Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Проверка технического соответствия
Меры и средства
ИС должны регулярно проверяться на соответствие политикам и стандартам ИБ организации.
Рекомендации по реализации
Проверка соответствия ИС техническим требованиям должна осуществляться, как правило, с помощью автоматических инструментальных средств, которые генерируют технические отчеты для последующего анализа техническим специалистом. В альтернативном случае, ручные отчеты (при необходимости, поддерживаемые
Если проводится тестирование на проникновение или оценка уязвимостей, следует соблюдать осторожность, поскольку такие действия могут привести к компрометации безопасности системы. Такие тесты должны планироваться, документироваться и повторяться.
Любая проверка технического соответствия должна проводиться компетентным, уполномоченным персоналом или под руководством такого персонала.
Проверки технического соответствия должны включать испытания ОС для гарантии того, что аппаратные и программные средства установлены правильно. Этот тип проверки требует специальной технической экспертизы.
Проверки соответствия также содержат, например, тестирование на проникновение и оценку уязвимостей, которые могут провести независимые эксперты, специально привлеченные для этой цели по контракту. Это может быть использовано для выявления уязвимостей в ИС и проверки эффективности мер и средств защиты в предотвращении несанкционированного доступа к этим уязвимостям.
Тестирование на проникновение и оценка уязвимостей обеспечивает фиксацию специфического состояния ИС в определенный момент. Эта фиксация ограничена теми частями ИС, которые тестируются в момент попытки проникновения. Тестирование на проникновение и оценка уязвимостей не заменяет оценки риска.
4. Разработка СУИБ (стандарт ISO/IЕС 27003:2010)
В 2010 году Международная организация по стандартизации опубликовала новый стандарт ISO/IЕС 27003 «ИТ. Методы защиты. СУИБ. Руководство по реализации СУИБ».
Он посвящён вопросам успешной разработки и внедрения СУИБ в соответствии с требованиями ISO/IEC 27001. Стандарт ISO/IЕС 27003 описывает процесс формирования требований и проектирования СУИБ от начала проекта и до подготовки планов внедрения.
Указан процесс получения согласия руководства на внедрение СУИБ, дается детализация проекта внедрения СУИБ, даются рекомендации по планированию проекта внедрения СУИБ, результатом которого является окончательный план внедрения СУИБ.
Планирование внедрения СУИБ состоит из 5 этапов:
1) получение одобрения руководства для проектирования СУИБ (раздел 5);
2) определение области действия и политики СУИБ (раздел 6);
3) проведение анализа организации (раздел 7);
4) проведение анализа и планирование обработки рисков (раздел 8);
5) разработка СУИБ (раздел 9).
Каждый раздел содержит следующую информацию:
– цели (что необходимо достичь);
– действия для их достижения.
Описания действий структурированы в виде исходных данных, рекомендаций и выходных данных.
Исходные данные – описывают отправную точку, например, наличие документированных решений или выходных данных других действий, описываемых в
стандарте;Рекомендации – содержат подробную информацию, позволяющую выполнить данное действие;
Выходные данные – описывают результат (ы) или документ (ы), получаемые после выполнения действия.
1. Одобрение руководством проектирования СУИБ
Цель: Получить одобрение руководства путем определения случая применения СУИБ для предприятия и подготовки плана проекта.
Исходные данные: Описание случая применения СУИБ для данного предприятия, включающее приоритеты и цели внедрения СУИБ, а также структуру организации для СУИБ.
Рекомендации: Составить первоначальный план проекта СУИБ.
Выходные данные: Описание случая применения СУИБ для данного предприятия и первоначальный план проекта СУИБ с описанием ключевых этапов.
Одобрение руководством проектирования СУИБ определяют следующие процессы:
1) определение приоритетов организации для разработки СУИБ;
2) определение предварительной области действия СУИБ;
3) техническое обоснование и план проекта СУИБ для получения санкции руководства.
1.1. Определение приоритетов организации для разработки СУИБ
Исходные данные:
– стратегические цели организации;
– обзор существующих систем управления;
– перечень действующих нормативно-правовых и договорных требований к ИБ.
Рекомендации: Выполнить сбор существенной информации, показывающей значение СУИБ для организации. Организация должна определить, зачем нужна СУИБ, определить цели внедрения СУИБ и запустить проектирование СУИБ.
Выходные данные:
– документ, излагающий цели, приоритеты в области ИБ и требования организации к системе СУИБ;
– перечень нормативно-правовых и контрактных требований к ИБ организации;
– описание характеристик организации, местонахождения, активов и технологий.
1.2. Определение предварительной области действия СУИБ
Определение предварительной области обеспечивают следующие процессы:
– разработка предварительной области;
– определение для нее ролей и сфер ответственности.
1.2.1. Разработка предварительной области
Исходные длиные: Выходные данные 1.1.
Рекомендации: Определить структуру организации для реализации СУИБ.
Выходные данные:
– изложение обязательных требований к УИБ, определяемых руководством организации, и обязательств, накладываемых на организацию извне;
– описание того, как части области действия СУИБ взаимодействуют с другими системами управления;
– перечень целей предприятия в области УИБ;
– перечень важнейших бизнес-процессов, активов, организационных структур и регионов, где будет использоваться СУИБ;