Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Планирование проверок, проводимых руководством, включает установление времени и способа проведения проверок. Чтобы запланировать проверку, необходимо определить, какие должностные лица должны в ней участвовать. Назначенные должностные лица должны быть утверждены руководством и проинформированы об этом как можно раньше
Проверки, проводимые руководством, должны основываться на результатах измерений СУИБ и другой информации, накопленной за время использования СУИБ. Эта информация используется для выполнения действий руководством для определения готовности и эффективности СУИБ.
До проведения проверки
Внутренний аудит СУИБ должен включать проверку того, эффективно ли внедряются и обеспечиваются меры защиты, процессы и процедуры СУИБ и соответствуют ли они:
– требованиям ISO/IEC 27001;
– действующему законодательству и правилам;
– другим требованиям ИБ.
Предварительным условием для проведения проверок СУИБ, проводимых руководством, являются данные его постоянного мониторинга. В процессе мониторинга СУИБ должны документироваться его результаты, которые записываются и сообщаются руководству.
Информация, предоставляемая руководству, может включать следующее:
– отчеты об инцидентах за последний период использования СУИБ;
– отчеты по внедрению СУИБ и обнаруженные несоответствия;
– результаты других регулярных проверок;
– рекомендации по улучшению СУИБ.
Выходные данные: Документ, содержащий план организации проверок, проводимых руководством, и включающий:
– исходные данные, требуемые для проверки СУИБ руководством;
– процедуры проверок, проводимых руководством и касающихся аспектов аудита, мониторинга и измерения.
5.3.2. Программа обучения в области ИБ
Исходные данные6
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 3.1, – требований к ИБ для процесса СУИБ;
– выходные данные 4.2 – план обработки рисков;
– выходные данные 4.3 – положение о применимости;
– выходные данные 5.1.3 – политики ИБ;
– выходные данные 5.1.4 – стандарты и процедуры ИБ;
– обзор общей программы обучения в организации.
Рекомендации: Руководство отвечает за обучение, чтобы сотрудники, назначенные на определенные должности, имели необходимые знания для выполнения требуемых операций. Содержание программы образования и обучения должно помогать всем сотрудникам знать и понимать значение и важность операций по обеспечению ИБ, в которых они участвуют, и то, как они могут способствовать достижению целей.
Программа обучения с целью информирования по вопросам ИБ должна обеспечивать составление записей по обучению в области ИБ. Эти записи должны регулярно проверяться для обеспечения получения требуемого обучения всеми сотрудниками. Необходимо назначить должностное лицо, ответственное за этот процесс.
Материалы по обучению в области ИБ должны быть разработаны таким образом, чтобы они были связаны с другими обучающими материалами, используемыми в организации, особенно, учебные курсы для пользователей ИС. Обучение по существенным
аспектам ИБ должно включаться в каждый учебный курс для пользователей ИС.Обучающие материалы по ИБ должны включать, как минимум, следующие пункты в зависимости от целевой аудитории:
– основные термины ИБ;
– риски и угрозы ИБ;
– четкое определение инцидента ИБ: рекомендации по его обнаружению, устранению и отчетности;
– политики ИБ, стандарты и процедуры организации;
– сферы ответственности и каналы отчетности, связанные с ИБ;
– рекомендации по оказанию помощи в повышении уровня ИБ;
– рекомендации, связанные с нарушениями ИБ и отчетностью;
– координаты получения дополнительной информации.
Необходимо определить группу по обучению ИБ, которая может выполнять следующие задачи:
– создание и управление записями по ИБ;
– составление и управления материалами по обучению;
– проведение обучения.
Выходные данные:
– материалы по обучению в области ИБ;
– формирование программ обучения в области ИБ, включая роли и сферы ответственности;
– планы обучения в области ИБ;
– записи, показывающие результаты обучения работников в области ИБ.
5.4. Разработка окончательного плана проекта СУИБ
Исходные данные:
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 5.1 – разработка системы ИБ;
– выходные данные 5.2 – разработка системы ИБ ИКТ и физических объектов;
– выходные данные 5.3 – разработка ИБ, связанной с СУИБ;
– ISO/IEC 27002 – правила СУИБ.
Рекомендации: Действия, требуемые для внедрения выбранных средств управления и выполнения других действий, связанных с системой СУИБ, должны быть оформлены в виде подробного плана внедрения как части конечного проекта СУИБ. Подробный план внедрения системы также может подкрепляться описаниями предложенных инструментов и методов внедрения.
Поскольку проект СУИБ включает множество различных ролей в организации, важно, чтобы действия были четко определены для ответственных сторон и план был распространен на ранних стадиях проекта во всей организации.
Выходные данные: Выходные данные этого действия представляют собой окончательный план проекта внедрения СУИБ.
5. Управление рисками иб (стандарт ISO/IEC 27005:2010)
В начале 2006 года был принят первый британский национальный стандарт в сфере управления рисками ИБ BS 7799—3, который в 2008 году получил статус международного стандарта ISO/IEC 27005 «ИТ. Методы защиты. Управление рисками ИБ».
Новый стандарт ISO/IEC 27005 заменил сразу две части морально устаревшего технического стандарта ISO/IEC TR 13335 (TR – technical report – технический отчет) «ИТ. Методы защиты»: часть 3 «Методы управления безопасностью ИТ» и часть 4 «Выбор защитных мер», на базе которых он и был разработан.