
4. Принципы – описание правил, касающихся действий и решений для достижения целей. В некоторых случаях может быть полезным определить ключевые процессы, связанные с предметом политики, и затем – правила выполнения процессов.
5. Сферы ответственности – кто отвечает за действия по выполнению требований политики. В некоторых случаях этот пункт может содержать описание организационных соглашений, а также сферы ответственности лиц с определенными ролями.
6. Ключевые результаты – описание результатов, получаемых предприятием, если цели достигнуты.
7. Связанные политики – описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.
Выходные данные: Задокументировання политика СУИБ, утвержденная руководством.
3. Проведение анализа требований к ИБ
Цель: Определить требования, которым должна соответствовать СУИБ, определить активы и получить данные по текущему состоянию ИБ в рамках области действия СУИБ.
Информация, собранная в процессе анализа ИБ, должна:
– стать основной для управления;
– определять и документировать условия для внедрения СУИБ;
– обеспечивать четкое и обоснованное понимание возможностей организации;
– учитывать определенные обстоятельства и положение в организации;
– определять требуемый уровень защиты информации;
– определять сбор и обработку информации, требуемые для всего предприятия или его части, находящейся в рамках предложенной области действия СУИБ.
Проведение анализа требований к ИБ определяют следующие процессы:
1) определение требований к ИБ для СУИБ;
2) определение активов в рамках СУИБ;
3) проведение оценки ИБ.
3.1. Определение требований к ИБ для СУИБ
Исходные данные: