Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

— определить недостатки в управлении путем сравнения существующих средств управления с определенными требованиями к управлению;

— определить и задокументировать текущее состояние организации.

Выходные данные: Документ, описывающий состояние ИБ в организации и обнаруженные уязвимости.

Цель: Определить методологию оценки риска, определить, проанализировать и оценить риски ИБ, чтобы выбрать варианты их обработки и средства ИБ.

Проведение оценки и планирование обработки рисков определяют следующие процессы:

1) проведение оценки рисков;

2) выбор средств ИБ;

3) получение санкции руководства на внедрение и использование СУИБ.

4.1. Проведение оценки рисков

Исходные данные:

— выходные данные раздела 2 — область действия и политика СУИБ;

— выходные данные раздела 3 — состояние ИБ и информационные активы;

— ISO/IEC 27005 — управление рисками ИБ.

Рекомендации: Оценка рисков состоит из следующих мероприятий:

— идентификация рисков;

— измерение рисков;

— оценивание рисков.

При оценке рисков необходимо определить:

— угрозы и их источники;

— меры защиты;

— уязвимости;

— последствия нарушений ИБ.

При оценке риска нужно также осуществить:

— оценку уровня риска;

— оценку влияния инцидента на организацию;

— сравнение уровня риска с критериями оценки и приемлемости.

Выходные данные:

— описание методологий оценки рисков;

— результаты оценки рисков.

4.2. Выбор средств ИБ

Исходные данные:

— выходные данные 4.1 — результаты оценки риска;

— ISO/IEC 27002 — правила СУИБ;

— ISO/IEC 27005 — управление рисками ИБ;

— ISO/IEC 27035 — управление инцидентами ИБ.

Рекомендации: Важно продемонстрировать, как выбранные меры и средства защиты могут снизить риск и вероятность возникновения инцидента. В случае снижения риска установление соотношения между каждым риском (вероятным инцидентом) и выбранными средствами является полезным для разработки СУИБ.

Разработка плана обработки инцидентов

Цель плана обработки инцидентов ИБ — обеспечить подробную документацию, описывающую процессы и процедуры обработки событий, инцидентов и уязвимостей ИБ и их взаимодействия. План обработки инцидентов ИБ приводится в действие при обнаружении события ИБ или сообщении об уязвимости ИБ.

Каждая организация должна использовать план в качестве руководства для:

— реагирования на события ИБ;

— определения того, становятся ли события ИБ инцидентами;

— управления инцидентами ИБ до их разрешения;

— реагирования на уязвимости ИБ;

— идентификации полученных уроков при обработке инцидентов, а также необходимых улучшений СУИБ;

— реализации улучшений СУИБ.

Выходные данные:

— перечень выбранных мер и средств защиты;

— планы обработки рисков и инцидентов.

4.3. Получение санкции руководства на внедрение и использование СУИБ

Исходные данные:

— выходные данные 1.4 — утвержденный начальный проект СУИБ;

— выходные данные раздела 2 — область действия и политика СУИБ;

— выходные данные 4.1 — результаты оценки риска;

— выходные данные 4.2 — планы обработки рисков и инцидентов.

Рекомендации: Необходимо получить одобрение высшего руководства для принятия решения о принятии остаточных рисков, а также санкцию на фактическое использование СУИБ. Эти решения должны основываться на оценке рисков и вероятности их возникновения в результате внедрения СУИБ, в сравнении с рисками, возникающими в случае, когда СУИБ не применияется.

Выходные данные:

— письменное одобрение руководством внедрения СУИБ;

— утверждение руководством планов обработки рисков и инцидентов;

— положение о применимости, включающее выбранные меры и средства защиты.

Цель: Составить конечный план внедрения СУИБ путем разработки системы безопасности организации на основе выбранных вариантов обработки риска, а также требований, касающихся записей и документов и разработки средств управления, объединяющих меры безопасности ИКТ, физические и организационные процессы и разработку специальных требований для СУИБ.

При разработке СУИБ следует принять во внимание следующие аспекты:

— безопасность организации;

— безопасность ИКТ;

— безопасность физических объектов;

— особые требования к СУИБ.

Безопасность организации охватывает административные аспекты ИБ, включая ответственность за обработку риска.

Безопасность ИКТ охватывает аспекты ИБ, связанные с ответственностью за снижение рисков при выполнении операций с ИКТ.