Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

— специального оборудования, используемого для размещения аппаратного обеспечения ИКТ или данных, применяемых в СУИБ.

Выходные данные:

— описание физических границ СМИБ с обоснованием для исключения каких-либо физических границ, находящихся под управлением организации, из области действия СМИБ;

— описание организации и ее географических характеристик, относящихся к области действия СМИБ.

2.4. Объединение всех областей действия и границ СУИБ

Исходные данные:

— выходные данные 1.2 — описание предварительной области действия СУИБ;

— выходные данные 2.1 — определение организационной области действия и границ;

— выходные данные 2.2 — определение области действия и границ ИКТ;

— выходные данные 2.3 — определение физической области действия и границ.

Рекомендации: Свести все исходные данные в один документ.

Выходные данные: Документ, описывающий область действия и границы СУИБ, должен содержать следующую информацию:

— ключевые характеристики организации (функция, структура, активы и область действия и границы ответственности для каждого актива);

— процессы в организации, находящиеся в области действия СУИБ;

— предварительный перечень активов, находящихся в области действия СУИБ;

— конфигурация оборудования и сетей, находящихся в области действия СУИБ;

— схемы объектов, определяющие физические границы СУИБ;

— описание ролей и сфер ответственности в рамках СУИБ и их связи со структурой организации;

— описание и обоснование исключений каких-либо элементов из области действия СУИБ.

2.5. Разработка политики СУИБ и получение одобрения руководства

Исходные данные:

— выходные данные 2.4 — документированная область действия и границы СУИБ;

— выходные данные 1.2 — документированные цели внедрения СУИБ;

— выходные данные 1.3 — описание случая применения и проект плана СУИБ.

Рекомендации: Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику ИБ и политику СУИБ. В свою очередь, политика ИБ может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам ИБ.

Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика ИБ подкрепляется политиками, касающимися контроля доступа, политики чистого рабочего стола и экрана, использования сетевых служб и криптографического контроля. В некоторых случаях возможно включение дополнительных уровней политики.

Согласно стандарту ISO/IEC 27001 требуется, чтобы организации имели политику СУИБ и политику ИБ. Согласно стандарту ISO/IEC 27035 требуется, чтобы организации имели политику управления инцидентами ИБ.

Эти политики могут разрабатываться как равноправные политики — политика СУИБ может подчиняться политике ИБ или наоборот. В то же время политика управления инцидентами ИБ является составной частью политики СУИБ.

Содержание политики основано на контексте, в котором работает организация.

При разработке любой политики нужно учитывать следующие составляющие:

— цели и задачи;

— стратегии для достижения целей;

— структуру и процессы организации;

— требования политик более высокого уровня.

Любая политика содержит следующие разделы:

— введение;

— область действия;

— цели, принципы;

— сферы ответственности;

— ключевые результаты;

— связанные политики.

Краткое содержание политики:

1. Введение — краткое объяснение предмета политики.

2. Область действия — описывает части или действия организации, находящиеся под влиянием политики.

3. Цели — описание назначения политики.

4. Принципы — описание правил, касающихся действий и решений для достижения целей. В некоторых случаях может быть полезным определить ключевые процессы, связанные с предметом политики, и затем — правила выполнения процессов.

5. Сферы ответственности — кто отвечает за действия по выполнению требований политики. В некоторых случаях этот пункт может содержать описание организационных соглашений, а также сферы ответственности лиц с определенными ролями.

6. Ключевые результаты — описание результатов, получаемых предприятием, если цели достигнуты.

7. Связанные политики — описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.

Выходные данные: Задокументировання политика СУИБ, утвержденная руководством.

Цель: Определить требования, которым должна соответствовать СУИБ, определить активы и получить данные по текущему состоянию ИБ в рамках области действия СУИБ.

Информация, собранная в процессе анализа ИБ, должна: