Для получения подробных требований к ИБ для СУИБ следует рассмотреть следующие вопросы:
— предварительное определение важных информационных активов и текущего состояния защиты информации;
— определение представлений организации и их влияния на будущие требования к ИБ;
— анализ видов обработки информации, системного ПО, коммуникационных сетей, определения действий и ресурсов для информационных технологий и т. д.;
— определение всех обязательных требований (законодательства, договоров, стандартов и соглашений с клиентами, условий страхования и т. д.);
— определение уровня информированности в области ИБ и определение требований к обучению в отношении каждого подразделения.
Выходные данные:
— определение основных процессов, функций, объектов, информационных систем и коммуникационных сетей;
— информационные активы организации;
— классификация важнейших процессов (активов);
— требования к ИБ, сформулированные на основе обязательных требований;
— перечень известных уязвимостей, которые должны быть устранены в результате выполнения требований к ИБ;
— требования к обучению и образованию в области ИБ в организации.
3.2. Определение активов в рамках СУИБ
Исходные данные:
— выходные данные 2.4 — область действия и границы СУИБ;
— выходные данные 2.5 — политика СУИБ;
— выходные данные 3.1 — требования к ИБ для процесса СУИБ.
Рекомендации: Для определения активов в рамках области действия СУИБ необходимо указать следующую информацию:
— уникальное наименование процесса;
— описание процесса и связанные с ним действия (создание, хранение, передача, удаление);
— важность процесса для организации (критический, важный, вспомогательный);
— владелец процесса (подразделение организации);
— процессы, обеспечивающие исходные и выходные данные этого процесса;
— приложения ИТ, поддерживающие процесс;
— классификация информации (конфиденциальность, целостность, доступность и другие важные для организации свойства).
Выходные данные:
— определенные информационные активы основных процессов в организации в рамках области действия СУИБ;
— классификация важнейших процессов и информационных активов с точки зрения ИБ.
3.3. Проведение оценки ИБ
Необходимо провести оценку ИБ путем сравнения текущего состояния ИБ в организации с целями организации.
Исходные данные:
— выходные данные 2.4 — область действия и границы СУИБ;
— выходные данные 2.5 — политика СУИБ;
— выходные данные 3.1 — требований к ИБ для процесса СУИБ;
— выходные данные 3.2 — активы в рамках области действия СУИБ.
Рекомендации: При оценке ИБ анализируется текущая ситуация в организации путем использования следующей информации и определяется текущее состояние ИБ и недостатки в документации:
— изучение предпосылок на основе важнейших процессов;
— классификация информационных активов;
— требования организации к ИБ.
Для успешной оценки ИБ важными являются следующие действия:
— перечисление соответствующих стандартов;
— определение требований к управлению, установленных на основе политики ИБ, обязательных требований, результатов прошедших проверок или оценок рисков;
— использование этих документов для приблизительной оценки существующих требований к уровню ИБ.
Подход к проведению оценки ИБ следующий:
— выбрать важные бизнес-процессы и этапы процессов, касающиеся требований к ИБ;
— составить подробную блок-схему, охватывающую основные процессы, включая инфраструктуру;
— обсудить и проанализировать с ключевыми сотрудниками существующую ситуацию в организации в отношении требований к ИБ;
— определить недостатки в управлении путем сравнения существующих средств управления с определенными требованиями к управлению;
— определить и задокументировать текущее состояние организации.
Выходные данные: Документ, описывающий состояние ИБ в организации и обнаруженные уязвимости.
4. Проведение оценки и планирование обработки рисков
Цель: Определить методологию оценки риска, определить, проанализировать и оценить риски ИБ, чтобы выбрать варианты их обработки и средства ИБ.
Проведение оценки и планирование обработки рисков определяют следующие процессы:
1) проведение оценки рисков;
2) выбор средств ИБ;
3) получение санкции руководства на внедрение и использование СУИБ.
4.1. Проведение оценки рисков
Исходные данные:
— выходные данные раздела 2 — область действия и политика СУИБ;
— выходные данные раздела 3 — состояние ИБ и информационные активы;
— ISO/IEC 27005 — управление рисками ИБ.
Рекомендации: Оценка рисков состоит из следующих мероприятий:
— идентификация рисков;
— измерение рисков;
— оценивание рисков.
При оценке рисков необходимо определить:
— угрозы и их источники;
— меры защиты;
— уязвимости;
— последствия нарушений ИБ.
