Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Безопасность физических объектов охватывает аспекты ИБ, связанные, в частности, с ответственностью, возникающей при проработке физического окружения, например, зданий и их инфраструктуры, за снижение риска.

Особые требования к СУИБ охватывают аспекты соответствии СУИБ требованиям ISO/IEC 27001 в отличие от предыдущих аспектов.

Разработку СУИБ определяют следующие процессы:

1) разработка системы ИБ организации;

2) разработка системы ИБ ИКТ и физических объектов;

3) создание условий надежного функционирования СУИБ;

4) разработка окончательного плана проекта СУИБ.

5.1. Разработка системы ИБ

Разработку системы ИБ обеспечивают следующие разработки:

— конечной структуры организации для ИБ;

— основы для документирования СУИБ;

— политики ИБ;

— стандартов и процедур обеспечения ИБ.

5.1.1. Разработка конечной структуры организации для ИБ

Необходимо сопоставить функции, роли и сферы ответственности в организации, связанные с ИБ, с обработкой рисков.

Исходные данные:

— выходные данные 1.1.2 — таблица ролей и сфер ответственности;

— выходные данные 2.3 — область действия и границы СУИБ.

— выходные данные 2.4 — политика СУИБ;

— выходные данные 3.1 — требования к ИБ для процесса СУИБ;

— выходные данные 3.2 — активы в рамках области действия СУИБ;

— выходные данные 3.3 — результаты оценки ИБ;

— выходные данные 4.1 — результаты оценки рисков;

— выходные данные 4.2 — планы обработки рисков и инцидентов;

— ISO/IEC 27002 — правила СУИБ;

— ISO/IEC 27035 — управление инцидентами ИБ.

Рекомендации: При разработке структуры организации и процессов для внутренних операций СУИБ следует попытаться создать их и обьединить с уже существующими, если это практически применимо.

Согласно стандарта ISO/IEC 27035, в первую очередь, необходимо создать группу технической поддержки, чтобы обеспечить поддержку всех аспектов информационных технологий и связанной с ними обработки информации. Как только приходит сообщение о событии ИБ, группа поддержки обрабатывает его в фазе обнаружении и оповещения.

Во вторую очередь, необходимо создать в организации специальную группу реагирования на инциденты ИБ (ГРИИБ). Целью ее создания является обеспечение организации соответствующим персоналом для оценки, реагирования иа инциденты ИБ и извлечения уроков из них, а также необходимой координации всех заинтересованных сторон и процесса обмена информацией.

Кроме того, организация обеспечить взаимодействие с внутренними подразделениями и внешними организациями, которые имеют отношение к управлению событиями, инцидентами и уязвимостями ИБ в организации.

Важно определить, какой орган в схеме обеспечения политики управления инцидентами ИБ руководитель ГРИИБ оповещает о серьезных инцидентах ИБ. Процедуры общения со СМИ и ответственность за это общение также должны быть согласованы с высшим руководством. Эти процедуры должны определить представителя организации по работе со СМИ и его взаимодействие с ГРИИБ.

Выходные данные: Документ, описывающий структуру организации, роли и сферы ответственности.

5.1.2. Разработка основы для документирования СУИБ

Необходимо проконтролировать записи и документы в системе СУИБ путем определения основы, которая позволит выполнить требования по текущему контролю записей и документов в системе СУИБ.

Исходные данные:

— выходные данные 1.3 — первоначально утвержденный проект СУИБ;

— выходные данные 2.4 — область действия и границы СУИБ;

— выходные данные 2.5 — политика СУИБ;

— выходные данные 5.1.1 — структура организации, роли и сферы ответственности;

— ISO/IЕС 27002 — правила СУИБ.

Рекомендации: Документация по СУИБ должна включать записи решений руководства, обеспечивать возможность отслеживания действий для принятия решений и разработки политики руководством и воспроизводимость записанных результатов.

Необходимо осуществлять управление документами СУИБ и сделать их доступными персоналу. Эти действия включают:

— учреждение административной процедуры управления документами СУИБ;

— подтверждение соответствия формата документов перед изданием;

— обеспечение определения изменений и текущего состояния редакций документов;

— защита и контроль документов как информационных активов организации.

Также требуется сохранять записи состояния внедрения системы для всей фазы «PDCA», а также записи об инцидентах и событиях ИБ, записи об обучении, навыках, опыте и квалификации, внутреннем аудите СУИБ, корректирующих и предупреждающих действиях и организационные записи.

Для контроля записей необходимо выполнить следующие задачи:

— документировать меры и средства контроля и управления, требуемые для идентификации, хранения, защиты, поиска и удаления данных, и документировать продолжительность хранения;