Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
– роли и сферы ответственности, связанные с аппаратным обеспечением ИКТ, сетью и ПО.
Выходные данные:
– информация, обмен которой осуществляется как в рамках области действия СУИБ, так и через ее границы;
– границы ИКТ для СУИБ с обоснованием исключения из области действия СУИБ каких-либо элементов ИКТ, находящихся под управлением организации;
– информация об информационных и телекоммуникационных системах, описывающая, какие из них находятся в пределах области действия СУИБ вместе с ролями и сферами ответственности для
2.3. Определение физической области действия и границ
Исходные данные:
– выходные данные 1.2 – описание предварительной области действия СУИБ;
– выходные данные 2.1 – определение организационной области действия и границ;
– выходные данные 2.2 – определение области действия и границ ИКТ.
Рекомендации: Определить помещения, обьекты и оборудование в организации, которые должны стать частью СУИБ. При этом сложнее работать с информационными системами, пересекающими физические границы, и для этого требуется:
– периферийное оборудование;
– средства связи с информационными системами клиентов и обслуживание, предоставляемое сторонними организациями;
– применение соответствующих средств связи и уровней обслуживания.
Физические границы должны включать описание следующих элементов:
– функций или процессов с учетом их физического местонахождения и степени контроля их организацией;
– специального оборудования, используемого для размещения аппаратного обеспечения ИКТ или данных, применяемых в СУИБ.
Выходные данные:
– описание физических границ СМИБ с обоснованием для исключения каких-либо физических границ, находящихся под управлением организации, из области действия СМИБ;
– описание организации и ее географических характеристик, относящихся к области действия СМИБ.
2.4. Объединение всех областей действия и границ СУИБ
Исходные данные:
– выходные данные 1.2 – описание предварительной области действия СУИБ;
– выходные данные 2.1 – определение организационной области действия и границ;
– выходные данные 2.2 – определение области действия и границ ИКТ;
– выходные данные 2.3 – определение физической области действия и границ.
Рекомендации: Свести все исходные данные в один документ.
Выходные данные: Документ, описывающий область действия и границы СУИБ, должен содержать следующую информацию:
– ключевые характеристики организации (функция, структура, активы и область действия и границы ответственности для каждого актива);
– процессы в организации, находящиеся в области действия СУИБ;
– предварительный перечень активов, находящихся в области действия СУИБ;
– конфигурация оборудования и сетей, находящихся в области действия СУИБ;
– схемы объектов, определяющие физические границы СУИБ;
– описание ролей и сфер ответственности в рамках СУИБ и их связи со структурой организации;
–
описание и обоснование исключений каких-либо элементов из области действия СУИБ.2.5. Разработка политики СУИБ и получение одобрения руководства
Исходные данные:
– выходные данные 2.4 – документированная область действия и границы СУИБ;
– выходные данные 1.2 – документированные цели внедрения СУИБ;
– выходные данные 1.3 – описание случая применения и проект плана СУИБ.
Рекомендации: Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику ИБ и политику СУИБ. В свою очередь, политика ИБ может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам ИБ.
Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика ИБ подкрепляется политиками, касающимися контроля доступа, политики чистого рабочего стола и экрана, использования сетевых служб и криптографического контроля. В некоторых случаях возможно включение дополнительных уровней политики.
Согласно стандарту ISO/IEC 27001 требуется, чтобы организации имели политику СУИБ и политику ИБ. Согласно стандарту ISO/IEC 27035 требуется, чтобы организации имели политику управления инцидентами ИБ.
Эти политики могут разрабатываться как равноправные политики – политика СУИБ может подчиняться политике ИБ или наоборот. В то же время политика управления инцидентами ИБ является составной частью политики СУИБ.
Содержание политики основано на контексте, в котором работает организация.
При разработке любой политики нужно учитывать следующие составляющие:
– цели и задачи;
– стратегии для достижения целей;
– структуру и процессы организации;
– требования политик более высокого уровня.
Любая политика содержит следующие разделы:
– введение;
– область действия;
– цели, принципы;
– сферы ответственности;
– ключевые результаты;
– связанные политики.
Краткое содержание политики:
1. Введение – краткое объяснение предмета политики.
2. Область действия – описывает части или действия организации, находящиеся под влиянием политики.
3. Цели – описание назначения политики.
4. Принципы – описание правил, касающихся действий и решений для достижения целей. В некоторых случаях может быть полезным определить ключевые процессы, связанные с предметом политики, и затем – правила выполнения процессов.
5. Сферы ответственности – кто отвечает за действия по выполнению требований политики. В некоторых случаях этот пункт может содержать описание организационных соглашений, а также сферы ответственности лиц с определенными ролями.