10. Разработка системы управления ИБ (ISO/IEC 27003-2010). Часть 1

В 2010 году Международная организация по стандартизации опубликовала новый стандарт ISO/IЕС 27003 «ИТ. Методы защиты. СУИБ. Руководство по реализации СУИБ». Он посвящён вопросам успешной разработки и внедрения СУИБ в соответствии с требованиями ISO/IEC 27001.

Стандарт 27003 описывает процесс формирования требований и проектирования СУИБ от начала проекта и до подготовки планов внедрения. Указан процесс получения согласия руководства на внедрение СУИБ, дается детализация проекта внедрения СУИБ, даются рекомендации по планированию проекта внедрения СУИБ, результатом которого является окончательный план внедрения СУИБ.

Планирование внедрения СУИБ состоит из 5 этапов:
1) получение одобрения руководства для проектирования СУИБ (раздел 5);
2) определение области действия и политики СУИБ (раздел 6);
3) проведение анализа организации (раздел 7);
4) проведение анализа и планирование обработки рисков (раздел 8);
5) разработка СУИБ (раздел 9).

Каждый раздел содержит следующую информацию:
- цели (что необходимо достичь);
- действия для их достижения.

Описания действий структурированы в виде исходных данных, рекомендаций и выходных данных:
- исходные данные - описывают отправную точку, например, наличие документированных решений или выходных данных других действий, описываемых в стандарте;
- рекомендации - содержат подробную информацию, позволяющую выполнить данное действие;
- выходные данные - описывают результат(ы) или документ(ы), получаемые после выполнения действия.

1. Одобрение руководством проектирования СУИБ

Цель: Получить одобрение руководства путем определения случая применения СУИБ для предприятия и подготовки плана проекта.

Исходные данные: описание случая применения СУИБ для данного предприятия, включающее приоритеты и цели внедрения СУИБ, а также структуру организации для СУИБ.

Рекомендации: составить первоначальный план проекта СУИБ.

Выходные данные: описание случая применения СУИБ для данного предприятия и первоначальный план проекта СУИБ с описанием ключевых этапов.

Одобрение руководством проектирования СУИБ определяют следующие процессы:
- определение приоритетов организации для разработки СУИБ;
- определение предварительной области действия СУИБ;
- техническое обоснование и план проекта СУИБ для получения санкции руководства.

1.1. Определение приоритетов организации для разработки СУИБ

Исходные данные:
- стратегические цели организации;
- обзор существующих систем управления;
- перечень действующих нормативно-правовых и договорных требований к ИБ.

Рекомендации: выполнить сбор существенной информации, показывающей значение СУИБ для организации. Организация должна определить, зачем нужна СУИБ, определить цели внедрения СУИБ и запустить проектирование СУИБ.

Выходные данные:
- документ, излагающий цели, приоритеты в области ИБ и требования организации к системе СУИБ;
- перечень нормативно-правовых и контрактных требований к ИБ организации;
- описание характеристик организации, местонахождения, активов и технологий.

1.2. Определение предварительной области действия СУИБ

Определение предварительной области обеспечивают следующие процессы:
- разработка предварительной области;
- определение для нее ролей и сфер ответственности.

1.2.1. Разработка предварительной области

Исходные данные: выходные данные 1.1.

Рекомендации: определить структуру организации для реализации СУИБ.

Выходные данные:
- изложение обязательных требований к УИБ, определяемых руководством организации, и обязательств, накладываемых на организацию извне;
- описание того, как части области действия СУИБ взаимодействуют с другими системами управления;
- перечень целей предприятия в области УИБ;
- перечень важнейших бизнес-процессов, активов, организационных структур и регионов, где будет использоваться СУИБ;
- соотношение существующих систем управления, регулирования, соответствия и целей организации;
- характеристики организация, местонахождение, активы и технологии.

1.2.2. Определение для предварительной области ролей и сфер ответственности

Исходные данные:
- выходные данные 1.2.1;
- список заинтересованных сторон, которые получат выгоду в результате реализации проекта СУИБ.

