Управление информационной безопасностью. Стандарты СУИБ (СИ) - Гребенников Вадим Викторович. Страница 35

5) разработка СУИБ (раздел 9).

Каждый раздел содержит следующую информацию:

– цели (что необходимо достичь);

– действия для их достижения.

Описания действий структурированы в виде исходных данных, рекомендаций и выходных данных.

Исходные данные – описывают отправную точку, например, наличие документированных решений или выходных данных других действий, описываемых в стандарте;

Рекомендации – содержат подробную информацию, позволяющую выполнить данное действие;

Выходные данные – описывают результат (ы) или документ (ы), получаемые после выполнения действия.

1. Одобрение руководством проектирования СУИБ

Цель: Получить одобрение руководства путем определения случая применения СУИБ для предприятия и подготовки плана проекта.

Исходные данные: Описание случая применения СУИБ для данного предприятия, включающее приоритеты и цели внедрения СУИБ, а также структуру организации для СУИБ.

Рекомендации: Составить первоначальный план проекта СУИБ.

Выходные данные: Описание случая применения СУИБ для данного предприятия и первоначальный план проекта СУИБ с описанием ключевых этапов.

Одобрение руководством проектирования СУИБ определяют следующие процессы:

1) определение приоритетов организации для разработки СУИБ;

2) определение предварительной области действия СУИБ;

3) техническое обоснование и план проекта СУИБ для получения санкции руководства.

1.1. Определение приоритетов организации для разработки СУИБ

Исходные данные:

– стратегические цели организации;

– обзор существующих систем управления;

– перечень действующих нормативно-правовых и договорных требований к ИБ.

Рекомендации: Выполнить сбор существенной информации, показывающей значение СУИБ для организации. Организация должна определить, зачем нужна СУИБ, определить цели внедрения СУИБ и запустить проектирование СУИБ.

Выходные данные:

– документ, излагающий цели, приоритеты в области ИБ и требования организации к системе СУИБ;

– перечень нормативно-правовых и контрактных требований к ИБ организации;

– описание характеристик организации, местонахождения, активов и технологий.

1.2. Определение предварительной области действия СУИБ

Определение предварительной области обеспечивают следующие процессы:

– разработка предварительной области;

– определение для нее ролей и сфер ответственности.

1.2.1. Разработка предварительной области

Исходные длиные: Выходные данные 1.1.

Рекомендации: Определить структуру организации для реализации СУИБ.

Выходные данные:

– изложение обязательных требований к УИБ, определяемых руководством организации, и обязательств, накладываемых на организацию извне;

– описание того, как части области действия СУИБ взаимодействуют с другими системами управления;

– перечень целей предприятия в области УИБ;

– перечень важнейших бизнес-процессов, активов, организационных структур и регионов, где будет использоваться СУИБ;

– соотношение существующих систем управления, регулирования, соответствия и целей организации;

– характеристики организация, местонахождение, активы и технологии.

1.2.2. Определение для предварительной области ролей и сфер ответственности

Исходные данные

– выходные данные 1.2.1;

– список заинтересованных сторон, которые получат выгоду в результате реализации проекта СУИБ.

Рекомендации: Определить роль организации в реализации проекта и ответственных лиц за УИБ, а для сотрудников должны быть определены роли и сферы ответственности на основе квалификации, требуемой для выполняемой работы.

Выходные данные: представляют собой документ или таблицу, описывающую роли и сферы ответственности с указанием имен и организацию, необходимую для успешного внедрения СУИБ.

1.3. Техническое обоснование и план проекта СУИБ для получения санкции руководства

Одобрение руководства и выделение ресурсов для реализации проекта внедрения СУИБ должны быть получены путем определения случая применения СУИБ для предприятия и подготовки плана проекта СУИБ.

Исходные данные:

– выходные данные 1.1;

– выходные данные 1.2.

Рекомендации:

Информация по случаю применения СУИБ для предприятия и первоначальный план проекта СУИБ должны охватывать следующие вопросы:

– цели и конкретные задачи;

– выгоды для организации;

– предварительная область действия СУИБ, включая затрагиваемые бизнес-процессы;

– важнейшие процессы и ф акторы для достижения целей СУИБ;

– описание проекта высокого уровня;

– первоначальный план внедрения СУИБ;

– определенные роли и сферы ответственности;

– требуемые ресурсы (технологические и людские);

– соображения, касающиеся внедрения СУИБ, включая существующую систему ИБ;

– временная шкала с ключевыми этапами;

– предполагаемые затраты;

– важнейшие факторы успеха;

– количественное определение выгод для организации.

Руководство должно утвердить описание случая применения СУИБ для предприятия и первоначальный план проекта, чтобы составить поручения для всей организации и начать реализацию проекта СУИБ.

Выходные данные:

– документированное одобрение руководством выполнения проекта СУИБ с распределенными ресурсами;

– документированное описание случая применения СУИБ для данного предприятия;

– начальное предложение по проекту СУИБ с основными этапами, такими как выполнение оценки риска, реализация проекта, внутренний аудит и проверки, осуществляемые руководством.

2. Определение области действия, границ и политики СУИБ

Цель: Определить области действия и границ СУИБ и разработать политику СУИБ.

Определение области действия и границ СУИБ обеспечивают предварительные процессы:

– определение организационной и физической областей действия и границ СУИБ;

– определение области действия и границ информационных и коммуникационных технологий (далее – ИКТ);

Определение областей действия и политики СУИБ также обеспечивают заключительные процессы:

– объединение всех областей действия и границ СУИБ;

– разработка политики СУИБ и получение одобрения руководства.

2.1. Определение организационной области действия и границ

Исходные данные:

– выходные данные 1.2 – документированная предварительная область действия СУИБ, охватывающая:

• соотношения существующих систем управления, регулирования, соответствия и целей организации;

• характеристики организации, ее местонахождения, активов и технологий.

– выходные данные 1.1 – документированное утверждение руководством внедрения СУИБ и запуск проекта с необходимыми распределенными ресурсами.

Рекомендации: Одним из методов определения организационных границ является определение сфер ответственности, не перекрывающих друг друга, чтобы облегчить назначение подотчетности в организации.

На основе такого подхода анализируемые организационные границы должны определять всех сотрудников, участвующих в сфере УИБ, и эти границы должны быть включены в область действия СУИБ. Если некоторые процессы в организации выполняются сторонними организациями, эти зависимости должны быть четко задокументированы.

Выходные данные:

– описание организационных границ СУИБ, включая обоснования исключения каких-либо частей организации из области действия СУИБ;

– функции и структура частей организации, находящихся в области действия СУИБ;

– определение информации, подлежащей обмену в рамках области действия СУИБ, и информации, обмен которой осуществляется через границы СУИБ;