Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников

инициировавшему проверку. Эти записи следует хранить.

Если в результате независимой проверки устанавлено, что подходы организации к управлению ИБ и ее внедрению неадекватны, например, задокументированные цели и требования не соблюдаются или не соответствуют направлению ИБ, изложенному политиках ИБ, руководству следует рассмотреть корректирующие действия.

Соответствие политикам и стандартам

Меры и средства

Менеджеры должны регулярно проверять в пределах своей ответственности соответствие информационных процессов и процедур политикам, стандартам и другим требованиям безопасности.

Рекомендации по реализации

Менеджеры должны определить, как проверять то, что требования ИБ, предусмотренные политиками, стандартами и другими применимыми правилами, соблюдены. Для эффективной регулярной проверки следует использовать инструменты автоматического измерения и оповещения.

Если в результате проверки было выявлено какое-либо несоответствие, менеджерам следует:

— определить причины несоответствия;

— оценить необходимость действий для достижения соответствия;

— реализовать соответствующее корректирующее действие;

— проверить эффективность предпринятого корректирующего действия и выявить любые недостатки и слабые места.

Результаты проверок и корректирующих действий, предпринятых менеджерами, следует записывать и эти записи хранить. Менеджеры должны доложить о результатах независимому аудитору при проведении такого аудита в сфере их ответственности.

Проверка технического соответствия

Меры и средства

ИС должны регулярно проверяться на соответствие политикам и стандартам ИБ организации.

Рекомендации по реализации

Проверка соответствия ИС техническим требованиям должна осуществляться, как правило, с помощью автоматических инструментальных средств, которые генерируют технические отчеты для последующего анализа техническим специалистом. В альтернативном случае, ручные отчеты (при необходимости, поддерживаемые соответствущими программными инструментами) оформляются опытным системным инженером.

Если проводится тестирование на проникновение или оценка уязвимостей, следует соблюдать осторожность, поскольку такие действия могут привести к компрометации безопасности системы. Такие тесты должны планироваться, документироваться и повторяться.

Любая проверка технического соответствия должна проводиться компетентным, уполномоченным персоналом или под руководством такого персонала.

Проверки технического соответствия должны включать испытания ОС для гарантии того, что аппаратные и программные средства установлены правильно. Этот тип проверки требует специальной технической экспертизы.

Проверки соответствия также содержат, например, тестирование на проникновение и оценку уязвимостей, которые могут провести независимые эксперты, специально привлеченные для этой цели по контракту. Это может быть использовано для выявления уязвимостей в ИС и проверки эффективности мер и средств защиты в предотвращении несанкционированного доступа к этим уязвимостям.

Тестирование на проникновение и оценка уязвимостей обеспечивает фиксацию специфического состояния ИС в определенный момент. Эта фиксация ограничена теми частями ИС, которые тестируются в момент попытки проникновения. Тестирование на проникновение и оценка уязвимостей не заменяет оценки риска.

4. Разработка СУИБ (стандарт ISO/IЕС 27003:2010)

В 2010 году Международная организация по стандартизации опубликовала новый стандарт ISO/IЕС 27003 «ИТ. Методы защиты. СУИБ. Руководство по реализации СУИБ».

Он посвящён вопросам успешной разработки и внедрения СУИБ в соответствии с требованиями ISO/IEC 27001. Стандарт ISO/IЕС 27003 описывает процесс формирования требований и проектирования СУИБ от начала проекта и до подготовки планов внедрения.

Указан процесс получения согласия руководства на внедрение СУИБ, дается детализация проекта внедрения СУИБ, даются рекомендации по планированию проекта внедрения СУИБ, результатом которого является окончательный план внедрения СУИБ.

Планирование внедрения СУИБ состоит из 5 этапов:

1) получение одобрения руководства для проектирования СУИБ (раздел 5);

2) определение области действия и политики СУИБ (раздел 6);

3) проведение анализа организации (раздел 7);

4) проведение анализа и планирование обработки рисков (раздел 8);

5) разработка СУИБ (раздел 9).

Каждый раздел содержит следующую информацию:

— цели (что необходимо достичь);

— действия для их достижения.

Описания действий структурированы в виде исходных данных, рекомендаций и выходных данных.

