разделы:
— введение;
— область действия;
— цели, принципы;
— сферы ответственности;
— ключевые результаты;
— связанные политики.
Краткое содержание политики:
1. Введение — краткое объяснение предмета политики.
2. Область действия — описывает части или действия организации, находящиеся под влиянием политики.
3. Цели — описание назначения политики.
4. Принципы — описание правил, касающихся действий и решений для достижения целей. В некоторых случаях может быть полезным определить ключевые процессы, связанные с предметом политики, и затем — правила выполнения процессов.
5. Сферы ответственности — кто отвечает за действия по выполнению требований политики. В некоторых случаях этот пункт может содержать описание организационных соглашений, а также сферы ответственности лиц с определенными ролями.
6. Ключевые результаты — описание результатов, получаемых предприятием, если цели достигнуты.
7. Связанные политики — описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.
Выходные данные: Задокументировання политика СУИБ, утвержденная руководством.
3. Проведение анализа требований к ИБ
Цель: Определить требования, которым должна соответствовать СУИБ, определить активы и получить данные по текущему состоянию ИБ в рамках области действия СУИБ.
Информация, собранная в процессе анализа ИБ, должна:
— стать основной для управления;
— определять и документировать условия для внедрения СУИБ;
— обеспечивать четкое и обоснованное понимание возможностей организации;
— учитывать определенные обстоятельства и положение в организации;
— определять требуемый уровень защиты информации;
— определять сбор и обработку информации, требуемые для всего предприятия или его части, находящейся в рамках предложенной области действия СУИБ.
Проведение анализа требований к ИБ определяют следующие процессы:
1) определение требований к ИБ для СУИБ;
2) определение активов в рамках СУИБ;
3) проведение оценки ИБ.
3.1. Определение требований к ИБ для СУИБ
Исходные данные:
— выходные данные 1.1 — приоритеты организации для разработки СУИБ;
— выходные данные 2.5 — политика СУИБ.
Рекомендации: Для каждого процесса в организации и задачи для специалиста требуется принять решение в отношении того, насколько важной является информация, т. е. какой требуется уровень защиты. Требуется базовое краткое описание проанализированной информации по процессам в организации и системам ИКТ.
Для получения подробных требований к ИБ для СУИБ следует рассмотреть следующие вопросы:
— предварительное определение важных информационных активов и текущего состояния защиты информации;
— определение представлений организации и их влияния на будущие требования к ИБ;
— анализ видов обработки информации, системного ПО, коммуникационных сетей, определения действий и ресурсов для информационных технологий и т. д.;
— определение всех обязательных требований (законодательства, договоров, стандартов и соглашений с клиентами, условий страхования и т. д.);
— определение уровня информированности в области ИБ и определение требований к обучению в отношении каждого подразделения.
Выходные данные:
— определение основных процессов, функций, объектов, информационных систем и коммуникационных сетей;
— информационные активы организации;
— классификация важнейших процессов (активов);
— требования к ИБ, сформулированные на основе обязательных требований;
— перечень известных уязвимостей, которые должны быть устранены в результате выполнения требований к ИБ;
— требования к обучению и образованию в области ИБ в организации.
3.2. Определение активов в рамках СУИБ
Исходные данные:
— выходные данные 2.4 — область действия и границы СУИБ;
— выходные данные 2.5 — политика СУИБ;
— выходные данные 3.1 — требования к ИБ для процесса СУИБ.
Рекомендации: Для определения активов в рамках области действия СУИБ необходимо указать следующую информацию:
— уникальное наименование процесса;
— описание процесса и связанные с ним действия (создание, хранение, передача, удаление);
— важность процесса для организации (критический, важный, вспомогательный);
— владелец процесса (подразделение организации);
— процессы, обеспечивающие исходные и выходные данные этого процесса;
— приложения ИТ, поддерживающие процесс;
— классификация информации (конфиденциальность, целостность, доступность и другие важные для организации свойства).
Выходные данные:
— определенные информационные активы основных процессов в организации в рамках области действия СУИБ;
— классификация важнейших процессов и информационных активов с точки зрения ИБ.
3.3. Проведение оценки ИБ
Необходимо провести оценку ИБ путем сравнения текущего состояния ИБ в организации с целями организации.
Исходные данные:
— выходные данные 2.4 — область действия и границы СУИБ;
— выходные данные 2.5 — политика СУИБ;
— выходные данные 3.1 — требований к ИБ для процесса СУИБ;
— выходные данные 3.2 — активы в рамках области действия СУИБ.
Рекомендации: При оценке ИБ анализируется текущая ситуация в организации путем использования следующей информации и определяется текущее состояние ИБ и недостатки в документации:
— изучение предпосылок на основе важнейших процессов;
— классификация информационных активов;
— требования организации к ИБ.
Для успешной оценки ИБ важными являются следующие действия:
— перечисление соответствующих стандартов;
— определение требований к управлению, установленных на основе политики ИБ, обязательных требований, результатов прошедших проверок или оценок рисков;
— использование этих документов для приблизительной оценки существующих требований к уровню ИБ.
Подход к проведению оценки ИБ следующий:
— выбрать важные бизнес-процессы и этапы процессов, касающиеся требований к ИБ;
— составить подробную блок-схему, охватывающую основные процессы, включая инфраструктуру;
— обсудить и проанализировать с ключевыми сотрудниками существующую ситуацию в организации в отношении требований к ИБ;
— определить недостатки в управлении путем сравнения существующих средств управления с определенными требованиями к управлению;
— определить и задокументировать текущее состояние организации.
Выходные данные: Документ, описывающий состояние ИБ в организации и обнаруженные уязвимости.
4. Проведение оценки и планирование обработки рисков
Цель: Определить методологию оценки риска, определить, проанализировать и оценить риски ИБ, чтобы выбрать варианты их обработки и средства ИБ.
Проведение оценки и планирование обработки рисков определяют следующие процессы:
1) проведение оценки рисков;
2) выбор средств ИБ;
3) получение санкции руководства на внедрение и использование СУИБ.
4.1. Проведение оценки рисков
Исходные данные:
— выходные данные раздела 2 — область действия и политика СУИБ;
— выходные данные раздела 3 — состояние ИБ и информационные активы;
— ISO/IEC 27005 — управление рисками ИБ.
Рекомендации: Оценка рисков состоит из следующих мероприятий:
— идентификация рисков;
— измерение рисков;
— оценивание рисков.
При оценке рисков необходимо определить:
— угрозы и их источники;
— меры защиты;
— уязвимости;
— последствия нарушений ИБ.
При оценке риска нужно также осуществить:
— оценку уровня риска;
— оценку влияния инцидента на организацию;
— сравнение уровня риска с критериями оценки и приемлемости.
Выходные данные:
— описание методологий оценки рисков;
— результаты оценки рисков.
4.2. Выбор средств ИБ
Исходные данные:
— выходные данные 4.1 — результаты оценки риска;
— ISO/IEC 27002 — правила СУИБ;
— ISO/IEC 27005 — управление рисками ИБ;
— ISO/IEC 27035 — управление инцидентами ИБ.
Рекомендации: Важно продемонстрировать, как выбранные меры и средства защиты могут снизить риск и вероятность возникновения инцидента. В случае снижения риска установление соотношения между каждым риском (вероятным инцидентом) и выбранными средствами является полезным для разработки СУИБ.
Разработка плана обработки инцидентов
Цель плана обработки инцидентов ИБ — обеспечить подробную документацию, описывающую процессы и процедуры обработки событий, инцидентов и уязвимостей ИБ и их взаимодействия. План обработки инцидентов ИБ приводится в действие при обнаружении события ИБ или сообщении об уязвимости ИБ.
Каждая организация должна использовать план в качестве руководства для:
— реагирования на события ИБ;
— определения того, становятся ли события ИБ инцидентами;
— управления инцидентами ИБ до их разрешения;
— реагирования на уязвимости ИБ;
— идентификации полученных уроков при обработке инцидентов, а также необходимых улучшений СУИБ;
— реализации улучшений СУИБ.
Выходные