Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
– выходные данные 1.1 – приоритеты организации для разработки СУИБ;
– выходные данные 2.5 – политика СУИБ.
Рекомендации: Для каждого процесса в организации и задачи для специалиста требуется принять решение в отношении того, насколько важной является информация, т. е. какой требуется уровень защиты. Требуется базовое краткое описание проанализированной информации по процессам в организации и системам ИКТ.
Для получения подробных требований к ИБ для СУИБ
– предварительное определение важных информационных активов и текущего состояния защиты информации;
– определение представлений организации и их влияния на будущие требования к ИБ;
– анализ видов обработки информации, системного ПО, коммуникационных сетей, определения действий и ресурсов для информационных технологий и т.д.;
– определение всех обязательных требований (законодательства, договоров, стандартов и соглашений с клиентами, условий страхования и т.д.);
– определение уровня информированности в области ИБ и определение требований к обучению в отношении каждого подразделения.
Выходные данные:
– определение основных процессов, функций, объектов, информационных систем и коммуникационных сетей;
– информационные активы организации;
– классификация важнейших процессов (активов);
– требования к ИБ, сформулированные на основе обязательных требований;
– перечень известных уязвимостей, которые должны быть устранены в результате выполнения требований к ИБ;
– требования к обучению и образованию в области ИБ в организации.
3.2. Определение активов в рамках СУИБ
Исходные данные:
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 3.1 – требования к ИБ для процесса СУИБ.
Рекомендации: Для определения активов в рамках области действия СУИБ необходимо указать следующую информацию:
– уникальное наименование процесса;
– описание процесса и связанные с ним действия (создание, хранение, передача, удаление);
– важность процесса для организации (критический, важный, вспомогательный);
– владелец процесса (подразделение организации);
– процессы, обеспечивающие исходные и выходные данные этого процесса;
– приложения ИТ, поддерживающие процесс;
– классификация информации (конфиденциальность, целостность, доступность и другие важные для организации свойства).
Выходные данные:
– определенные информационные активы основных процессов в организации в рамках области действия СУИБ;
– классификация важнейших процессов и информационных активов с точки зрения ИБ.
3.3. Проведение оценки ИБ
Необходимо провести оценку ИБ путем сравнения текущего состояния
Исходные данные:
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 3.1 – требований к ИБ для процесса СУИБ;
– выходные данные 3.2 – активы в рамках области действия СУИБ.
Рекомендации: При оценке ИБ анализируется текущая ситуация в организации путем использования следующей информации и определяется текущее состояние ИБ и недостатки в документации:
– изучение предпосылок на основе важнейших процессов;
– классификация информационных активов;
– требования организации к ИБ.
Для успешной оценки ИБ важными являются следующие действия:
– перечисление соответствующих стандартов;
– определение требований к управлению, установленных на основе политики ИБ, обязательных требований, результатов прошедших проверок или оценок рисков;
– использование этих документов для приблизительной оценки существующих требований к уровню ИБ.
Подход к проведению оценки ИБ следующий:
– выбрать важные бизнес-процессы и этапы процессов, касающиеся требований к ИБ;
– составить подробную блок-схему, охватывающую основные процессы, включая инфраструктуру;
– обсудить и проанализировать с ключевыми сотрудниками существующую ситуацию в организации в отношении требований к ИБ;
– определить недостатки в управлении путем сравнения существующих средств управления с определенными требованиями к управлению;
– определить и задокументировать текущее состояние организации.
Выходные данные: Документ, описывающий состояние ИБ в организации и обнаруженные уязвимости.
4. Проведение оценки и планирование обработки рисков
Цель: Определить методологию оценки риска, определить, проанализировать и оценить риски ИБ, чтобы выбрать варианты их обработки и средства ИБ.
Проведение оценки и планирование обработки рисков определяют следующие процессы:
1) проведение оценки рисков;
2) выбор средств ИБ;
3) получение санкции руководства на внедрение и использование СУИБ.
4.1. Проведение оценки рисков
Исходные данные:
– выходные данные раздела 2 – область действия и политика СУИБ;
– выходные данные раздела 3 – состояние ИБ и информационные активы;
– ISO/IEC 27005 – управление рисками ИБ.
Рекомендации: Оценка рисков состоит из следующих мероприятий: