Управление информационной безопасностью. Стандарты СУИБ (СИ)
– учитывать определенные обстоятельства и положение в организации;
– определять требуемый уровень защиты информации;
– определять сбор и обработку информации, требуемые для всего предприятия или его части, находящейся в рамках предложенной области действия СУИБ.
Проведение анализа требований к ИБ определяют следующие процессы:
1) определение требований к ИБ для СУИБ;
2) определение активов в рамках СУИБ;
3) проведение оценки ИБ.
3.1. Определение требований к ИБ для СУИБ
Исходные данные:
– выходные данные 1.1 – приоритеты организации для разработки СУИБ;
– выходные данные 2.5 – политика СУИБ.
Рекомендации: Для каждого процесса в организации и задачи для специалиста требуется принять решение в отношении того, насколько важной является информация, т. е. какой требуется уровень защиты. Требуется базовое краткое описание проанализированной информации по процессам в организации и системам ИКТ.
Для получения подробных требований к ИБ для СУИБ следует рассмотреть следующие вопросы:
– предварительное определение важных информационных активов и текущего состояния защиты информации;
– определение представлений организации и их влияния на будущие требования к ИБ;
– анализ видов обработки информации, системного ПО, коммуникационных сетей, определения действий и ресурсов для информационных технологий и т.д.;
– определение всех обязательных требований (законодательства, договоров, стандартов и соглашений с клиентами, условий страхования и т.д.);
– определение уровня информированности в области ИБ и определение требований к обучению в отношении каждого подразделения.
Выходные данные:
– определение основных процессов, функций, объектов, информационных систем и коммуникационных сетей;
– информационные активы организации;
– классификация важнейших процессов (активов);
– требования к ИБ, сформулированные на основе обязательных требований;
– перечень известных уязвимостей, которые должны быть устранены в результате выполнения требований к ИБ;
– требования к обучению и образованию в области ИБ в организации.
3.2. Определение активов в рамках СУИБ
Исходные данные:
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 3.1 – требования к ИБ для процесса СУИБ.
Рекомендации: Для определения активов в рамках области действия СУИБ необходимо указать следующую информацию:
– уникальное наименование процесса;
– описание процесса и связанные с ним действия (создание, хранение, передача, удаление);
– важность процесса для организации (критический, важный, вспомогательный);
– владелец процесса (подразделение организации);
– процессы, обеспечивающие исходные и выходные данные этого процесса;
– приложения ИТ, поддерживающие процесс;
– классификация информации (конфиденциальность, целостность, доступность и другие важные для организации свойства).
Выходные данные:
– определенные информационные активы основных процессов в организации в рамках области действия СУИБ;
– классификация важнейших процессов и информационных активов с точки зрения ИБ.
3.3. Проведение оценки ИБ
Необходимо провести оценку ИБ путем сравнения текущего состояния ИБ в организации с целями организации.
Исходные данные:
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 3.1 – требований к ИБ для процесса СУИБ;
– выходные данные 3.2 – активы в рамках области действия СУИБ.
Рекомендации: При оценке ИБ анализируется текущая ситуация в организации путем использования следующей информации и определяется текущее состояние ИБ и недостатки в документации:
– изучение предпосылок на основе важнейших процессов;
– классификация информационных активов;
– требования организации к ИБ.
Для успешной оценки ИБ важными являются следующие действия:
– перечисление соответствующих стандартов;
– определение требований к управлению, установленных на основе политики ИБ, обязательных требований, результатов прошедших проверок или оценок рисков;
– использование этих документов для приблизительной оценки существующих требований к уровню ИБ.
Подход к проведению оценки ИБ следующий:
– выбрать важные бизнес-процессы и этапы процессов, касающиеся требований к ИБ;
– составить подробную блок-схему, охватывающую основные процессы, включая инфраструктуру;
– обсудить и проанализировать с ключевыми сотрудниками существующую ситуацию в организации в отношении требований к ИБ;
– определить недостатки в управлении путем сравнения существующих средств управления с определенными требованиями к управлению;
– определить и задокументировать текущее состояние организации.
Выходные данные: Документ, описывающий состояние ИБ в организации и обнаруженные уязвимости.
4. Проведение оценки и планирование обработки рисков
Цель: Определить методологию оценки риска, определить, проанализировать и оценить риски ИБ, чтобы выбрать варианты их обработки и средства ИБ.
Проведение оценки и планирование обработки рисков определяют следующие процессы:
1) проведение оценки рисков;
2) выбор средств ИБ;
3) получение санкции руководства на внедрение и использование СУИБ.
4.1. Проведение оценки рисков
Исходные данные:
– выходные данные раздела 2 – область действия и политика СУИБ;
– выходные данные раздела 3 – состояние ИБ и информационные активы;
– ISO/IEC 27005 – управление рисками ИБ.
Рекомендации: Оценка рисков состоит из следующих мероприятий:
– идентификация рисков;
– измерение рисков;
– оценивание рисков.
При оценке рисков необходимо определить:
– угрозы и их источники;
– меры защиты;
– уязвимости;
– последствия нарушений ИБ.
При оценке риска нужно также осуществить:
– оценку уровня риска;
– оценку влияния инцидента на организацию;
– сравнение уровня риска с критериями оценки и приемлемости.
Выходные данные:
– описание методологий оценки рисков;
– результаты оценки рисков.
4.2. Выбор средств ИБ
Исходные данные:
– выходные данные 4.1 – результаты оценки риска;
– ISO/IEC 27002 – правила СУИБ;
– ISO/IEC 27005 – управление рисками ИБ;
– ISO/IEC 27035 – управление инцидентами ИБ.
Рекомендации: Важно продемонстрировать, как выбранные меры и средства защиты могут снизить риск и вероятность возникновения инцидента. В случае снижения риска установление соотношения между каждым риском (вероятным инцидентом) и выбранными средствами является полезным для разработки СУИБ.
Разработка плана обработки инцидентов
Цель плана обработки инцидентов ИБ – обеспечить подробную документацию, описывающую процессы и процедуры обработки событий, инцидентов и уязвимостей ИБ и их взаимодействия. План обработки инцидентов ИБ приводится в действие при обнаружении события ИБ или сообщении об уязвимости ИБ.
Каждая организация должна использовать план в качестве руководства для:
– реагирования на события ИБ;
– определения того, становятся ли события ИБ инцидентами;
– управления инцидентами ИБ до их разрешения;
– реагирования на уязвимости ИБ;
– идентификации полученных уроков при обработке инцидентов, а также необходимых улучшений СУИБ;
– реализации улучшений СУИБ.
Выходные данные:
– перечень выбранных мер и средств защиты;
– планы обработки рисков и инцидентов.
4.3. Получение санкции руководства на внедрение и использование СУИБ