Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
– соотношение существующих систем управления, регулирования, соответствия и целей организации;
– характеристики организация, местонахождение, активы и технологии.
1.2.2. Определение для предварительной области ролей и сфер ответственности
Исходные данные
– выходные данные 1.2.1;
– список заинтересованных сторон, которые получат выгоду в результате реализации проекта СУИБ.
Рекомендации: Определить роль организации в реализации проекта и ответственных лиц за УИБ, а для сотрудников
Выходные данные: представляют собой документ или таблицу, описывающую роли и сферы ответственности с указанием имен и организацию, необходимую для успешного внедрения СУИБ.
1.3. Техническое обоснование и план проекта СУИБ для получения санкции руководства
Одобрение руководства и выделение ресурсов для реализации проекта внедрения СУИБ должны быть получены путем определения случая применения СУИБ для предприятия и подготовки плана проекта СУИБ.
Исходные данные:
– выходные данные 1.1;
– выходные данные 1.2.
Рекомендации:
Информация по случаю применения СУИБ для предприятия и первоначальный план проекта СУИБ должны охватывать следующие вопросы:
– цели и конкретные задачи;
– выгоды для организации;
– предварительная область действия СУИБ, включая затрагиваемые бизнес-процессы;
– важнейшие процессы и ф акторы для достижения целей СУИБ;
– описание проекта высокого уровня;
– первоначальный план внедрения СУИБ;
– определенные роли и сферы ответственности;
– требуемые ресурсы (технологические и людские);
– соображения, касающиеся внедрения СУИБ, включая существующую систему ИБ;
– временная шкала с ключевыми этапами;
– предполагаемые затраты;
– важнейшие факторы успеха;
– количественное определение выгод для организации.
Руководство должно утвердить описание случая применения СУИБ для предприятия и первоначальный план проекта, чтобы составить поручения для всей организации и начать реализацию проекта СУИБ.
Выходные данные:
– документированное одобрение руководством выполнения проекта СУИБ с распределенными ресурсами;
– документированное описание случая применения СУИБ для данного предприятия;
– начальное предложение по проекту СУИБ с основными этапами, такими как выполнение оценки риска, реализация проекта, внутренний аудит и проверки, осуществляемые руководством.
2. Определение области действия, границ и политики СУИБ
Цель: Определить области действия и границ СУИБ и разработать политику СУИБ.
Определение области действия и границ СУИБ обеспечивают предварительные процессы:
– определение организационной и физической областей действия и границ СУИБ;
– определение области действия и границ информационных и коммуникационных технологий (далее – ИКТ);
Определение областей действия и политики СУИБ также обеспечивают заключительные процессы:
– объединение всех областей действия и границ СУИБ;
– разработка политики СУИБ и получение одобрения руководства.
2.1. Определение организационной области действия и границ
Исходные данные:
– выходные данные 1.2 – документированная предварительная область действия СУИБ, охватывающая:
• соотношения существующих систем управления, регулирования, соответствия и целей организации;
• характеристики организации, ее местонахождения, активов и технологий.
– выходные данные 1.1 – документированное утверждение руководством внедрения СУИБ и запуск проекта с необходимыми распределенными ресурсами.
Рекомендации: Одним из методов определения организационных границ является определение сфер ответственности, не перекрывающих друг друга, чтобы облегчить назначение подотчетности в организации.
На основе такого подхода анализируемые организационные границы должны определять всех сотрудников, участвующих в сфере УИБ, и эти границы должны быть включены в область действия СУИБ. Если некоторые процессы в организации выполняются сторонними организациями, эти зависимости должны быть четко задокументированы.
Выходные данные:
– описание организационных границ СУИБ, включая обоснования исключения каких-либо частей организации из области действия СУИБ;
– функции и структура частей организации, находящихся в области действия СУИБ;
– определение информации, подлежащей обмену в рамках области действия СУИБ, и информации, обмен которой осуществляется через границы СУИБ;
– процессы в организации и сферы ответственности за информационные активы в области действия СУИБ и за ее пределами;
– процесс в иерархии принятия решений, а также ее структура в рамках системы СУИБ.
2.2. Определение области действия и границ ИКТ
Исходные данные:
– выходные данные 1.2 – описание предварительной области действия СУИБ;
– выходные данные 2.1 – определение организационной области действия и границ.
Рекомендации: Определение области действия и границ ИКТ может быть получено на основе анализа имеющихся информационных систем. Элементы ИКТ включают все части организации, которые хранят, обрабатывают или передают важную информацию, активы или являются важными для других частей организации, входящих в область действия СУИБ.
Границы ИКТ должны включать описание следующих элементов:
– инфраструктура связи, в которой ответственность за ее управление входит в компетенцию организации, располагающей различными технологиями (например, беспроводные и проводные сети или сети передачи данных и телефонной связи);
– ПО в рамках организационных границ, используемое и контролируемое организацией;
– аппаратное обеспечение ИКТ, требуемое для сетей, приложений или производственных систем;