Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

– специального оборудования, используемого для размещения аппаратного обеспечения ИКТ или данных, применяемых в СУИБ.

Выходные данные:

– описание физических границ СМИБ с обоснованием для исключения каких-либо физических границ, находящихся под управлением организации, из области действия СМИБ;

– описание организации и ее географических характеристик, относящихся к области действия СМИБ.

2.4. Объединение всех областей действия и границ СУИБ

Исходные данные:

– выходные данные 1.2 – описание предварительной области действия СУИБ;

– выходные данные 2.1 – определение организационной области действия и границ;

– выходные данные 2.2 – определение области действия и границ ИКТ;

– выходные данные 2.3 – определение физической области действия и границ.

Рекомендации: Свести все исходные данные в один документ.

Выходные данные: Документ, описывающий область действия и границы СУИБ, должен содержать следующую информацию:

– ключевые характеристики организации (функция, структура, активы и область действия и границы ответственности для каждого актива);

– процессы в организации, находящиеся в области действия СУИБ;

– предварительный перечень активов, находящихся в области действия СУИБ;

– конфигурация оборудования и сетей, находящихся в области действия СУИБ;

– схемы объектов, определяющие физические границы СУИБ;

– описание ролей и сфер ответственности в рамках СУИБ и их связи со структурой организации;

– описание и обоснование исключений каких-либо элементов из области действия СУИБ.

2.5. Разработка политики СУИБ и получение одобрения руководства

Исходные данные:

– выходные данные 2.4 – документированная область действия и границы СУИБ;

– выходные данные 1.2 – документированные цели внедрения СУИБ;

– выходные данные 1.3 – описание случая применения и проект плана СУИБ.

Рекомендации: Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику ИБ и политику СУИБ. В свою очередь, политика ИБ может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам ИБ.

Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика ИБ подкрепляется политиками, касающимися контроля доступа, политики чистого рабочего стола и экрана, использования сетевых служб и криптографического контроля. В некоторых случаях возможно включение дополнительных уровней политики.

Согласно стандарту ISO/IEC 27001 требуется, чтобы организации имели политику СУИБ и политику ИБ. Согласно стандарту ISO/IEC 27035 требуется, чтобы организации имели политику управления инцидентами ИБ.

Эти политики могут разрабатываться как равноправные политики – политика СУИБ может подчиняться политике ИБ или наоборот. В то же время политика управления инцидентами ИБ является составной частью политики СУИБ.

Содержание политики основано на контексте, в котором работает организация.

При разработке любой политики нужно учитывать следующие составляющие:

– цели и задачи;

– стратегии для достижения целей;

– структуру и процессы организации;

– требования политик более высокого уровня.

Любая политика содержит следующие разделы:

– введение;

– область действия;

– цели, принципы;

– сферы ответственности;

– ключевые результаты;

– связанные политики.

Краткое содержание политики:

1. Введение – краткое объяснение предмета политики.

2. Область действия – описывает части или действия организации, находящиеся под влиянием политики.

3. Цели – описание назначения политики.

4. Принципы – описание правил, касающихся действий и решений для достижения целей. В некоторых случаях может быть полезным определить ключевые процессы, связанные с предметом политики, и затем – правила выполнения процессов.

5. Сферы ответственности – кто отвечает за действия по выполнению требований политики. В некоторых случаях этот пункт может содержать описание организационных соглашений, а также сферы ответственности лиц с определенными ролями.

6. Ключевые результаты – описание результатов, получаемых предприятием, если цели достигнуты.

7. Связанные политики – описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.

Выходные данные: Задокументировання политика СУИБ, утвержденная руководством.

Цель: Определить требования, которым должна соответствовать СУИБ, определить активы и получить данные по текущему состоянию ИБ в рамках области действия СУИБ.

Информация, собранная в процессе анализа ИБ, должна: