Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников

class="p1">— важнейшие факторы успеха;

— количественное определение выгод для организации.

Руководство должно утвердить описание случая применения СУИБ для предприятия и первоначальный план проекта, чтобы составить поручения для всей организации и начать реализацию проекта СУИБ.

Выходные данные:

— документированное одобрение руководством выполнения проекта СУИБ с распределенными ресурсами;

— документированное описание случая применения СУИБ для данного предприятия;

— начальное предложение по проекту СУИБ с основными этапами, такими как выполнение оценки риска, реализация проекта, внутренний аудит и проверки, осуществляемые руководством.

2. Определение области действия, границ и политики СУИБ

Цель: Определить области действия и границ СУИБ и разработать политику СУИБ.

Определение области действия и границ СУИБ обеспечивают предварительные процессы:

— определение организационной и физической областей действия и границ СУИБ;

— определение области действия и границ информационных и коммуникационных технологий (далее — ИКТ);

Определение областей действия и политики СУИБ также обеспечивают заключительные процессы:

— объединение всех областей действия и границ СУИБ;

— разработка политики СУИБ и получение одобрения руководства.

2.1. Определение организационной области действия и границ

Исходные данные:

— выходные данные 1.2 — документированная предварительная область действия СУИБ, охватывающая:

• соотношения существующих систем управления, регулирования, соответствия и целей организации;

• характеристики организации, ее местонахождения, активов и технологий.

— выходные данные 1.1 — документированное утверждение руководством внедрения СУИБ и запуск проекта с необходимыми распределенными ресурсами.

Рекомендации: Одним из методов определения организационных границ является определение сфер ответственности, не перекрывающих друг друга, чтобы облегчить назначение подотчетности в организации.

На основе такого подхода анализируемые организационные границы должны определять всех сотрудников, участвующих в сфере УИБ, и эти границы должны быть включены в область действия СУИБ. Если некоторые процессы в организации выполняются сторонними организациями, эти зависимости должны быть четко задокументированы.

Выходные данные:

— описание организационных границ СУИБ, включая обоснования исключения каких-либо частей организации из области действия СУИБ;

— функции и структура частей организации, находящихся в области действия СУИБ;

— определение информации, подлежащей обмену в рамках области действия СУИБ, и информации, обмен которой осуществляется через границы СУИБ;

— процессы в организации и сферы ответственности за информационные активы в области действия СУИБ и за ее пределами;

— процесс в иерархии принятия решений, а также ее структура в рамках системы СУИБ.

2.2. Определение области действия и границ ИКТ

Исходные данные:

— выходные данные 1.2 — описание предварительной области действия СУИБ;

— выходные данные 2.1 — определение организационной области действия и границ.

Рекомендации: Определение области действия и границ ИКТ может быть получено на основе анализа имеющихся информационных систем. Элементы ИКТ включают все части организации, которые хранят, обрабатывают или передают важную информацию, активы или являются важными для других частей организации, входящих в область действия СУИБ.

Границы ИКТ должны включать описание следующих элементов:

— инфраструктура связи, в которой ответственность за ее управление входит в компетенцию организации, располагающей различными технологиями (например, беспроводные и проводные сети или сети передачи данных и телефонной связи);

— ПО в рамках организационных границ, используемое и контролируемое организацией;

— аппаратное обеспечение ИКТ, требуемое для сетей, приложений или производственных систем;

— роли и сферы ответственности, связанные с аппаратным обеспечением ИКТ, сетью и ПО.

Выходные данные:

— информация, обмен которой осуществляется как в рамках области действия СУИБ, так и через ее границы;

— границы ИКТ для СУИБ с обоснованием исключения из области действия СУИБ каких-либо элементов ИКТ, находящихся под управлением организации;

— информация об информационных и телекоммуникационных системах, описывающая, какие из них находятся в пределах области действия СУИБ вместе с ролями и сферами ответственности для этих систем.

2.3. Определение физической области действия и границ

Исходные данные:

— выходные данные 1.2 — описание предварительной области действия СУИБ;

— выходные данные 2.1 — определение организационной области действия и границ;

— выходные данные 2.2 — определение области действия и границ ИКТ.

Рекомендации: Определить помещения, обьекты и оборудование в организации, которые должны стать частью СУИБ. При этом сложнее работать с информационными системами, пересекающими физические границы, и для этого требуется:

— периферийное оборудование;

— средства связи с информационными системами клиентов и обслуживание, предоставляемое сторонними организациями;

— применение соответствующих средств связи и уровней обслуживания.

Физические границы должны включать описание следующих элементов:

— функций или процессов с учетом их физического местонахождения и степени контроля их организацией;

— специального оборудования, используемого для размещения аппаратного обеспечения ИКТ или данных, применяемых в СУИБ.

Выходные данные:

— описание физических границ СМИБ с обоснованием для исключения каких-либо физических границ, находящихся под управлением организации, из области действия СМИБ;

— описание организации и ее географических характеристик, относящихся к области действия СМИБ.

2.4. Объединение всех областей действия и границ СУИБ

Исходные данные:

— выходные данные 1.2 — описание предварительной области действия СУИБ;

— выходные данные 2.1 — определение организационной области действия и границ;

— выходные данные 2.2 — определение области действия и границ ИКТ;

— выходные данные 2.3 — определение физической области действия и границ.

Рекомендации: Свести все исходные данные в один документ.

Выходные данные: Документ, описывающий область действия и границы СУИБ, должен содержать следующую информацию:

— ключевые характеристики организации (функция, структура, активы и область действия и границы ответственности для каждого актива);

— процессы в организации, находящиеся в области действия СУИБ;

— предварительный перечень активов, находящихся в области действия СУИБ;

— конфигурация оборудования и сетей, находящихся в области действия СУИБ;

— схемы объектов, определяющие физические границы СУИБ;

— описание ролей и сфер ответственности в рамках СУИБ и их связи со структурой организации;

— описание и обоснование исключений каких-либо элементов из области действия СУИБ.

2.5. Разработка политики СУИБ и получение одобрения руководства

Исходные данные:

— выходные данные 2.4 — документированная область действия и границы СУИБ;

— выходные данные 1.2 — документированные цели внедрения СУИБ;

— выходные данные 1.3 — описание случая применения и проект плана СУИБ.

Рекомендации: Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику ИБ и политику СУИБ. В свою очередь, политика ИБ может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам ИБ.

Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика ИБ подкрепляется политиками, касающимися контроля доступа, политики чистого рабочего стола и экрана, использования сетевых служб и криптографического контроля. В некоторых случаях возможно включение дополнительных уровней политики.

Согласно стандарту ISO/IEC 27001 требуется, чтобы организации имели политику СУИБ и политику ИБ. Согласно стандарту ISO/IEC 27035 требуется, чтобы организации имели политику управления инцидентами ИБ.

Эти политики могут разрабатываться как равноправные политики — политика СУИБ может подчиняться политике ИБ или наоборот. В то же время политика управления инцидентами ИБ является составной частью политики СУИБ.

Содержание политики основано на контексте, в котором работает организация.

При разработке любой политики нужно учитывать следующие составляющие:

— цели и задачи;

— стратегии для достижения целей;

— структуру и процессы организации;

— требования политик более высокого уровня.

Любая политика содержит следующие