Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
– определить и задокументировать текущее состояние организации.
Выходные данные: Документ, описывающий состояние ИБ в организации и обнаруженные уязвимости.
4. Проведение оценки и планирование обработки рисков
Цель: Определить методологию оценки риска, определить, проанализировать и оценить риски ИБ, чтобы выбрать варианты их обработки и средства ИБ.
Проведение оценки и планирование обработки рисков определяют следующие процессы:
1)
2) выбор средств ИБ;
3) получение санкции руководства на внедрение и использование СУИБ.
4.1. Проведение оценки рисков
Исходные данные:
– выходные данные раздела 2 – область действия и политика СУИБ;
– выходные данные раздела 3 – состояние ИБ и информационные активы;
– ISO/IEC 27005 – управление рисками ИБ.
Рекомендации: Оценка рисков состоит из следующих мероприятий:
– идентификация рисков;
– измерение рисков;
– оценивание рисков.
При оценке рисков необходимо определить:
– угрозы и их источники;
– меры защиты;
– уязвимости;
– последствия нарушений ИБ.
При оценке риска нужно также осуществить:
– оценку уровня риска;
– оценку влияния инцидента на организацию;
– сравнение уровня риска с критериями оценки и приемлемости.
Выходные данные:
– описание методологий оценки рисков;
– результаты оценки рисков.
4.2. Выбор средств ИБ
Исходные данные:
– выходные данные 4.1 – результаты оценки риска;
– ISO/IEC 27002 – правила СУИБ;
– ISO/IEC 27005 – управление рисками ИБ;
– ISO/IEC 27035 – управление инцидентами ИБ.
Рекомендации: Важно продемонстрировать, как выбранные меры и средства защиты могут снизить риск и вероятность возникновения инцидента. В случае снижения риска установление соотношения между каждым риском (вероятным инцидентом) и выбранными средствами является полезным для разработки СУИБ.
Разработка плана обработки инцидентов
Цель плана обработки инцидентов ИБ – обеспечить подробную документацию, описывающую процессы и процедуры обработки событий, инцидентов и уязвимостей ИБ и их взаимодействия. План обработки инцидентов ИБ приводится в действие при обнаружении события ИБ или сообщении об уязвимости ИБ.
Каждая организация должна использовать план в качестве руководства для:
– реагирования на события ИБ;
– определения того, становятся ли события ИБ инцидентами;
– управления инцидентами ИБ до их разрешения;
– реагирования на уязвимости ИБ;
– идентификации полученных уроков при обработке инцидентов, а также необходимых улучшений СУИБ;
– реализации улучшений СУИБ.
Выходные данные:
– перечень выбранных мер и средств защиты;
– планы обработки рисков и инцидентов.
4.3. Получение санкции руководства на внедрение и использование СУИБ
Исходные данные:
– выходные данные 1.4 – утвержденный начальный проект СУИБ;
–
выходные данные раздела 2 – область действия и политика СУИБ;– выходные данные 4.1 – результаты оценки риска;
– выходные данные 4.2 – планы обработки рисков и инцидентов.
Рекомендации: Необходимо получить одобрение высшего руководства для принятия решения о принятии остаточных рисков, а также санкцию на фактическое использование СУИБ. Эти решения должны основываться на оценке рисков и вероятности их возникновения в результате внедрения СУИБ, в сравнении с рисками, возникающими в случае, когда СУИБ не применияется.
Выходные данные:
– письменное одобрение руководством внедрения СУИБ;
– утверждение руководством планов обработки рисков и инцидентов;
– положение о применимости, включающее выбранные меры и средства защиты.
5. Разработка СУИБ
Цель: Составить конечный план внедрения СУИБ путем разработки системы безопасности организации на основе выбранных вариантов обработки риска, а также требований, касающихся записей и документов и разработки средств управления, объединяющих меры безопасности ИКТ, физические и организационные процессы и разработку специальных требований для СУИБ.
При разработке СУИБ следует принять во внимание следующие аспекты:
– безопасность организации;
– безопасность ИКТ;
– безопасность физических объектов;
– особые требования к СУИБ.
Безопасность организации охватывает административные аспекты ИБ, включая ответственность за обработку риска.
Безопасность ИКТ охватывает аспекты ИБ, связанные с ответственностью за снижение рисков при выполнении операций с ИКТ.
Безопасность физических объектов охватывает аспекты ИБ, связанные, в частности, с ответственностью, возникающей при проработке физического окружения, например, зданий и их инфраструктуры, за снижение риска.
Особые требования к СУИБ охватывают аспекты соответствии СУИБ требованиям ISO/IEC 27001 в отличие от предыдущих аспектов.
Разработку СУИБ определяют следующие процессы:
1) разработка системы ИБ организации;
2) разработка системы ИБ ИКТ и физических объектов;
3) создание условий надежного функционирования СУИБ;
4) разработка окончательного плана проекта СУИБ.
5.1. Разработка системы ИБ
Разработку системы ИБ обеспечивают следующие разработки:
– конечной структуры организации для ИБ;
– основы для документирования СУИБ;
– политики ИБ;
– стандартов и процедур обеспечения ИБ.
5.1.1. Разработка конечной структуры организации для ИБ
Необходимо сопоставить функции, роли и сферы ответственности в организации, связанные с ИБ, с обработкой рисков.
Исходные данные:
– выходные данные 1.1.2 – таблица ролей и сфер ответственности;