— выходные данные 2.4 — политика СУИБ;
— выходные данные 3.1 — требования к ИБ для процесса СУИБ;
— выходные данные 3.2 — активы в рамках области действия СУИБ;
— выходные данные 3.3 — результаты оценки ИБ;
— выходные данные 4.1 — результаты оценки рисков;
— выходные данные 4.2 — планы обработки рисков и инцидентов;
— ISO/IEC 27002 — правила СУИБ;
— ISO/IEC 27035 — управление инцидентами ИБ.
Рекомендации: При разработке структуры организации и процессов для внутренних операций СУИБ следует попытаться создать их и обьединить с уже существующими, если это практически применимо.
Согласно стандарта ISO/IEC 27035, в первую очередь, необходимо создать группу технической поддержки, чтобы обеспечить поддержку всех аспектов информационных технологий и связанной с ними обработки информации. Как только приходит сообщение о событии ИБ, группа поддержки обрабатывает его в фазе обнаружении и оповещения.
Во вторую очередь, необходимо создать в организации специальную группу реагирования на инциденты ИБ (ГРИИБ). Целью ее создания является обеспечение организации соответствующим персоналом для оценки, реагирования иа инциденты ИБ и извлечения уроков из них, а также необходимой координации всех заинтересованных сторон и процесса обмена информацией.
Кроме того, организация обеспечить взаимодействие с внутренними подразделениями и внешними организациями, которые имеют отношение к управлению событиями, инцидентами и уязвимостями ИБ в организации.
Важно определить, какой орган в схеме обеспечения политики управления инцидентами ИБ руководитель ГРИИБ оповещает о серьезных инцидентах ИБ. Процедуры общения со СМИ и ответственность за это общение также должны быть согласованы с высшим руководством. Эти процедуры должны определить представителя организации по работе со СМИ и его взаимодействие с ГРИИБ.
Выходные данные: Документ, описывающий структуру организации, роли и сферы ответственности.
5.1.2. Разработка основы для документирования СУИБ
Необходимо проконтролировать записи и документы в системе СУИБ путем определения основы, которая позволит выполнить требования по текущему контролю записей и документов в системе СУИБ.
Исходные данные:
— выходные данные 1.3 — первоначально утвержденный проект СУИБ;
— выходные данные 2.4 — область действия и границы СУИБ;
— выходные данные 2.5 — политика СУИБ;
— выходные данные 5.1.1 — структура организации, роли и сферы ответственности;
— ISO/IЕС 27002 — правила СУИБ.
Рекомендации: Документация по СУИБ должна включать записи решений руководства, обеспечивать возможность отслеживания действий для принятия решений и разработки политики руководством и воспроизводимость записанных результатов.
Необходимо осуществлять управление документами СУИБ и сделать их доступными персоналу. Эти действия включают:
— учреждение административной процедуры управления документами СУИБ;
— подтверждение соответствия формата документов перед изданием;
— обеспечение определения изменений и текущего состояния редакций документов;
— защита и контроль документов как информационных активов организации.
Также требуется сохранять записи состояния внедрения системы для всей фазы «PDCA», а также записи об инцидентах и событиях ИБ, записи об обучении, навыках, опыте и квалификации, внутреннем аудите СУИБ, корректирующих и предупреждающих действиях и организационные записи.
Для контроля записей необходимо выполнить следующие задачи:
— документировать меры и средства контроля и управления, требуемые для идентификации, хранения, защиты, поиска и удаления данных, и документировать продолжительность хранения;
— определить, что и в какой степени должно записываться в процессах управления организацией;
— если соответствующим законодательством определен какой-либо период хранения, он должен быть установлен в соответствии с этими требованиями.
Выходные данные:
— документ, описывающий требования к записям СУИБ и контролю документации;
— хранилища и шаблоны требуемых записей СУИБ.
5.1.3. Разработка политики ИБ
Необходимо документировать стратегическую позицию руководства и администрации, связанную с целями ИБ в отношении использования СУИБ.
Исходные данные:
— выходные данные 1.1 — приоритеты организации для разработки СУИБ;
— выходные данные 1.3 — первоначально утвержденный проект СУИБ;
— выходные данные 2.4 — область действия и границы СУИБ;
— выходные данные 2.5 — политика СУИБ;
— выходные данные 3.1 — требования к ИБ для процесса СУИБ;
— выходные данные 3.2 — активы в рамках области действия СУИБ;
— выходные данные 3.3 — результаты оценки ИБ;
— выходные данные 4.2 — планы обработки рисков и инцидентов;
— выходные данные 4.3 — положение о применимости;
— выходные данные 5.1.1 — структура организации для ИБ;
— выходные данные 5.1.2 — основы документирования СУИБ;
— ISO/IЕС 27002 — правила СУИБ.
