Управление информационной безопасностью. Стандарты СУИБ (СИ)
– взаимосвязи и зависимости между деятельностью, выполняемой организацией, и деятельностью, выполняемой другими организациями.
Сфера применения должна быть доступна в виде документированной информации.
5. Лидерство
Лидерство и обязательства
Высшее руководство должно продемонстрировать лидерство и обязательства в отношении СУИБ путем:
– обеспечения политики ИБ и целей ИБ, которые разработаны и совместимы со стратегическими задачами организации;
– обеспечения интеграции требований СУИБ в процессы организации;
– обеспечения того, чтобы ресурсы, необходимые для системы менеджмента информационной безопасности, были доступны;
– информирования о важности достижения результативности УИБ и о соответствии требованиям СУИБ;
– обеспечения того, что СУИБ позволяет достигать желаемых результатов;
– поддержки и управления персоналом, способствующим эффективности СУИБ;
– содействия постоянному улучшению;
– поддержки других соответствующих управленческих ролей для демонстрации их лидерства, насколько это применимо к сфере их ответственности.
Политика
Высшее руководство должно разработать соответствующую целям организации политику ИБ, которая должна:
– соответствовать целям ИБ;
– содержать цели ИБ или обеспечивать основу для достижения целей ИБ;
– включать обязательства по соблюдению требований ИБ;
– включать обязательства по постоянному улучшению СУИБ.
Политика ИБ должна быть:
– доведена до персонала организации;
– доступна как документированная информация;
– доступна всем заинтересованным сторонам.
Организационные роли, обязанности и полномочия
Высшее руководство должно быть уверенным, что обязанности и полномочия ролей, относящихся к ИБ, обозначены и сообщены.
Высшее руководство должно обозначить обязанности и полномочия для:
– обеспечения соответствия СУИБ требованиям этого стандарта;
– оповещения высшего руководства о результативности СУИБ.
6. Планирование (1-й этап «РDСА»)
Этап планирования СУИБ обеспечивают следующие мероприятия:
– определение целей ИБ и мер по их достижению;
– действия по обработке рисков и возможностей.
Определение целей ИБ и мер по их достижению
Организация должна установить цели ИБ для соответствующих функций и на соответствующих уровнях.
Цели ИБ должны:
– соответствовать политике ИБ;
– быть измеримыми (если это возможно);
– принимать во внимание действующие требования ИБ, результаты оценки и обработки рисков;
– быть известны соответствующему персоналу организации;
– обновляться по мере необходимости.
Организация должна сохранять документированную информацию о целях ИБ.
При планировании мер по достижению целей ИБ организация должна определить:
– что будет сделано;
– какие ресурсы потребуются;
– кто будет нести ответственность;
– когда меры будут реализованы;
– как будут оцениваться результаты.
Действия по обработке рисков и возможностей
При планировании СУИБ организация должна учитывать аспекты и требования, указанные в контексте организации, и определить риски и возможности, которые должны быть направлены на:
– обеспечение того, чтобы СУИБ позволило достигать желаемых результатов;
– предотвращение или уменьшение нежелательных эффектов;
– обеспечение непрерывного совершенствования.
Организация должна планировать:
– процессы оценки и обработки рисков;
– действия по осуществлению и интеграции работ в процессах СУИБ и оценке их результативности.
Оценка рисков ИБ
Организация должна определить и внедрить процесс оценки рисков ИБ, состоящий из разработки критериев, определения, анализа рисков и сравнения его результатов с критериями для рисков ИБ.
На основании процесса оценки рисков ИБ организации следует:
– установить и поддерживать критерии для рисков ИБ, которые состоят из критериев для проведения оценки и принятия рисков ИБ;
– определить риски ИБ:
• применить процесс оценки рисков ИБ для выявления рисков, связанных с потерей конфиденциальности, целостности и доступности информации в рамках СУИБ (§);
• определить владельцев рисков;
– проанализировать риски ИБ:
• определить реалистичную вероятность возникновения рисков §;
• определить потенциальные последствия, которые могут возникнуть в случае возникновения рисков §;
• определить уровни риска;
– оценить риски ИБ:
• сравнить результаты анализа рисков с установленными критериями для рисков;
• установить приоритеты по обработке рисков для проанализированных рисков;
– гарантировать, что повторная оценка рисков ИБ позволит получить логичные, обоснованные и сопоставимые результаты.
Организация должна сохранять документированную информацию о процессе оценки рисков ИБ.
Обработка рисков ИБ
Организация должна определить и внедрить процесс обработки рисков ИБ, состоящий из выбора варианта обработки, его реализации и принятия остаточных рисков ИБ.
На основании процесса обработки рисков ИБ организации следует:
– выбрать подходящий вариант обработки рисков ИБ, принимая во внимание результаты оценки рисков;
– определить все элементы управления, которые необходимы для реализации выбранного варианта обработки рисков ИБ;
– сравнить определенные элементы управления с теми, которые приведены в Приложении А и убедиться в том, что не были упущены необходимые элементы;
– разработать Положение о Применимости (англ. Statement of Applicability, SoA), которое содержит необходимые элементы управления и обоснования их включения (независимо от того, реализованы они или нет), а также обоснования исключений элементов управления из Приложения А;
– сформулировать план по обработке рисков ИБ;
– согласовать с владельцами рисков план по обработке рисков ИБ и получить (от владельцев рисков) согласие на принятие остаточных рисков ИБ.
Организация должна сохранять документированную информацию о процессе обработки рисков ИБ.
7. Поддержка
Поддержка СУИБ определяется следующими составляющими:
– ресурсы;
– компетенции;
– осведомленность;
– коммуникации;
– документированная информация.
Ресурсы
Организация должна определить и предоставить ресурсы, необходимые для разработки, внедрения, сопровождения и постоянного улучшения СУИБ.
Компетенции
Организация должна:
– определять необходимую компетентность персонала, который самостоятельно выполняет работу, что влияет на результативность ИБ;
– обеспечить то, что этот персонал обладает необходимыми компетенциями на основе соответствующего обучения, тренингов или опыта;
– при необходимости принять меры для получения необходимых компетенций и оценить эффективность принятых мер;
– сохранять соответствующую документированную информацию в качестве доказательств наличия компетенций.
Соответствующие меры могут включать, например, проведение тренинга, наставничество или переаттестацию действующих сотрудников; или наем / привлечение по контракту компетентных лиц.
Осведомленность
Персонал, выполняющий работы в рамках организации, должен быть осведомлен:
– о политике ИБ;
– о вкладе в повышение результативности СУИБ, включая выгоды от улучшения состояния ИБ;
– о последствиях в результате не выполнения требований СУИБ.
Коммуникации
Организация должна определить необходимые внутренние и внешние коммуникации, относящиеся к СУИБ, включая: