Страница 39 из 60
– выходные данные 4.3 – положение о применимости;
– выходные данные 5.1.1 – структура организации для ИБ;
– выходные данные 5.1.2 – основы документирования СУИБ;
– ISO/IЕС 27002 – правила СУИБ.
Рекомендации: Политика ИБ документирует стратегическую позицию организации в отношении ИБ во всей организации. Объем и структура политики ИБ должны подкреплять документы, которые используются на следующем этапе процесса для введения СУИБ.
Для больших организаций со сложной структурой (с широким спектром различных областей деятельности) может возникнуть необходимость создания общей политики и множества политик более низкого уровня, адаптированных к конкретным областям деятельности.
Предлагаемая политика (с номером версии и датой) должна быть подвергнута проверке и утверждена в организации руководством. Затем она доводится до сведения каждого работника организации надлежащим способом, чтобы стать доступной и понятной для читателей.
Выходные данные: Задокументированная и утвержденная руководством политика ИБ.
5.1.4. Разработка стандартов и процедур обеспечения ИБ
Исходные данные:
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 4.2 – план обработки рисков,
– выходные данные 4.3 – положение о применимости;
– выходные данные 5.1.1 – структура организации для ИБ;
– выходные данные 5.1.2 – основы документирования СУИБ;
– выходные данные 5.1.3 – политики ИБ;
– ISO/IEC 27002 – правила СУИБ.
Рекомендации: В процессе разработки стандартов и процедур должны участвовать представители разных частей организации, попадающих в область действия системы СУИБ. Участники процесса должны иметь полномочия и являться представителями организации.
Стандарты и процедуры ИБ должны впоследствии использоваться в качестве основы для разработки подробных технических и оперативных процессов.
Документация должна предоставляться каждому сотруднику организации, попадающему в область действия СУИБ. Стандарты и процедуры по ИБ должны применяться ко всей организации или точно указывать, какие роли, системы и подразделения попадают под их действие.
Процесс редактирования и проверки должен быть определен на ранней стадии. Необходимо создать стратегию и технологию распространения информации об изменениях политики ИБ.
Выходные данные:
– стандарты ИБ:
– процедуры обеспечения ИБ для получения стандартов ИБ.
5.2. Разработка системы ИБ ИКТ и физических объектов
Исходные данные:
– выходные данные 2.5 – область действия и границы СУИБ;
– выходные данные 2.6 – политика СУИБ;
– выходные данные 3.2 – требования к ИБ для процесса СУИБ;
– выходные данные 3.3 – активы в рамках области действия СУИБ;
– выходные данные 3.4 – результаты оценки ИБ;
– выходные данные 4.3 – положение о применимости;
– ISO/IEC 27002 – правила СУИБ.
Рекомендации:
Необходимо документировать следующую информацию:
– имя лица, ответственного за внедрение мер защиты;
– приоритет внедряемых мер защиты;
– задачи или действия по внедрению;
– установление времени, в течение которого должно быть внедрено средство защиты;
– лицо, перед которым нужно отчитываться о внедрении мер защиты по его завершению;
– ресурсы для внедрения (рабочая сила, требуемое пространство, затраты).
Сферы ответственности за процесс первоначального внедрения обычно включают:
– задание целей управления с описанием предполагаемого планируемого состояния;
– распределение ресурсов (объем работ, финансовые ресурсы);
– реальное заданное время внедрения мер защиты;
– варианты объединения с системами безопасности ИКТ, физических объектов и организации.
Сферы ответственности за процесс фактического внедрения включают:
– разработку каждого из средств защиты для области безопасности ИКТ, физических объектов и организации на оперативном уровне рабочего места;
– конкретизацию каждой меры защиты в соответствии с согласованным проектом;
– предоставление процедур и информации для органов управления и учебных курсов, способствующих информированию в сфере безопасности;
– оказание помощи и внедрение средств управления на рабочем месте.
ИБ должна быть объединена в процедуры и процессы, применяемые во всей организации. Если для части организации или третьей стороны окажется трудным внедрение этих процедур и процессов, соответствующие стороны должны сообщить об этом немедленно, чтобы согласовать решение проблемы. Решение по подобным вопросам включает изменение процедур или процессов, перераспределение должностей и сфер ответственности и адаптацию технических процедур.
Результаты внедрения средств ИБ должны быть следующими:
– план внедрения, в котором подробно описывается внедрение средств защиты, например, график, структура группы по внедрению и т.д.;
– записи и документация по результатам внедрения.
Выходные данные:
Структурированный подробный план внедрения средств управления, связанных с безопасностью ИКТ и физических обьектов, включает:
– подробное описание;
– сферы ответственности за разработку и внедрение;
– предполагаемые временные шкалы;
– связанные задачи;
– требуемые ресурсы;
– собственность (линии отчетности).
5.3. Создание условий для надежного функционирования СУИБ
Создание условий для надежного функционирования СУИБ предполагает разработку следующих документов:
– план проверок, проводимых руководством;
– программа обучения в области ИБ.
5.3.1. План проверок, проводимых руководством
Необходимо разработать план, обеспечивающий участие руководства и выдачу поручений на проверку работы СУИБ и проводимых улучшений.
Исходные данные:
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 4.3 – положение о применимости;
– выходные данные 5.1.3 – политики ИБ;
– ISO/IEC 27004 – проведение измерений СУИБ.
Рекомендации: Проверка руководством действия по внедрению СУИБ должна начинаться на самых ранних стадиях задания условий для СУИБ и описания случая применения СУИБ и продолжаться вплоть до регулярных проверок операций СУИБ.
Планирование проверок, проводимых руководством, включает установление времени и способа проведения проверок. Чтобы запланировать проверку, необходимо определить, какие должностные лица должны в ней участвовать. Назначенные должностные лица должны быть утверждены руководством и проинформированы об этом как можно раньше
Проверки, проводимые руководством, должны основываться на результатах измерений СУИБ и другой информации, накопленной за время использования СУИБ. Эта информация используется для выполнения действий руководством для определения готовности и эффективности СУИБ.
До проведения проверки руководством необходимо запланировать внутренний аудит. Результаты внутреннего аудита СУИБ являются важными исходными данными для проверок СУИБ, проводимых руководством.
Внутренний аудит СУИБ должен включать проверку того, эффективно ли внедряются и обеспечиваются меры защиты, процессы и процедуры СУИБ и соответствуют ли они:
– требованиям ISO/IEC 27001;
– действующему законодательству и правилам;
– другим требованиям ИБ.
Предварительным условием для проведения проверок СУИБ, проводимых руководством, являются данные его постоянного мониторинга. В процессе мониторинга СУИБ должны документироваться его результаты, которые записываются и сообщаются руководству.
Информация, предоставляемая руководству, может включать следующее:
– отчеты об инцидентах за последний период использования СУИБ;
– отчеты по внедрению СУИБ и обнаруженные несоответствия;