Рекомендации: Политика ИБ документирует стратегическую позицию организации в отношении ИБ во всей организации. Объем и структура политики ИБ должны подкреплять документы, которые используются на следующем этапе процесса для введения СУИБ.
Для больших организаций со сложной структурой (с широким спектром различных областей деятельности) может возникнуть необходимость создания общей политики и множества политик более низкого уровня, адаптированных к конкретным областям деятельности.
Предлагаемая политика (с номером версии и датой) должна быть подвергнута проверке и утверждена в организации руководством. Затем она доводится до сведения каждого работника организации надлежащим способом, чтобы стать доступной и понятной для читателей.
Выходные данные: Задокументированная и утвержденная руководством политика ИБ.
5.1.4. Разработка стандартов и процедур обеспечения ИБ
Исходные данные:
— выходные данные 2.4 — область действия и границы СУИБ;
— выходные данные 2.5 — политика СУИБ;
— выходные данные 4.2 — план обработки рисков,
— выходные данные 4.3 — положение о применимости;
— выходные данные 5.1.1 — структура организации для ИБ;
— выходные данные 5.1.2 — основы документирования СУИБ;
— выходные данные 5.1.3 — политики ИБ;
— ISO/IEC 27002 — правила СУИБ.
Рекомендации: В процессе разработки стандартов и процедур должны участвовать представители разных частей организации, попадающих в область действия системы СУИБ. Участники процесса должны иметь полномочия и являться представителями организации.
Стандарты и процедуры ИБ должны впоследствии использоваться в качестве основы для разработки подробных технических и оперативных процессов.
Документация должна предоставляться каждому сотруднику организации, попадающему в область действия СУИБ. Стандарты и процедуры по ИБ должны применяться ко всей организации или точно указывать, какие роли, системы и подразделения попадают под их действие.
Процесс редактирования и проверки должен быть определен на ранней стадии. Необходимо создать стратегию и технологию распространения информации об изменениях политики ИБ.
Выходные данные:
— стандарты ИБ:
— процедуры обеспечения ИБ для получения стандартов ИБ.
5.2. Разработка системы ИБ ИКТ и физических объектов
Исходные данные:
— выходные данные 2.5 — область действия и границы СУИБ;
— выходные данные 2.6 — политика СУИБ;
— выходные данные 3.2 — требования к ИБ для процесса СУИБ;
— выходные данные 3.3 — активы в рамках области действия СУИБ;
— выходные данные 3.4 — результаты оценки ИБ;
— выходные данные 4.3 — положение о применимости;
— ISO/IEC 27002 — правила СУИБ.
Рекомендации:
Необходимо документировать следующую информацию:
— имя лица, ответственного за внедрение мер защиты;
— приоритет внедряемых мер защиты;
— задачи или действия по внедрению;
— установление времени, в течение которого должно быть внедрено средство защиты;
— лицо, перед которым нужно отчитываться о внедрении мер защиты по его завершению;
— ресурсы для внедрения (рабочая сила, требуемое пространство, затраты).
Сферы ответственности за процесс первоначального внедрения обычно включают:
— задание целей управления с описанием предполагаемого планируемого состояния;
— распределение ресурсов (объем работ, финансовые ресурсы);
— реальное заданное время внедрения мер защиты;
— варианты объединения с системами безопасности ИКТ, физических объектов и организации.
Сферы ответственности за процесс фактического внедрения включают:
— разработку каждого из средств защиты для области безопасности ИКТ, физических объектов и организации на оперативном уровне рабочего места;
— конкретизацию каждой меры защиты в соответствии с согласованным проектом;
— предоставление процедур и информации для органов управления и учебных курсов, способствующих информированию в сфере безопасности;
— оказание помощи и внедрение средств управления на рабочем месте.
ИБ должна быть объединена в процедуры и процессы, применяемые во всей организации. Если для части организации или третьей стороны окажется трудным внедрение этих процедур и процессов, соответствующие стороны должны сообщить об этом немедленно, чтобы согласовать решение проблемы. Решение по подобным вопросам включает изменение процедур или процессов, перераспределение должностей и сфер ответственности и адаптацию технических процедур.
Результаты внедрения средств ИБ должны быть следующими:
— план внедрения, в котором подробно описывается внедрение средств защиты, например, график, структура группы по внедрению и т. д.;
— записи и документация по результатам внедрения.