Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников

разделы:

— введение;

— область действия;

— цели, принципы;

— сферы ответственности;

— ключевые результаты;

— связанные политики.

Краткое содержание политики:

1. Введение — краткое объяснение предмета политики.

2. Область действия — описывает части или действия организации, находящиеся под влиянием политики.

3. Цели — описание назначения политики.

4. Принципы — описание правил, касающихся действий и решений для достижения целей. В некоторых случаях может быть полезным определить ключевые процессы, связанные с предметом политики, и затем — правила выполнения процессов.

5. Сферы ответственности — кто отвечает за действия по выполнению требований политики. В некоторых случаях этот пункт может содержать описание организационных соглашений, а также сферы ответственности лиц с определенными ролями.

6. Ключевые результаты — описание результатов, получаемых предприятием, если цели достигнуты.

7. Связанные политики — описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.

Выходные данные: Задокументировання политика СУИБ, утвержденная руководством.

3. Проведение анализа требований к ИБ

Цель: Определить требования, которым должна соответствовать СУИБ, определить активы и получить данные по текущему состоянию ИБ в рамках области действия СУИБ.

Информация, собранная в процессе анализа ИБ, должна:

— стать основной для управления;

— определять и документировать условия для внедрения СУИБ;

— обеспечивать четкое и обоснованное понимание возможностей организации;

— учитывать определенные обстоятельства и положение в организации;

— определять требуемый уровень защиты информации;

— определять сбор и обработку информации, требуемые для всего предприятия или его части, находящейся в рамках предложенной области действия СУИБ.

Проведение анализа требований к ИБ определяют следующие процессы:

1) определение требований к ИБ для СУИБ;

2) определение активов в рамках СУИБ;

3) проведение оценки ИБ.

3.1. Определение требований к ИБ для СУИБ

Исходные данные:

— выходные данные 1.1 — приоритеты организации для разработки СУИБ;

— выходные данные 2.5 — политика СУИБ.

Рекомендации: Для каждого процесса в организации и задачи для специалиста требуется принять решение в отношении того, насколько важной является информация, т. е. какой требуется уровень защиты. Требуется базовое краткое описание проанализированной информации по процессам в организации и системам ИКТ.

Для получения подробных требований к ИБ для СУИБ следует рассмотреть следующие вопросы:

— предварительное определение важных информационных активов и текущего состояния защиты информации;

— определение представлений организации и их влияния на будущие требования к ИБ;

— анализ видов обработки информации, системного ПО, коммуникационных сетей, определения действий и ресурсов для информационных технологий и т. д.;

— определение всех обязательных требований (законодательства, договоров, стандартов и соглашений с клиентами, условий страхования и т. д.);

— определение уровня информированности в области ИБ и определение требований к обучению в отношении каждого подразделения.

Выходные данные:

— определение основных процессов, функций, объектов, информационных систем и коммуникационных сетей;

— информационные активы организации;

— классификация важнейших процессов (активов);

— требования к ИБ, сформулированные на основе обязательных требований;

— перечень известных уязвимостей, которые должны быть устранены в результате выполнения требований к ИБ;

— требования к обучению и образованию в области ИБ в организации.

3.2. Определение активов в рамках СУИБ

Исходные данные:

— выходные данные 2.4 — область действия и границы СУИБ;

— выходные данные 2.5 — политика СУИБ;

— выходные данные 3.1 — требования к ИБ для процесса СУИБ.

Рекомендации: Для определения активов в рамках области действия СУИБ необходимо указать следующую информацию:

— уникальное наименование процесса;

— описание процесса и связанные с ним действия (создание, хранение, передача, удаление);

— важность процесса для организации (критический, важный, вспомогательный);

— владелец процесса (подразделение организации);

— процессы, обеспечивающие исходные и выходные данные этого процесса;

— приложения ИТ, поддерживающие процесс;

— классификация информации (конфиденциальность, целостность, доступность и другие важные для организации свойства).

Выходные данные:

— определенные информационные активы основных процессов в организации в рамках области действия СУИБ;

— классификация важнейших процессов и информационных активов с точки зрения ИБ.

