Управление информационной безопасностью. Стандарты СУИБ (СИ) - Гребенников Вадим Викторович. Страница 37

– учитывать определенные обстоятельства и положение в организации;

– определять требуемый уровень защиты информации;

– определять сбор и обработку информации, требуемые для всего предприятия или его части, находящейся в рамках предложенной области действия СУИБ.

Проведение анализа требований к ИБ определяют следующие процессы:

1) определение требований к ИБ для СУИБ;

2) определение активов в рамках СУИБ;

3) проведение оценки ИБ.

3.1. Определение требований к ИБ для СУИБ

Исходные данные:

– выходные данные 1.1 – приоритеты организации для разработки СУИБ;

– выходные данные 2.5 – политика СУИБ.

Рекомендации: Для каждого процесса в организации и задачи для специалиста требуется принять решение в отношении того, насколько важной является информация, т. е. какой требуется уровень защиты. Требуется базовое краткое описание проанализированной информации по процессам в организации и системам ИКТ.

Для получения подробных требований к ИБ для СУИБ следует рассмотреть следующие вопросы:

– предварительное определение важных информационных активов и текущего состояния защиты информации;

– определение представлений организации и их влияния на будущие требования к ИБ;

– анализ видов обработки информации, системного ПО, коммуникационных сетей, определения действий и ресурсов для информационных технологий и т.д.;

– определение всех обязательных требований (законодательства, договоров, стандартов и соглашений с клиентами, условий страхования и т.д.);

– определение уровня информированности в области ИБ и определение требований к обучению в отношении каждого подразделения.

Выходные данные:

– определение основных процессов, функций, объектов, информационных систем и коммуникационных сетей;

– информационные активы организации;

– классификация важнейших процессов (активов);

– требования к ИБ, сформулированные на основе обязательных требований;

– перечень известных уязвимостей, которые должны быть устранены в результате выполнения требований к ИБ;

– требования к обучению и образованию в области ИБ в организации.

3.2. Определение активов в рамках СУИБ

Исходные данные:

– выходные данные 2.4 – область действия и границы СУИБ;

– выходные данные 2.5 – политика СУИБ;

– выходные данные 3.1 – требования к ИБ для процесса СУИБ.

Рекомендации: Для определения активов в рамках области действия СУИБ необходимо указать следующую информацию:

– уникальное наименование процесса;

– описание процесса и связанные с ним действия (создание, хранение, передача, удаление);

– важность процесса для организации (критический, важный, вспомогательный);

– владелец процесса (подразделение организации);

– процессы, обеспечивающие исходные и выходные данные этого процесса;

– приложения ИТ, поддерживающие процесс;

– классификация информации (конфиденциальность, целостность, доступность и другие важные для организации свойства).

Выходные данные:

– определенные информационные активы основных процессов в организации в рамках области действия СУИБ;

– классификация важнейших процессов и информационных активов с точки зрения ИБ.

3.3. Проведение оценки ИБ

Необходимо провести оценку ИБ путем сравнения текущего состояния ИБ в организации с целями организации.

Исходные данные:

– выходные данные 2.4 – область действия и границы СУИБ;

– выходные данные 2.5 – политика СУИБ;

– выходные данные 3.1 – требований к ИБ для процесса СУИБ;

– выходные данные 3.2 – активы в рамках области действия СУИБ.

Рекомендации: При оценке ИБ анализируется текущая ситуация в организации путем использования следующей информации и определяется текущее состояние ИБ и недостатки в документации:

– изучение предпосылок на основе важнейших процессов;

– классификация информационных активов;

– требования организации к ИБ.

Для успешной оценки ИБ важными являются следующие действия:

– перечисление соответствующих стандартов;

– определение требований к управлению, установленных на основе политики ИБ, обязательных требований, результатов прошедших проверок или оценок рисков;

– использование этих документов для приблизительной оценки существующих требований к уровню ИБ.

Подход к проведению оценки ИБ следующий:

– выбрать важные бизнес-процессы и этапы процессов, касающиеся требований к ИБ;

– составить подробную блок-схему, охватывающую основные процессы, включая инфраструктуру;

– обсудить и проанализировать с ключевыми сотрудниками существующую ситуацию в организации в отношении требований к ИБ;

– определить недостатки в управлении путем сравнения существующих средств управления с определенными требованиями к управлению;

– определить и задокументировать текущее состояние организации.

Выходные данные: Документ, описывающий состояние ИБ в организации и обнаруженные уязвимости.

4. Проведение оценки и планирование обработки рисков

Цель: Определить методологию оценки риска, определить, проанализировать и оценить риски ИБ, чтобы выбрать варианты их обработки и средства ИБ.

Проведение оценки и планирование обработки рисков определяют следующие процессы:

1) проведение оценки рисков;

2) выбор средств ИБ;

3) получение санкции руководства на внедрение и использование СУИБ.

4.1. Проведение оценки рисков

Исходные данные:

– выходные данные раздела 2 – область действия и политика СУИБ;

– выходные данные раздела 3 – состояние ИБ и информационные активы;

– ISO/IEC 27005 – управление рисками ИБ.

Рекомендации: Оценка рисков состоит из следующих мероприятий:

– идентификация рисков;

– измерение рисков;

– оценивание рисков.

При оценке рисков необходимо определить:

– угрозы и их источники;

– меры защиты;

– уязвимости;

– последствия нарушений ИБ.

При оценке риска нужно также осуществить:

– оценку уровня риска;

– оценку влияния инцидента на организацию;

– сравнение уровня риска с критериями оценки и приемлемости.

Выходные данные:

– описание методологий оценки рисков;

– результаты оценки рисков.

4.2. Выбор средств ИБ

Исходные данные:

– выходные данные 4.1 – результаты оценки риска;

– ISO/IEC 27002 – правила СУИБ;

– ISO/IEC 27005 – управление рисками ИБ;

– ISO/IEC 27035 – управление инцидентами ИБ.

Рекомендации: Важно продемонстрировать, как выбранные меры и средства защиты могут снизить риск и вероятность возникновения инцидента. В случае снижения риска установление соотношения между каждым риском (вероятным инцидентом) и выбранными средствами является полезным для разработки СУИБ.

Разработка плана обработки инцидентов

Цель плана обработки инцидентов ИБ – обеспечить подробную документацию, описывающую процессы и процедуры обработки событий, инцидентов и уязвимостей ИБ и их взаимодействия. План обработки инцидентов ИБ приводится в действие при обнаружении события ИБ или сообщении об уязвимости ИБ.

Каждая организация должна использовать план в качестве руководства для:

– реагирования на события ИБ;

– определения того, становятся ли события ИБ инцидентами;

– управления инцидентами ИБ до их разрешения;

– реагирования на уязвимости ИБ;

– идентификации полученных уроков при обработке инцидентов, а также необходимых улучшений СУИБ;

– реализации улучшений СУИБ.

Выходные данные:

– перечень выбранных мер и средств защиты;

– планы обработки рисков и инцидентов.

4.3. Получение санкции руководства на внедрение и использование СУИБ