При оценке риска нужно также осуществить:
— оценку уровня риска;
— оценку влияния инцидента на организацию;
— сравнение уровня риска с критериями оценки и приемлемости.
Выходные данные:
— описание методологий оценки рисков;
— результаты оценки рисков.
4.2. Выбор средств ИБ
Исходные данные:
— выходные данные 4.1 — результаты оценки риска;
— ISO/IEC 27002 — правила СУИБ;
— ISO/IEC 27005 — управление рисками ИБ;
— ISO/IEC 27035 — управление инцидентами ИБ.
Рекомендации: Важно продемонстрировать, как выбранные меры и средства защиты могут снизить риск и вероятность возникновения инцидента. В случае снижения риска установление соотношения между каждым риском (вероятным инцидентом) и выбранными средствами является полезным для разработки СУИБ.
Разработка плана обработки инцидентов
Цель плана обработки инцидентов ИБ — обеспечить подробную документацию, описывающую процессы и процедуры обработки событий, инцидентов и уязвимостей ИБ и их взаимодействия. План обработки инцидентов ИБ приводится в действие при обнаружении события ИБ или сообщении об уязвимости ИБ.
Каждая организация должна использовать план в качестве руководства для:
— реагирования на события ИБ;
— определения того, становятся ли события ИБ инцидентами;
— управления инцидентами ИБ до их разрешения;
— реагирования на уязвимости ИБ;
— идентификации полученных уроков при обработке инцидентов, а также необходимых улучшений СУИБ;
— реализации улучшений СУИБ.
Выходные данные:
— перечень выбранных мер и средств защиты;
— планы обработки рисков и инцидентов.
4.3. Получение санкции руководства на внедрение и использование СУИБ
Исходные данные:
— выходные данные 1.4 — утвержденный начальный проект СУИБ;
— выходные данные раздела 2 — область действия и политика СУИБ;
— выходные данные 4.1 — результаты оценки риска;
— выходные данные 4.2 — планы обработки рисков и инцидентов.
Рекомендации: Необходимо получить одобрение высшего руководства для принятия решения о принятии остаточных рисков, а также санкцию на фактическое использование СУИБ. Эти решения должны основываться на оценке рисков и вероятности их возникновения в результате внедрения СУИБ, в сравнении с рисками, возникающими в случае, когда СУИБ не применияется.
Выходные данные:
— письменное одобрение руководством внедрения СУИБ;
— утверждение руководством планов обработки рисков и инцидентов;
— положение о применимости, включающее выбранные меры и средства защиты.
5. Разработка СУИБ
Цель: Составить конечный план внедрения СУИБ путем разработки системы безопасности организации на основе выбранных вариантов обработки риска, а также требований, касающихся записей и документов и разработки средств управления, объединяющих меры безопасности ИКТ, физические и организационные процессы и разработку специальных требований для СУИБ.
При разработке СУИБ следует принять во внимание следующие аспекты:
— безопасность организации;
— безопасность ИКТ;
— безопасность физических объектов;
— особые требования к СУИБ.
Безопасность организации охватывает административные аспекты ИБ, включая ответственность за обработку риска.
Безопасность ИКТ охватывает аспекты ИБ, связанные с ответственностью за снижение рисков при выполнении операций с ИКТ.
Безопасность физических объектов охватывает аспекты ИБ, связанные, в частности, с ответственностью, возникающей при проработке физического окружения, например, зданий и их инфраструктуры, за снижение риска.
Особые требования к СУИБ охватывают аспекты соответствии СУИБ требованиям ISO/IEC 27001 в отличие от предыдущих аспектов.
Разработку СУИБ определяют следующие процессы:
1) разработка системы ИБ организации;
2) разработка системы ИБ ИКТ и физических объектов;
3) создание условий надежного функционирования СУИБ;
4) разработка окончательного плана проекта СУИБ.
5.1. Разработка системы ИБ
Разработку системы ИБ обеспечивают следующие разработки:
— конечной структуры организации для ИБ;
— основы для документирования СУИБ;
— политики ИБ;
— стандартов и процедур обеспечения ИБ.
5.1.1. Разработка конечной структуры организации для ИБ
Необходимо сопоставить функции, роли и сферы ответственности в организации, связанные с ИБ, с обработкой рисков.
Исходные данные:
— выходные данные 1.1.2 — таблица ролей и сфер ответственности;
— выходные данные 2.3 — область действия и границы СУИБ.