Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
6. Ключевые результаты – описание результатов, получаемых предприятием, если цели достигнуты.
7. Связанные политики – описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.
Выходные данные: Задокументировання политика СУИБ, утвержденная руководством.
3. Проведение анализа требований к ИБ
Цель: Определить
Информация, собранная в процессе анализа ИБ, должна:
– стать основной для управления;
– определять и документировать условия для внедрения СУИБ;
– обеспечивать четкое и обоснованное понимание возможностей организации;
– учитывать определенные обстоятельства и положение в организации;
– определять требуемый уровень защиты информации;
– определять сбор и обработку информации, требуемые для всего предприятия или его части, находящейся в рамках предложенной области действия СУИБ.
Проведение анализа требований к ИБ определяют следующие процессы:
1) определение требований к ИБ для СУИБ;
2) определение активов в рамках СУИБ;
3) проведение оценки ИБ.
3.1. Определение требований к ИБ для СУИБ
Исходные данные:
– выходные данные 1.1 – приоритеты организации для разработки СУИБ;
– выходные данные 2.5 – политика СУИБ.
Рекомендации: Для каждого процесса в организации и задачи для специалиста требуется принять решение в отношении того, насколько важной является информация, т. е. какой требуется уровень защиты. Требуется базовое краткое описание проанализированной информации по процессам в организации и системам ИКТ.
Для получения подробных требований к ИБ для СУИБ следует рассмотреть следующие вопросы:
– предварительное определение важных информационных активов и текущего состояния защиты информации;
– определение представлений организации и их влияния на будущие требования к ИБ;
– анализ видов обработки информации, системного ПО, коммуникационных сетей, определения действий и ресурсов для информационных технологий и т.д.;
– определение всех обязательных требований (законодательства, договоров, стандартов и соглашений с клиентами, условий страхования и т.д.);
– определение уровня информированности в области ИБ и определение требований к обучению в отношении каждого подразделения.
Выходные данные:
– определение основных процессов, функций, объектов, информационных систем и коммуникационных сетей;
– информационные активы организации;
– классификация важнейших процессов (активов);
– требования к ИБ, сформулированные на основе обязательных требований;
– перечень известных уязвимостей, которые должны быть устранены в результате выполнения требований к ИБ;
–
требования к обучению и образованию в области ИБ в организации.3.2. Определение активов в рамках СУИБ
Исходные данные:
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 3.1 – требования к ИБ для процесса СУИБ.
Рекомендации: Для определения активов в рамках области действия СУИБ необходимо указать следующую информацию:
– уникальное наименование процесса;
– описание процесса и связанные с ним действия (создание, хранение, передача, удаление);
– важность процесса для организации (критический, важный, вспомогательный);
– владелец процесса (подразделение организации);
– процессы, обеспечивающие исходные и выходные данные этого процесса;
– приложения ИТ, поддерживающие процесс;
– классификация информации (конфиденциальность, целостность, доступность и другие важные для организации свойства).
Выходные данные:
– определенные информационные активы основных процессов в организации в рамках области действия СУИБ;
– классификация важнейших процессов и информационных активов с точки зрения ИБ.
3.3. Проведение оценки ИБ
Необходимо провести оценку ИБ путем сравнения текущего состояния ИБ в организации с целями организации.
Исходные данные:
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 3.1 – требований к ИБ для процесса СУИБ;
– выходные данные 3.2 – активы в рамках области действия СУИБ.
Рекомендации: При оценке ИБ анализируется текущая ситуация в организации путем использования следующей информации и определяется текущее состояние ИБ и недостатки в документации:
– изучение предпосылок на основе важнейших процессов;
– классификация информационных активов;
– требования организации к ИБ.
Для успешной оценки ИБ важными являются следующие действия:
– перечисление соответствующих стандартов;
– определение требований к управлению, установленных на основе политики ИБ, обязательных требований, результатов прошедших проверок или оценок рисков;
– использование этих документов для приблизительной оценки существующих требований к уровню ИБ.
Подход к проведению оценки ИБ следующий:
– выбрать важные бизнес-процессы и этапы процессов, касающиеся требований к ИБ;
– составить подробную блок-схему, охватывающую основные процессы, включая инфраструктуру;
– обсудить и проанализировать с ключевыми сотрудниками существующую ситуацию в организации в отношении требований к ИБ;
– определить недостатки в управлении путем сравнения существующих средств управления с определенными требованиями к управлению;