Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Предлагаемая политика (с номером версии и датой) должна быть подвергнута проверке и утверждена в организации руководством. Затем она доводится до сведения каждого работника организации надлежащим способом, чтобы стать доступной и понятной для читателей.
Выходные данные: Задокументированная и утвержденная руководством политика ИБ.
5.1.4. Разработка стандартов и процедур обеспечения ИБ
Исходные данные:
–
– выходные данные 2.5 – политика СУИБ;
– выходные данные 4.2 – план обработки рисков,
– выходные данные 4.3 – положение о применимости;
– выходные данные 5.1.1 – структура организации для ИБ;
– выходные данные 5.1.2 – основы документирования СУИБ;
– выходные данные 5.1.3 – политики ИБ;
– ISO/IEC 27002 – правила СУИБ.
Рекомендации: В процессе разработки стандартов и процедур должны участвовать представители разных частей организации, попадающих в область действия системы СУИБ. Участники процесса должны иметь полномочия и являться представителями организации.
Стандарты и процедуры ИБ должны впоследствии использоваться в качестве основы для разработки подробных технических и оперативных процессов.
Документация должна предоставляться каждому сотруднику организации, попадающему в область действия СУИБ. Стандарты и процедуры по ИБ должны применяться ко всей организации или точно указывать, какие роли, системы и подразделения попадают под их действие.
Процесс редактирования и проверки должен быть определен на ранней стадии. Необходимо создать стратегию и технологию распространения информации об изменениях политики ИБ.
Выходные данные:
– стандарты ИБ:
– процедуры обеспечения ИБ для получения стандартов ИБ.
5.2. Разработка системы ИБ ИКТ и физических объектов
Исходные данные:
– выходные данные 2.5 – область действия и границы СУИБ;
– выходные данные 2.6 – политика СУИБ;
– выходные данные 3.2 – требования к ИБ для процесса СУИБ;
– выходные данные 3.3 – активы в рамках области действия СУИБ;
– выходные данные 3.4 – результаты оценки ИБ;
– выходные данные 4.3 – положение о применимости;
– ISO/IEC 27002 – правила СУИБ.
Рекомендации:
Необходимо документировать следующую информацию:
– имя лица, ответственного за внедрение мер защиты;
– приоритет внедряемых мер защиты;
– задачи или действия по внедрению;
– установление времени, в течение которого должно быть внедрено средство защиты;
– лицо, перед которым нужно отчитываться о внедрении мер защиты по его завершению;
– ресурсы для внедрения (рабочая
Сферы ответственности за процесс первоначального внедрения обычно включают:
– задание целей управления с описанием предполагаемого планируемого состояния;
– распределение ресурсов (объем работ, финансовые ресурсы);
– реальное заданное время внедрения мер защиты;
– варианты объединения с системами безопасности ИКТ, физических объектов и организации.
Сферы ответственности за процесс фактического внедрения включают:
– разработку каждого из средств защиты для области безопасности ИКТ, физических объектов и организации на оперативном уровне рабочего места;
– конкретизацию каждой меры защиты в соответствии с согласованным проектом;
– предоставление процедур и информации для органов управления и учебных курсов, способствующих информированию в сфере безопасности;
– оказание помощи и внедрение средств управления на рабочем месте.
ИБ должна быть объединена в процедуры и процессы, применяемые во всей организации. Если для части организации или третьей стороны окажется трудным внедрение этих процедур и процессов, соответствующие стороны должны сообщить об этом немедленно, чтобы согласовать решение проблемы. Решение по подобным вопросам включает изменение процедур или процессов, перераспределение должностей и сфер ответственности и адаптацию технических процедур.
Результаты внедрения средств ИБ должны быть следующими:
– план внедрения, в котором подробно описывается внедрение средств защиты, например, график, структура группы по внедрению и т.д.;
– записи и документация по результатам внедрения.
Выходные данные:
Структурированный подробный план внедрения средств управления, связанных с безопасностью ИКТ и физических обьектов, включает:
– подробное описание;
– сферы ответственности за разработку и внедрение;
– предполагаемые временные шкалы;
– связанные задачи;
– требуемые ресурсы;
– собственность (линии отчетности).
5.3. Создание условий для надежного функционирования СУИБ
Создание условий для надежного функционирования СУИБ предполагает разработку следующих документов:
– план проверок, проводимых руководством;
– программа обучения в области ИБ.
5.3.1. План проверок, проводимых руководством
Необходимо разработать план, обеспечивающий участие руководства и выдачу поручений на проверку работы СУИБ и проводимых улучшений.