Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

– определить недостатки в управлении путем сравнения существующих средств управления с определенными требованиями к управлению;

– определить и задокументировать текущее состояние организации.

Выходные данные: Документ, описывающий состояние ИБ в организации и обнаруженные уязвимости.

Цель: Определить методологию оценки риска, определить, проанализировать и оценить риски ИБ, чтобы выбрать варианты их обработки и средства ИБ.

Проведение оценки и планирование обработки рисков определяют следующие процессы:

1) проведение оценки рисков;

2) выбор средств ИБ;

3) получение санкции руководства на внедрение и использование СУИБ.

4.1. Проведение оценки рисков

Исходные данные:

– выходные данные раздела 2 – область действия и политика СУИБ;

– выходные данные раздела 3 – состояние ИБ и информационные активы;

– ISO/IEC 27005 – управление рисками ИБ.

Рекомендации: Оценка рисков состоит из следующих мероприятий:

– идентификация рисков;

– измерение рисков;

– оценивание рисков.

При оценке рисков необходимо определить:

– угрозы и их источники;

– меры защиты;

– уязвимости;

– последствия нарушений ИБ.

При оценке риска нужно также осуществить:

– оценку уровня риска;

– оценку влияния инцидента на организацию;

– сравнение уровня риска с критериями оценки и приемлемости.

Выходные данные:

– описание методологий оценки рисков;

– результаты оценки рисков.

4.2. Выбор средств ИБ

Исходные данные:

– выходные данные 4.1 – результаты оценки риска;

– ISO/IEC 27002 – правила СУИБ;

– ISO/IEC 27005 – управление рисками ИБ;

– ISO/IEC 27035 – управление инцидентами ИБ.

Рекомендации: Важно продемонстрировать, как выбранные меры и средства защиты могут снизить риск и вероятность возникновения инцидента. В случае снижения риска установление соотношения между каждым риском (вероятным инцидентом) и выбранными средствами является полезным для разработки СУИБ.

Разработка плана обработки инцидентов

Цель плана обработки инцидентов ИБ – обеспечить подробную документацию, описывающую процессы и процедуры обработки событий, инцидентов и уязвимостей ИБ и их взаимодействия. План обработки инцидентов ИБ приводится в действие при обнаружении события ИБ или сообщении об уязвимости ИБ.

Каждая организация должна использовать план в качестве руководства для:

– реагирования на события ИБ;

– определения того, становятся ли события ИБ инцидентами;

– управления инцидентами ИБ до их разрешения;

– реагирования на уязвимости ИБ;

– идентификации полученных уроков при обработке инцидентов, а также необходимых улучшений СУИБ;

– реализации улучшений СУИБ.

Выходные данные:

– перечень выбранных мер и средств защиты;

– планы обработки рисков и инцидентов.

4.3. Получение санкции руководства на внедрение и использование СУИБ

Исходные данные:

– выходные данные 1.4 – утвержденный начальный проект СУИБ;

– выходные данные раздела 2 – область действия и политика СУИБ;

– выходные данные 4.1 – результаты оценки риска;

– выходные данные 4.2 – планы обработки рисков и инцидентов.

Рекомендации: Необходимо получить одобрение высшего руководства для принятия решения о принятии остаточных рисков, а также санкцию на фактическое использование СУИБ. Эти решения должны основываться на оценке рисков и вероятности их возникновения в результате внедрения СУИБ, в сравнении с рисками, возникающими в случае, когда СУИБ не применияется.

Выходные данные:

– письменное одобрение руководством внедрения СУИБ;

– утверждение руководством планов обработки рисков и инцидентов;

– положение о применимости, включающее выбранные меры и средства защиты.

Цель: Составить конечный план внедрения СУИБ путем разработки системы безопасности организации на основе выбранных вариантов обработки риска, а также требований, касающихся записей и документов и разработки средств управления, объединяющих меры безопасности ИКТ, физические и организационные процессы и разработку специальных требований для СУИБ.

При разработке СУИБ следует принять во внимание следующие аспекты:

– безопасность организации;

– безопасность ИКТ;

– безопасность физических объектов;

– особые требования к СУИБ.

Безопасность организации охватывает административные аспекты ИБ, включая ответственность за обработку риска.

Безопасность ИКТ охватывает аспекты ИБ, связанные с ответственностью за снижение рисков при выполнении операций с ИКТ.