Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Безопасность физических объектов охватывает аспекты ИБ, связанные, в частности, с ответственностью, возникающей при проработке физического окружения, например, зданий и их инфраструктуры, за снижение риска.

Особые требования к СУИБ охватывают аспекты соответствии СУИБ требованиям ISO/IEC 27001 в отличие от предыдущих аспектов.

Разработку СУИБ определяют следующие процессы:

1) разработка системы ИБ организации;

2) разработка системы ИБ ИКТ и физических объектов;

3) создание условий надежного функционирования СУИБ;

4) разработка окончательного плана проекта СУИБ.

5.1. Разработка системы ИБ

Разработку системы ИБ обеспечивают следующие разработки:

– конечной структуры организации для ИБ;

– основы для документирования СУИБ;

– политики ИБ;

– стандартов и процедур обеспечения ИБ.

5.1.1. Разработка конечной структуры организации для ИБ

Необходимо сопоставить функции, роли и сферы ответственности в организации, связанные с ИБ, с обработкой рисков.

Исходные данные:

– выходные данные 1.1.2 – таблица ролей и сфер ответственности;

– выходные данные 2.3 – область действия и границы СУИБ.

– выходные данные 2.4 – политика СУИБ;

– выходные данные 3.1 – требования к ИБ для процесса СУИБ;

– выходные данные 3.2 – активы в рамках области действия СУИБ;

– выходные данные 3.3 – результаты оценки ИБ;

– выходные данные 4.1 – результаты оценки рисков;

– выходные данные 4.2 – планы обработки рисков и инцидентов;

– ISO/IEC 27002 – правила СУИБ;

– ISO/IEC 27035 – управление инцидентами ИБ.

Рекомендации: При разработке структуры организации и процессов для внутренних операций СУИБ следует попытаться создать их и обьединить с уже существующими, если это практически применимо.

Согласно стандарта ISO/IEC 27035, в первую очередь, необходимо создать группу технической поддержки, чтобы обеспечить поддержку всех аспектов информационных технологий и связанной с ними обработки информации. Как только приходит сообщение о событии ИБ, группа поддержки обрабатывает его в фазе обнаружении и оповещения.

Во вторую очередь, необходимо создать в организации специальную группу реагирования на инциденты ИБ (ГРИИБ). Целью ее создания является обеспечение организации соответствующим персоналом для оценки, реагирования иа инциденты ИБ и извлечения уроков из них, а также необходимой координации всех заинтересованных сторон и процесса обмена информацией.

Кроме того, организация обеспечить взаимодействие с внутренними подразделениями и внешними организациями, которые имеют отношение к управлению событиями, инцидентами и уязвимостями ИБ в организации.

Важно определить, какой орган в схеме обеспечения политики управления инцидентами ИБ руководитель ГРИИБ оповещает о серьезных инцидентах ИБ. Процедуры общения со СМИ и ответственность за это общение также должны быть согласованы с высшим руководством. Эти процедуры должны определить представителя организации по работе со СМИ и его взаимодействие с ГРИИБ.

Выходные данные: Документ, описывающий структуру организации, роли и сферы ответственности.

5.1.2. Разработка основы для документирования СУИБ

Необходимо проконтролировать записи и документы в системе СУИБ путем определения основы, которая позволит выполнить требования по текущему контролю записей и документов в системе СУИБ.

Исходные данные:

– выходные данные 1.3 – первоначально утвержденный проект СУИБ;

– выходные данные 2.4 – область действия и границы СУИБ;

– выходные данные 2.5 – политика СУИБ;

– выходные данные 5.1.1 – структура организации, роли и сферы ответственности;

– ISO/IЕС 27002 – правила СУИБ.

Рекомендации: Документация по СУИБ должна включать записи решений руководства, обеспечивать возможность отслеживания действий для принятия решений и разработки политики руководством и воспроизводимость записанных результатов.

Необходимо осуществлять управление документами СУИБ и сделать их доступными персоналу. Эти действия включают:

– учреждение административной процедуры управления документами СУИБ;

– подтверждение соответствия формата документов перед изданием;

– обеспечение определения изменений и текущего состояния редакций документов;

– защита и контроль документов как информационных активов организации.

Также требуется сохранять записи состояния внедрения системы для всей фазы «PDCA», а также записи об инцидентах и событиях ИБ, записи об обучении, навыках, опыте и квалификации, внутреннем аудите СУИБ, корректирующих и предупреждающих действиях и организационные записи.

Для контроля записей необходимо выполнить следующие задачи:

– документировать меры и средства контроля и управления, требуемые для идентификации, хранения, защиты, поиска и удаления данных, и документировать продолжительность хранения;