Управление информационной безопасностью. Стандарты СУИБ (СИ)
Исходные данные:
– выходные данные 1.4 – утвержденный начальный проект СУИБ;
– выходные данные раздела 2 – область действия и политика СУИБ;
– выходные данные 4.1 – результаты оценки риска;
– выходные данные 4.2 – планы обработки рисков и инцидентов.
Рекомендации: Необходимо получить одобрение высшего руководства для принятия решения о принятии остаточных рисков, а также санкцию на фактическое использование СУИБ. Эти решения должны основываться на оценке рисков и вероятности их возникновения в результате внедрения СУИБ, в сравнении с рисками, возникающими в случае, когда СУИБ не применияется.
Выходные данные:
– письменное одобрение руководством внедрения СУИБ;
– утверждение руководством планов обработки рисков и инцидентов;
– положение о применимости, включающее выбранные меры и средства защиты.
5. Разработка СУИБ
Цель: Составить конечный план внедрения СУИБ путем разработки системы безопасности организации на основе выбранных вариантов обработки риска, а также требований, касающихся записей и документов и разработки средств управления, объединяющих меры безопасности ИКТ, физические и организационные процессы и разработку специальных требований для СУИБ.
При разработке СУИБ следует принять во внимание следующие аспекты:
– безопасность организации;
– безопасность ИКТ;
– безопасность физических объектов;
– особые требования к СУИБ.
Безопасность организации охватывает административные аспекты ИБ, включая ответственность за обработку риска.
Безопасность ИКТ охватывает аспекты ИБ, связанные с ответственностью за снижение рисков при выполнении операций с ИКТ.
Безопасность физических объектов охватывает аспекты ИБ, связанные, в частности, с ответственностью, возникающей при проработке физического окружения, например, зданий и их инфраструктуры, за снижение риска.
Особые требования к СУИБ охватывают аспекты соответствии СУИБ требованиям ISO/IEC 27001 в отличие от предыдущих аспектов.
Разработку СУИБ определяют следующие процессы:
1) разработка системы ИБ организации;
2) разработка системы ИБ ИКТ и физических объектов;
3) создание условий надежного функционирования СУИБ;
4) разработка окончательного плана проекта СУИБ.
5.1. Разработка системы ИБ
Разработку системы ИБ обеспечивают следующие разработки:
– конечной структуры организации для ИБ;
– основы для документирования СУИБ;
– политики ИБ;
– стандартов и процедур обеспечения ИБ.
5.1.1. Разработка конечной структуры организации для ИБ
Необходимо сопоставить функции, роли и сферы ответственности в организации, связанные с ИБ, с обработкой рисков.
Исходные данные:
– выходные данные 1.1.2 – таблица ролей и сфер ответственности;
– выходные данные 2.3 – область действия и границы СУИБ.
– выходные данные 2.4 – политика СУИБ;
– выходные данные 3.1 – требования к ИБ для процесса СУИБ;
– выходные данные 3.2 – активы в рамках области действия СУИБ;
– выходные данные 3.3 – результаты оценки ИБ;
– выходные данные 4.1 – результаты оценки рисков;
– выходные данные 4.2 – планы обработки рисков и инцидентов;
– ISO/IEC 27002 – правила СУИБ;
– ISO/IEC 27035 – управление инцидентами ИБ.
Рекомендации: При разработке структуры организации и процессов для внутренних операций СУИБ следует попытаться создать их и обьединить с уже существующими, если это практически применимо.
Согласно стандарта ISO/IEC 27035, в первую очередь, необходимо создать группу технической поддержки, чтобы обеспечить поддержку всех аспектов информационных технологий и связанной с ними обработки информации. Как только приходит сообщение о событии ИБ, группа поддержки обрабатывает его в фазе обнаружении и оповещения.
Во вторую очередь, необходимо создать в организации специальную группу реагирования на инциденты ИБ (ГРИИБ). Целью ее создания является обеспечение организации соответствующим персоналом для оценки, реагирования иа инциденты ИБ и извлечения уроков из них, а также необходимой координации всех заинтересованных сторон и процесса обмена информацией.
Кроме того, организация обеспечить взаимодействие с внутренними подразделениями и внешними организациями, которые имеют отношение к управлению событиями, инцидентами и уязвимостями ИБ в организации.
Важно определить, какой орган в схеме обеспечения политики управления инцидентами ИБ руководитель ГРИИБ оповещает о серьезных инцидентах ИБ. Процедуры общения со СМИ и ответственность за это общение также должны быть согласованы с высшим руководством. Эти процедуры должны определить представителя организации по работе со СМИ и его взаимодействие с ГРИИБ.
Выходные данные: Документ, описывающий структуру организации, роли и сферы ответственности.
5.1.2. Разработка основы для документирования СУИБ
Необходимо проконтролировать записи и документы в системе СУИБ путем определения основы, которая позволит выполнить требования по текущему контролю записей и документов в системе СУИБ.
Исходные данные:
– выходные данные 1.3 – первоначально утвержденный проект СУИБ;
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 5.1.1 – структура организации, роли и сферы ответственности;
– ISO/IЕС 27002 – правила СУИБ.
Рекомендации: Документация по СУИБ должна включать записи решений руководства, обеспечивать возможность отслеживания действий для принятия решений и разработки политики руководством и воспроизводимость записанных результатов.
Необходимо осуществлять управление документами СУИБ и сделать их доступными персоналу. Эти действия включают:
– учреждение административной процедуры управления документами СУИБ;
– подтверждение соответствия формата документов перед изданием;
– обеспечение определения изменений и текущего состояния редакций документов;
– защита и контроль документов как информационных активов организации.
Также требуется сохранять записи состояния внедрения системы для всей фазы «PDCA», а также записи об инцидентах и событиях ИБ, записи об обучении, навыках, опыте и квалификации, внутреннем аудите СУИБ, корректирующих и предупреждающих действиях и организационные записи.
Для контроля записей необходимо выполнить следующие задачи:
– документировать меры и средства контроля и управления, требуемые для идентификации, хранения, защиты, поиска и удаления данных, и документировать продолжительность хранения;
– определить, что и в какой степени должно записываться в процессах управления организацией;
– если соответствующим законодательством определен какой-либо период хранения, он должен быть установлен в соответствии с этими требованиями.
Выходные данные:
– документ, описывающий требования к записям СУИБ и контролю документации;
– хранилища и шаблоны требуемых записей СУИБ.
5.1.3. Разработка политики ИБ
Необходимо документировать стратегическую позицию руководства и администрации, связанную с целями ИБ в отношении использования СУИБ.
Исходные данные:
– выходные данные 1.1 – приоритеты организации для разработки СУИБ;
– выходные данные 1.3 – первоначально утвержденный проект СУИБ;
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 3.1 – требования к ИБ для процесса СУИБ;
– выходные данные 3.2 – активы в рамках области действия СУИБ;
– выходные данные 3.3 – результаты оценки ИБ;
– выходные данные 4.2 – планы обработки рисков и инцидентов;