Читаем Обеспечение информационной безопасности бизнеса полностью

Защитные меры (меры контроля рисков информационной безопасности, рисков бизнеса в информатике), использование которых планируется обосновать результатами оценки рисков, подлежат в последующем отражению в так называемом «Плане обработки рисков». Наряду с предполагаемыми к использованию защитными мерами в плане обработки рисков должны быть зафиксированы стратегии, предполагаемые к реализации организацией в рамках реагирования на выявленные недопустимые риски. Такая стратегия наряду с использованием защитных мер может включать решения по переносу рисков (на клиентов, контрагентов и т. д.), уходу от рисков (прекращение рисковых операций и т. д.) или принятию рисков (ничего не предпринимается).

В случае, если организация в последующем планирует осуществление формального аудита СМИБ или иные подобные шаги, имеющие цель декларирование следования лучшим практикам и международным стандартам в области обеспечения информационной безопасности, результаты этапа «планирование СМИБ» должны включать формальный документ «Формулировка (ведомость) применимости». Документ «Формулировка (ведомость) применимости» (оригинальное его наименование Statement of Applicability) имеет преимущественно единственное предназначение: показать, какие требования из каталога мер контроля (защитных мер) стандарта СМИБ реализованы в сфере действия стандартной СМИБ, а какие нет и почему. Потребителями подобных сведений наряду с внешними аудиторами могут быть и лица высшего руководства организации (органа корпоративного управления информационной безопасностью организации, кураторы ИБ). В целом же для практических задач это абсолютно бесполезный документ, который может быть и вредным, если не имеет процедур поддержки его в актуальном состоянии. В этом случае он может ввести в заблуждение лиц высшего руководства организации в случае попытки использования этого документа в своих целях по истечении продолжительного периода времени.

Выработанные на этапе планирования решения должны составить основу основным работам по внедрению/совершенствованию операционной деятельности организации в сфере обеспечения информационной безопасности (естественно, что это касается сферы действия СМИБ). В общем случае это может включать следующие 7 шагов, представленных на рис. 39, выполнение которых уже не предполагает строгую последовательную реализацию, когда последующий шаг не может быть выполнен, так как потребляет (использует) результаты предыдущего (см. шаги этапа «Планирование СМИБ»). Названия документов, представленных на рис. 39, являются примерными.

Отдельные шаги реализации СМИБ могут быть организованы как целевые (профильные) процессы деятельности, инициируемые и завершаемые по принятым для них критериям (по времени или событию), имеющие собственные самодостаточные регламентирующие нормы в организации, включая организационную и ресурсную поддержку. Это может быть также следствием решений организации в результате реализации требований нескольких стандартизированных систем менеджмента (не только стандартной СМИБ, но и иных стандартизированных менеджментов). Как отмечалось ранее, практически все международные стандарты на системы менеджмента методологически совместимы, что позволяет выделять и поддерживать унифицированные задачи, например, в части работы с персоналом организации, регистрации и сбора индентов и т. п. Процедуры для реализации и управления системой менеджмента информационной безопасности могут быть организованы как система (дерево) процессов (в нотации процессного подхода). При принятии организацией решений о выборе нотации процессного подхода целесообразно обратиться к рекомендациям поддерживающего стандартные требования к СМИБ документа (см. рис. 30): ISO/IEC 27003 «Руководство по реализации СМИБ» [14]. Положения данного международного стандарта основываются на методологии процессного подхода, включая спецификацию всех формальных атрибутов возможных процессов, вытекающих из стандарта требований к СМИБ [11].

Вопросы реализации СМИБ на практике неотделимы от соответствующих процедур контроля, организованных в отдельном блоке требований СМИБ, что часто вводит в заблуждение пользователей стандарта. Шаги задач контроля и проверки иллюстрирует рис. 40. Названия документов, представленных на рис. 40, являются примерными.

Формально в содержание работ контроля входят следующие задачи:

— осуществление мониторинга и проверки процедур и других средств контроля рисков (защитных мер) для быстрого обнаружения ошибок в результатах обработки, быстрой идентификации нарушений безопасности и инцидентов, предоставления руководству информации контроля, содействия обнаружению событий безопасности и предотвращения таким образом инцидентом безопасности посредством использования соответствующей системы признаков, определения, были ли эффективными действия, предпринимаемые для ликвидации нарушения безопасности;