Управление информационной безопасностью. Стандарты СУИБ (СИ) - Гребенников Вадим Викторович
– процессы в организации и сферы ответственности за информационные активы в области действия СУИБ и за ее пределами;
– процесс в иерархии принятия решений, а также ее структура в рамках системы СУИБ.
2.2. Определение области действия и границ ИКТ
Исходные данные:
– выходные данные 1.2 – описание предварительной области действия СУИБ;
– выходные данные 2.1 – определение организационной области действия и границ.
Рекомендации: Определение области действия и границ ИКТ может быть получено на основе анализа имеющихся информационных систем. Элементы ИКТ включают все части организации, которые хранят, обрабатывают или передают важную информацию, активы или являются важными для других частей организации, входящих в область действия СУИБ.
Границы ИКТ должны включать описание следующих элементов:
– инфраструктура связи, в которой ответственность за ее управление входит в компетенцию организации, располагающей различными технологиями (например, беспроводные и проводные сети или сети передачи данных и телефонной связи);
– ПО в рамках организационных границ, используемое и контролируемое организацией;
– аппаратное обеспечение ИКТ, требуемое для сетей, приложений или производственных систем;
– роли и сферы ответственности, связанные с аппаратным обеспечением ИКТ, сетью и ПО.
Выходные данные:
– информация, обмен которой осуществляется как в рамках области действия СУИБ, так и через ее границы;
– границы ИКТ для СУИБ с обоснованием исключения из области действия СУИБ каких-либо элементов ИКТ, находящихся под управлением организации;
– информация об информационных и телекоммуникационных системах, описывающая, какие из них находятся в пределах области действия СУИБ вместе с ролями и сферами ответственности для этих систем.
2.3. Определение физической области действия и границ
Исходные данные:
– выходные данные 1.2 – описание предварительной области действия СУИБ;
– выходные данные 2.1 – определение организационной области действия и границ;
– выходные данные 2.2 – определение области действия и границ ИКТ.
Рекомендации: Определить помещения, обьекты и оборудование в организации, которые должны стать частью СУИБ. При этом сложнее работать с информационными системами, пересекающими физические границы, и для этого требуется:
– периферийное оборудование;
– средства связи с информационными системами клиентов и обслуживание, предоставляемое сторонними организациями;
– применение соответствующих средств связи и уровней обслуживания.
Физические границы должны включать описание следующих элементов:
– функций или процессов с учетом их физического местонахождения и степени контроля их организацией;
– специального оборудования, используемого для размещения аппаратного обеспечения ИКТ или данных, применяемых в СУИБ.
Выходные данные:
– описание физических границ СМИБ с обоснованием для исключения каких-либо физических границ, находящихся под управлением организации, из области действия СМИБ;
– описание организации и ее географических характеристик, относящихся к области действия СМИБ.
2.4. Объединение всех областей действия и границ СУИБ
Исходные данные:
– выходные данные 1.2 – описание предварительной области действия СУИБ;
– выходные данные 2.1 – определение организационной области действия и границ;
– выходные данные 2.2 – определение области действия и границ ИКТ;
– выходные данные 2.3 – определение физической области действия и границ.
Рекомендации: Свести все исходные данные в один документ.
Выходные данные: Документ, описывающий область действия и границы СУИБ, должен содержать следующую информацию:
– ключевые характеристики организации (функция, структура, активы и область действия и границы ответственности для каждого актива);
– процессы в организации, находящиеся в области действия СУИБ;
– предварительный перечень активов, находящихся в области действия СУИБ;
– конфигурация оборудования и сетей, находящихся в области действия СУИБ;
– схемы объектов, определяющие физические границы СУИБ;
– описание ролей и сфер ответственности в рамках СУИБ и их связи со структурой организации;
– описание и обоснование исключений каких-либо элементов из области действия СУИБ.
2.5. Разработка политики СУИБ и получение одобрения руководства
Исходные данные:
– выходные данные 2.4 – документированная область действия и границы СУИБ;
– выходные данные 1.2 – документированные цели внедрения СУИБ;
– выходные данные 1.3 – описание случая применения и проект плана СУИБ.
Рекомендации: Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику ИБ и политику СУИБ. В свою очередь, политика ИБ может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам ИБ.
Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика ИБ подкрепляется политиками, касающимися контроля доступа, политики чистого рабочего стола и экрана, использования сетевых служб и криптографического контроля. В некоторых случаях возможно включение дополнительных уровней политики.
Согласно стандарту ISO/IEC 27001 требуется, чтобы организации имели политику СУИБ и политику ИБ. Согласно стандарту ISO/IEC 27035 требуется, чтобы организации имели политику управления инцидентами ИБ.
Эти политики могут разрабатываться как равноправные политики – политика СУИБ может подчиняться политике ИБ или наоборот. В то же время политика управления инцидентами ИБ является составной частью политики СУИБ.
Содержание политики основано на контексте, в котором работает организация.
При разработке любой политики нужно учитывать следующие составляющие:
– цели и задачи;
– стратегии для достижения целей;
– структуру и процессы организации;
– требования политик более высокого уровня.
Любая политика содержит следующие разделы:
– введение;
– область действия;
– цели, принципы;
– сферы ответственности;
– ключевые результаты;
– связанные политики.
Краткое содержание политики:
1. Введение – краткое объяснение предмета политики.
2. Область действия – описывает части или действия организации, находящиеся под влиянием политики.
3. Цели – описание назначения политики.
4. Принципы – описание правил, касающихся действий и решений для достижения целей. В некоторых случаях может быть полезным определить ключевые процессы, связанные с предметом политики, и затем – правила выполнения процессов.
5. Сферы ответственности – кто отвечает за действия по выполнению требований политики. В некоторых случаях этот пункт может содержать описание организационных соглашений, а также сферы ответственности лиц с определенными ролями.
6. Ключевые результаты – описание результатов, получаемых предприятием, если цели достигнуты.
7. Связанные политики – описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.
Выходные данные: Задокументировання политика СУИБ, утвержденная руководством.
3. Проведение анализа требований к ИБ
Цель: Определить требования, которым должна соответствовать СУИБ, определить активы и получить данные по текущему состоянию ИБ в рамках области действия СУИБ.
Информация, собранная в процессе анализа ИБ, должна:
– стать основной для управления;
– определять и документировать условия для внедрения СУИБ;
– обеспечивать четкое и обоснованное понимание возможностей организации;