Исходные данные — описывают отправную точку, например, наличие документированных решений или выходных данных других действий, описываемых в стандарте;

Рекомендации — содержат подробную информацию, позволяющую выполнить данное действие;

Выходные данные — описывают результат (ы) или документ (ы), получаемые после выполнения действия.

1. Одобрение руководством проектирования СУИБ

Цель: Получить одобрение руководства путем определения случая применения СУИБ для предприятия и подготовки плана проекта.

Исходные данные: Описание случая применения СУИБ для данного предприятия, включающее приоритеты и цели внедрения СУИБ, а также структуру организации для СУИБ.

Рекомендации: Составить первоначальный план проекта СУИБ.

Выходные данные: Описание случая применения СУИБ для данного предприятия и первоначальный план проекта СУИБ с описанием ключевых этапов.

Одобрение руководством проектирования СУИБ определяют следующие процессы:

1) определение приоритетов организации для разработки СУИБ;

2) определение предварительной области действия СУИБ;

3) техническое обоснование и план проекта СУИБ для получения санкции руководства.

1.1. Определение приоритетов организации для разработки СУИБ

Исходные данные:

— стратегические цели организации;

— обзор существующих систем управления;

— перечень действующих нормативно-правовых и договорных требований к ИБ.

Рекомендации: Выполнить сбор существенной информации, показывающей значение СУИБ для организации. Организация должна определить, зачем нужна СУИБ, определить цели внедрения СУИБ и запустить проектирование СУИБ.

Выходные данные:

— документ, излагающий цели, приоритеты в области ИБ и требования организации к системе СУИБ;

— перечень нормативно-правовых и контрактных требований к ИБ организации;

— описание характеристик организации, местонахождения, активов и технологий.

1.2. Определение предварительной области действия СУИБ

Определение предварительной области обеспечивают следующие процессы:

— разработка предварительной области;

— определение для нее ролей и сфер ответственности.

1.2.1. Разработка предварительной области

Исходные длиные: Выходные данные 1.1.

Рекомендации: Определить структуру организации для реализации СУИБ.

Выходные данные:

— изложение обязательных требований к УИБ, определяемых руководством организации, и обязательств, накладываемых на организацию извне;

— описание того, как части области действия СУИБ взаимодействуют с другими системами управления;

— перечень целей предприятия в области УИБ;

— перечень важнейших бизнес-процессов, активов, организационных структур и регионов, где будет использоваться СУИБ;

— соотношение существующих систем управления, регулирования, соответствия и целей организации;

— характеристики организация, местонахождение, активы и технологии.

1.2.2. Определение для предварительной области ролей и сфер ответственности

Исходные данные

— выходные данные 1.2.1;

— список заинтересованных сторон, которые получат выгоду в результате реализации проекта СУИБ.

Рекомендации: Определить роль организации в реализации проекта и ответственных лиц за УИБ, а для сотрудников должны быть определены роли и сферы ответственности на основе квалификации, требуемой для выполняемой работы.

Выходные данные: представляют собой документ или таблицу, описывающую роли и сферы ответственности с указанием имен и организацию, необходимую для успешного внедрения СУИБ.

1.3. Техническое обоснование и план проекта СУИБ для получения санкции руководства

Одобрение руководства и выделение ресурсов для реализации проекта внедрения СУИБ должны быть получены путем определения случая применения СУИБ для предприятия и подготовки плана проекта СУИБ.

Исходные данные:

— выходные данные 1.1;

— выходные данные 1.2.

Рекомендации:

Информация по случаю применения СУИБ для предприятия и первоначальный план проекта СУИБ должны охватывать следующие вопросы:

— цели и конкретные задачи;

— выгоды для организации;

— предварительная область действия СУИБ, включая затрагиваемые бизнес-процессы;

— важнейшие процессы и ф акторы для достижения целей СУИБ;

— описание проекта высокого уровня;

— первоначальный план внедрения СУИБ;

— определенные роли и сферы ответственности;

— требуемые ресурсы (технологические и людские);

— соображения, касающиеся внедрения СУИБ, включая существующую систему ИБ;

— временная шкала с ключевыми этапами;

— предполагаемые затраты;