3.3. Проведение оценки ИБ

Необходимо провести оценку ИБ путем сравнения текущего состояния ИБ в организации с целями организации.

Исходные данные:

— выходные данные 2.4 — область действия и границы СУИБ;

— выходные данные 2.5 — политика СУИБ;

— выходные данные 3.1 — требований к ИБ для процесса СУИБ;

— выходные данные 3.2 — активы в рамках области действия СУИБ.

Рекомендации: При оценке ИБ анализируется текущая ситуация в организации путем использования следующей информации и определяется текущее состояние ИБ и недостатки в документации:

— изучение предпосылок на основе важнейших процессов;

— классификация информационных активов;

— требования организации к ИБ.

Для успешной оценки ИБ важными являются следующие действия:

— перечисление соответствующих стандартов;

— определение требований к управлению, установленных на основе политики ИБ, обязательных требований, результатов прошедших проверок или оценок рисков;

— использование этих документов для приблизительной оценки существующих требований к уровню ИБ.

Подход к проведению оценки ИБ следующий:

— выбрать важные бизнес-процессы и этапы процессов, касающиеся требований к ИБ;

— составить подробную блок-схему, охватывающую основные процессы, включая инфраструктуру;

— обсудить и проанализировать с ключевыми сотрудниками существующую ситуацию в организации в отношении требований к ИБ;

— определить недостатки в управлении путем сравнения существующих средств управления с определенными требованиями к управлению;

— определить и задокументировать текущее состояние организации.

Выходные данные: Документ, описывающий состояние ИБ в организации и обнаруженные уязвимости.

4. Проведение оценки и планирование обработки рисков

Цель: Определить методологию оценки риска, определить, проанализировать и оценить риски ИБ, чтобы выбрать варианты их обработки и средства ИБ.

Проведение оценки и планирование обработки рисков определяют следующие процессы:

1) проведение оценки рисков;

2) выбор средств ИБ;

3) получение санкции руководства на внедрение и использование СУИБ.

4.1. Проведение оценки рисков

Исходные данные:

— выходные данные раздела 2 — область действия и политика СУИБ;

— выходные данные раздела 3 — состояние ИБ и информационные активы;

— ISO/IEC 27005 — управление рисками ИБ.

Рекомендации: Оценка рисков состоит из следующих мероприятий:

— идентификация рисков;

— измерение рисков;

— оценивание рисков.

При оценке рисков необходимо определить:

— угрозы и их источники;

— меры защиты;

— уязвимости;

— последствия нарушений ИБ.

При оценке риска нужно также осуществить:

— оценку уровня риска;

— оценку влияния инцидента на организацию;

— сравнение уровня риска с критериями оценки и приемлемости.

Выходные данные:

— описание методологий оценки рисков;

— результаты оценки рисков.

4.2. Выбор средств ИБ

Исходные данные:

— выходные данные 4.1 — результаты оценки риска;

— ISO/IEC 27002 — правила СУИБ;

— ISO/IEC 27005 — управление рисками ИБ;

— ISO/IEC 27035 — управление инцидентами ИБ.

Рекомендации: Важно продемонстрировать, как выбранные меры и средства защиты могут снизить риск и вероятность возникновения инцидента. В случае снижения риска установление соотношения между каждым риском (вероятным инцидентом) и выбранными средствами является полезным для разработки СУИБ.

Разработка плана обработки инцидентов

Цель плана обработки инцидентов ИБ — обеспечить подробную документацию, описывающую процессы и процедуры обработки событий, инцидентов и уязвимостей ИБ и их взаимодействия. План обработки инцидентов ИБ приводится в действие при обнаружении события ИБ или сообщении об уязвимости ИБ.

Каждая организация должна использовать план в качестве руководства для:

— реагирования на события ИБ;

— определения того, становятся ли события ИБ инцидентами;

— управления инцидентами ИБ до их разрешения;

— реагирования на уязвимости ИБ;

— идентификации полученных уроков при обработке инцидентов, а также необходимых улучшений СУИБ;

— реализации улучшений СУИБ.

Выходные