Рекомендации: определить роль организации в реализации проекта и ответственных лиц за УИБ, а для сотрудников должны быть определены роли и сферы ответственности на основе квалификации, требуемой для выполняемой работы.

Выходные данные представляют собой документ или таблицу, описывающую роли и сферы ответственности с указанием имен и организацию, необходимую для успешного внедрения СУИБ.

1.3. Техническое обоснование и план проекта СУИБ для получения санкции руководства

Одобрение руководства и выделение ресурсов для реализации проекта внедрения СУИБ должны быть получены путем определения случая применения СУИБ для предприятия и подготовки плана проекта СУИБ.

Исходные данные:
- выходные данные 1.1;
- выходные данные 1.2.

Рекомендации. Информация по случаю применения СУИБ для предприятия и первоначальный план проекта СУИБ должны охватывать следующие вопросы:
- цели и конкретные задачи;
- выгоды для организации;
- предварительная область действия СУИБ, включая затрагиваемые бизнес-процессы;
- важнейшие процессы и ф акторы для достижения целей СУИБ;
- описание проекта высокого уровня;
- первоначальный план внедрения СУИБ;
- определенные роли и сферы ответственности;
- требуемые ресурсы (технологические и людские);
- соображения, касающиеся внедрения СУИБ, включая существующую систему ИБ;
- временная шкала с ключевыми этапами;
- предполагаемые затраты;
- важнейшие факторы успеха;
- количественное определение выгод для организации.

Руководство должно утвердить описание случая применения СУИБ для предприятия и первоначальный план проекта, чтобы составить поручения для всей организации и начать реализацию проекта СУИБ.

Выходные данные:
- документированное одобрение руководством выполнения проекта СУИБ с распределенными ресурсами;
- документированное описание случая применения СУИБ для данного предприятия;
- начальное предложение по проекту СУИБ с основными этапами, такими как выполнение оценки риска, реализация проекта, внутренний аудит и проверки, осуществляемые руководством.

2. Определение области действия, границ и политики СУИБ

Цель: Определить области действия и границ СУИБ и разработать политику СУИБ.

Определение области действия, границ и политики СУИБ обеспечивают следующие процессы:
- определение организационной и физической областей действия и границ СУИБ;
- определение области действия и границ информационных и коммуникационных технологий (далее - ИКТ);
- объединение всех областей действия и границ СУИБ;
- разработка политики СУИБ и получение одобрения руководства.

2.1. Определение организационной области действия и границ

Исходные данные:
- выходные данные 1.2 - документированная предварительная область действия СУИБ, охватывающая:
  • соотношения существующих систем управления, регулирования, соответствия и целей организации;
  • характеристики организации, ее местонахождения, активов и технологий;
- выходные данные 1.1 - документированное утверждение руководством внедрения СУИБ и запуск проекта с необходимыми распределенными ресурсами.

Рекомендации: одним из методов определения организационных границ является определение сфер ответственности, не перекрывающих друг друга, чтобы облегчить назначение подотчетности в организации.

На основе такого подхода анализируемые организационные границы должны определять всех сотрудников, участвующих в сфере УИБ, и эти границы должны быть включены в область действия СУИБ. Если некоторые процессы в организации выполняются сторонними организациями, эти зависимости должны быть четко задокументированы.

Выходные данные:
- описание организационных границ СУИБ, включая обоснования исключения каких-либо частей организации из области действия СУИБ;
- функции и структура частей организации, находящихся в области действия СУИБ;
- определение информации, подлежащей обмену в рамках области действия СУИБ, и информации, обмен которой осуществляется через границы СУИБ;
- процессы в организации и сферы ответственности за информационные активы в области действия СУИБ и за ее пределами;
- процесс в иерархии принятия решений, а также ее структура в рамках системы СУИБ...

Чтобы прочитать лекцию полностью, напишите автору

Разработка СУИБ (ISO/IEC 27003-2010). Часть 2 (окончание)

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика