11. Разработка системы управления ИБ (ISO/IЕС 27003-2010). Часть 2

4. Проведение оценки и планирование обработки рисков

Цель: Определить методологию оценки риска, определить, проанализировать и оценить риски ИБ, чтобы выбрать варианты их обработки и средства ИБ.

Проведение оценки и планирование обработки рисков определяют следующие процессы:
1) проведение оценки рисков;
2) выбор средств ИБ;
3) получение санкции руководства на внедрение и использование СУИБ.

4.1. Проведение оценки рисков

Исходные данные:
- выходные данные раздела 2 - область действия и политика СУИБ;
- выходные данные раздела 3 - состояние ИБ и информационные активы;
- ISO/IEC 27005 - управление рисками ИБ.

Рекомендации. Оценка рисков состоит из следующих мероприятий:
- идентификация рисков;
- измерение рисков;
- оценивание рисков.

При оценке рисков необходимо определить:
- угрозы и их источники;
- меры защиты;
- уязвимости;
- последствия нарушений ИБ.

При оценке риска нужно также осуществить:
- оценку уровня риска;
- оценку влияния инцидента на организацию;
- сравнение уровня риска с критериями оценки и приемлемости.

Выходные данные:
- описание методологий оценки рисков;
- результаты оценки рисков.

4.2. Выбор средств ИБ

Исходные данные:
- выходные данные 4.1 - результаты оценки риска;
- ISO/IEC 27002 - правила СУИБ;
- ISO/IEC 27005 - управление рисками ИБ;
- ISO/IEC 27035 - управление инцидентами ИБ.

Рекомендации: важно продемонстрировать, как выбранные меры и средства защиты могут снизить риск и вероятность возникновения инцидента. В случае снижения риска установление соотношения между каждым риском (вероятным инцидентом) и выбранными средствами является полезным для разработки СУИБ.

Разработка плана обработки инцидентов

Цель плана обработки инцидентов ИБ - обеспечить подробную документацию, описывающую процессы и процедуры обработки событий, инцидентов и уязвимостей ИБ и их взаимодействия. План обработки инцидентов ИБ приводится в действие при обнаружении события ИБ или сообщении об уязвимости ИБ.

Каждая организация должна использовать план в качестве руководства для:
- реагирования на события ИБ;
- определения того, становятся ли события ИБ инцидентами;
- управления инцидентами ИБ до их разрешения;
- реагирования на уязвимости ИБ;
- идентификации полученных уроков при обработке инцидентов, а также необходимых улучшений СУИБ;
- реализации улучшений СУИБ.

Выходные данные:
- перечень выбранных мер и средств защиты;
- планы обработки рисков и инцидентов.

4.3. Получение санкции руководства на внедрение и использование СУИБ

Исходные данные:
- выходные данные 1.4 - утвержденный начальный проект СУИБ;
- выходные данные раздела 2 - область действия и политика СУИБ;
- выходные данные 4.1 - результаты оценки риска;
- выходные данные 4.2 - планы обработки рисков и инцидентов.

Рекомендации: необходимо получить одобрение высшего руководства для принятия решения о принятии остаточных рисков, а также санкцию на фактическое использование СУИБ. Эти решения должны основываться на оценке рисков и вероятности их возникновения в результате внедрения СУИБ, в сравнении с рисками, возникающими в случае, когда СУИБ не применияется.

Выходные данные:
- письменное одобрение руководством внедрения СУИБ;
- утверждение руководством планов обработки рисков и инцидентов;
- положение о применимости, включающее выбранные меры и средства защиты.

5. Разработка СУИБ

Цель: Составить конечный план внедрения СУИБ путем разработки системы безопасности организации на основе выбранных вариантов обработки риска, а также требований, касающихся записей и документов и разработки средств управления, объединяющих меры безопасности ИКТ, физические и организационные процессы и разработку специальных требований для СУИБ.

При разработке СУИБ следует принять во внимание следующие аспекты:
- безопасность организации;
- безопасность ИКТ;
- безопасность физических объектов;
- особые требования к СУИБ.

Безопасность организации охватывает административные аспекты ИБ, включая ответственность за обработку риска. Безопасность ИКТ охватывает аспекты ИБ, связанные с ответственностью за снижение рисков при выполнении операций с ИКТ.

Безопасность физических объектов охватывает аспекты ИБ, связанные, в частности, с ответственностью, возникающей при проработке физического окружения, например, зданий и их инфраструктуры, за снижение риска. Особые требования к СУИБ охватывают аспекты соответствии СУИБ требованиям ISO/IEC 27001 в отличие от предыдущих аспектов.

Разработку СУИБ определяют следующие процессы:
1) разработка системы ИБ организации;
2) разработка системы ИБ ИКТ и физических объектов;
3) создание условий надежного функционирования СУИБ;
4) разработка окончательного плана проекта СУИБ.

5.1. Разработка системы ИБ

Разработку системы ИБ обеспечивают следующие разработки:
- конечной структуры организации для ИБ;
- основы для документирования СУИБ;
- политики ИБ;
- стандартов и процедур обеспечения ИБ.

5.1.1. Разработка конечной структуры организации для ИБ

Необходимо сопоставить функции, роли и сферы ответственности в организации, связанные с ИБ, с обработкой рисков.

Исходные данные:
- выходные данные 1.1.2 - таблица ролей и сфер ответственности;
- выходные данные 2.3 - область действия и границы СУИБ;
- выходные данные 2.4 - политика СУИБ;
- выходные данные 3.1 - требования к ИБ для процесса СУИБ;
- выходные данные 3.2 - активы в рамках области действия СУИБ;
- выходные данные 3.3 - результаты оценки ИБ;
- выходные данные 4.1 - результаты оценки рисков;
- выходные данные 4.2 - планы обработки рисков и инцидентов;
- ISO/IEC 27002 - правила СУИБ;
- ISO/IEC 27035 - управление инцидентами ИБ.

Рекомендации: при разработке структуры организации и процессов для внутренних операций СУИБ следует попытаться создать их и обьединить с уже существующими, если это практически применимо.

Согласно стандарта ISO/IEC 27035, в первую очередь, необходимо создать группу технической поддержки, чтобы обеспечить поддержку всех аспектов информационных технологий и связанной с ними обработки информации. Как только приходит сообщение о событии ИБ, группа поддержки обрабатывает его в фазе обнаружении и оповещения.

Во вторую очередь, необходимо создать в организации специальную группу реагирования на инциденты ИБ (ГРИИБ). Целью ее создания является обеспечение организации соответствующим персоналом для оценки, реагирования иа инциденты ИБ и извлечения уроков из них, а также необходимой координации всех заинтересованных сторон и процесса обмена информацией.

Кроме того, организация обеспечить взаимодействие с внутренними подразделениями и внешними организациями, которые имеют отношение к управлению событиями, инцидентами и уязвимостями ИБ в организации.

Важно определить, какой орган в схеме обеспечения политики управления инцидентами ИБ руководитель ГРИИБ оповещает о серьезных инцидентах ИБ. Процедуры общения со СМИ и ответственность за это общение также должны быть согласованы с высшим руководством. Эти процедуры должны определить представителя организации по работе со СМИ и его взаимодействие с ГРИИБ.

Выходные данные: документ, описывающий структуру организации, роли и сферы ответственности.

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика