Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Рекомендации: При разработке структуры организации и процессов для внутренних операций СУИБ следует попытаться создать их и обьединить с уже существующими, если это практически применимо.
Согласно стандарта ISO/IEC 27035, в первую очередь, необходимо создать группу технической поддержки, чтобы обеспечить поддержку всех аспектов информационных технологий и связанной с ними обработки информации. Как только приходит сообщение о событии ИБ, группа поддержки
Во вторую очередь, необходимо создать в организации специальную группу реагирования на инциденты ИБ (ГРИИБ). Целью ее создания является обеспечение организации соответствующим персоналом для оценки, реагирования иа инциденты ИБ и извлечения уроков из них, а также необходимой координации всех заинтересованных сторон и процесса обмена информацией.
Кроме того, организация обеспечить взаимодействие с внутренними подразделениями и внешними организациями, которые имеют отношение к управлению событиями, инцидентами и уязвимостями ИБ в организации.
Важно определить, какой орган в схеме обеспечения политики управления инцидентами ИБ руководитель ГРИИБ оповещает о серьезных инцидентах ИБ. Процедуры общения со СМИ и ответственность за это общение также должны быть согласованы с высшим руководством. Эти процедуры должны определить представителя организации по работе со СМИ и его взаимодействие с ГРИИБ.
Выходные данные: Документ, описывающий структуру организации, роли и сферы ответственности.
5.1.2. Разработка основы для документирования СУИБ
Необходимо проконтролировать записи и документы в системе СУИБ путем определения основы, которая позволит выполнить требования по текущему контролю записей и документов в системе СУИБ.
Исходные данные:
– выходные данные 1.3 – первоначально утвержденный проект СУИБ;
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 5.1.1 – структура организации, роли и сферы ответственности;
– ISO/IЕС 27002 – правила СУИБ.
Рекомендации: Документация по СУИБ должна включать записи решений руководства, обеспечивать возможность отслеживания действий для принятия решений и разработки политики руководством и воспроизводимость записанных результатов.
Необходимо осуществлять управление документами СУИБ и сделать их доступными персоналу. Эти действия включают:
– учреждение административной процедуры управления документами СУИБ;
– подтверждение соответствия формата документов перед изданием;
– обеспечение определения изменений и текущего состояния
– защита и контроль документов как информационных активов организации.
Также требуется сохранять записи состояния внедрения системы для всей фазы «PDCA», а также записи об инцидентах и событиях ИБ, записи об обучении, навыках, опыте и квалификации, внутреннем аудите СУИБ, корректирующих и предупреждающих действиях и организационные записи.
Для контроля записей необходимо выполнить следующие задачи:
– документировать меры и средства контроля и управления, требуемые для идентификации, хранения, защиты, поиска и удаления данных, и документировать продолжительность хранения;
– определить, что и в какой степени должно записываться в процессах управления организацией;
– если соответствующим законодательством определен какой-либо период хранения, он должен быть установлен в соответствии с этими требованиями.
Выходные данные:
– документ, описывающий требования к записям СУИБ и контролю документации;
– хранилища и шаблоны требуемых записей СУИБ.
5.1.3. Разработка политики ИБ
Необходимо документировать стратегическую позицию руководства и администрации, связанную с целями ИБ в отношении использования СУИБ.
Исходные данные:
– выходные данные 1.1 – приоритеты организации для разработки СУИБ;
– выходные данные 1.3 – первоначально утвержденный проект СУИБ;
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 3.1 – требования к ИБ для процесса СУИБ;
– выходные данные 3.2 – активы в рамках области действия СУИБ;
– выходные данные 3.3 – результаты оценки ИБ;
– выходные данные 4.2 – планы обработки рисков и инцидентов;
– выходные данные 4.3 – положение о применимости;
– выходные данные 5.1.1 – структура организации для ИБ;
– выходные данные 5.1.2 – основы документирования СУИБ;
– ISO/IЕС 27002 – правила СУИБ.
Рекомендации: Политика ИБ документирует стратегическую позицию организации в отношении ИБ во всей организации. Объем и структура политики ИБ должны подкреплять документы, которые используются на следующем этапе процесса для введения СУИБ.
Для больших организаций со сложной структурой (с широким спектром различных областей деятельности) может возникнуть необходимость создания общей политики и множества политик более низкого уровня, адаптированных к конкретным областям деятельности.