Управление информационной безопасностью. Стандарты СУИБ, Гребенников Вадим Викторович

Управление информационной безопасностью. Стандарты СУИБ

на обложку

Гребенников Вадим Викторович

Шрифт:

Исходные данные:

– выходные данные 2.4 – область действия и границы СУИБ;

– выходные данные 2.5 – политика СУИБ;

– выходные данные 4.3 – положение о применимости;

– выходные данные 5.1.3 – политики ИБ;

– ISO/IEC 27004 – проведение измерений СУИБ.

Рекомендации: Проверка руководством действия по внедрению СУИБ должна начинаться на самых ранних стадиях задания условий для СУИБ и описания случая применения СУИБ и продолжаться

вплоть до регулярных проверок операций СУИБ.

Планирование проверок, проводимых руководством, включает установление времени и способа проведения проверок. Чтобы запланировать проверку, необходимо определить, какие должностные лица должны в ней участвовать. Назначенные должностные лица должны быть утверждены руководством и проинформированы об этом как можно раньше

Проверки, проводимые руководством, должны основываться на результатах измерений СУИБ и другой информации, накопленной за время использования СУИБ. Эта информация используется для выполнения действий руководством для определения готовности и эффективности СУИБ.

До проведения проверки руководством необходимо запланировать внутренний аудит. Результаты внутреннего аудита СУИБ являются важными исходными данными для проверок СУИБ, проводимых руководством.

Внутренний аудит СУИБ должен включать проверку того, эффективно ли внедряются и обеспечиваются меры защиты, процессы и процедуры СУИБ и соответствуют ли они:

– требованиям ISO/IEC 27001;

– действующему законодательству и правилам;

– другим требованиям ИБ.

Предварительным условием для проведения проверок СУИБ, проводимых руководством, являются данные его постоянного мониторинга. В процессе мониторинга СУИБ должны документироваться его результаты, которые записываются и сообщаются руководству.

Информация, предоставляемая руководству, может включать следующее:

– отчеты об инцидентах за последний период использования СУИБ;

– отчеты по внедрению СУИБ и обнаруженные несоответствия;

– результаты других регулярных проверок;

– рекомендации по улучшению СУИБ.

Выходные данные: Документ, содержащий план организации проверок, проводимых руководством, и включающий:

– исходные данные, требуемые для проверки СУИБ руководством;

– процедуры проверок, проводимых руководством и касающихся аспектов аудита, мониторинга и измерения.

5.3.2. Программа обучения в области ИБ

Исходные данные6

– выходные данные 2.4 – область действия и границы СУИБ;

– выходные данные 2.5 – политика СУИБ;

– выходные данные 3.1, – требований к ИБ для процесса СУИБ;

– выходные данные 4.2 – план обработки рисков;

– выходные данные 4.3 – положение о применимости;

– выходные данные 5.1.3 – политики ИБ;

– выходные

данные 5.1.4 – стандарты и процедуры ИБ;

– обзор общей программы обучения в организации.

Рекомендации: Руководство отвечает за обучение, чтобы сотрудники, назначенные на определенные должности, имели необходимые знания для выполнения требуемых операций. Содержание программы образования и обучения должно помогать всем сотрудникам знать и понимать значение и важность операций по обеспечению ИБ, в которых они участвуют, и то, как они могут способствовать достижению целей.

Программа обучения с целью информирования по вопросам ИБ должна обеспечивать составление записей по обучению в области ИБ. Эти записи должны регулярно проверяться для обеспечения получения требуемого обучения всеми сотрудниками. Необходимо назначить должностное лицо, ответственное за этот процесс.

Материалы по обучению в области ИБ должны быть разработаны таким образом, чтобы они были связаны с другими обучающими материалами, используемыми в организации, особенно, учебные курсы для пользователей ИС. Обучение по существенным аспектам ИБ должно включаться в каждый учебный курс для пользователей ИС.

Обучающие материалы по ИБ должны включать, как минимум, следующие пункты в зависимости от целевой аудитории:

– основные термины ИБ;

– риски и угрозы ИБ;

– четкое определение инцидента ИБ: рекомендации по его обнаружению, устранению и отчетности;

– политики ИБ, стандарты и процедуры организации;

– сферы ответственности и каналы отчетности, связанные с ИБ;

– рекомендации по оказанию помощи в повышении уровня ИБ;

– рекомендации, связанные с нарушениями ИБ и отчетностью;

– координаты получения дополнительной информации.

Необходимо определить группу по обучению ИБ, которая может выполнять следующие задачи:

– создание и управление записями по ИБ;

– составление и управления материалами по обучению;