Управление информационной безопасностью. Стандарты СУИБ (СИ) - Гребенников Вадим Викторович - Страница 40

– результаты других регулярных проверок;

– рекомендации по улучшению СУИБ.

Выходные данные: Документ, содержащий план организации проверок, проводимых руководством, и включающий:

– исходные данные, требуемые для проверки СУИБ руководством;

– процедуры проверок, проводимых руководством и касающихся аспектов аудита, мониторинга и измерения.

5.3.2. Программа обучения в области ИБ

Исходные данные6

– выходные данные 2.4 – область действия и границы СУИБ;

– выходные данные 2.5 – политика СУИБ;

– выходные данные 3.1, – требований к ИБ для процесса СУИБ;

– выходные данные 4.2 – план обработки рисков;

– выходные данные 4.3 – положение о применимости;

– выходные данные 5.1.3 – политики ИБ;

– выходные данные 5.1.4 – стандарты и процедуры ИБ;

– обзор общей программы обучения в организации.

Рекомендации: Руководство отвечает за обучение, чтобы сотрудники, назначенные на определенные должности, имели необходимые знания для выполнения требуемых операций. Содержание программы образования и обучения должно помогать всем сотрудникам знать и понимать значение и важность операций по обеспечению ИБ, в которых они участвуют, и то, как они могут способствовать достижению целей.

Программа обучения с целью информирования по вопросам ИБ должна обеспечивать составление записей по обучению в области ИБ. Эти записи должны регулярно проверяться для обеспечения получения требуемого обучения всеми сотрудниками. Необходимо назначить должностное лицо, ответственное за этот процесс.

Материалы по обучению в области ИБ должны быть разработаны таким образом, чтобы они были связаны с другими обучающими материалами, используемыми в организации, особенно, учебные курсы для пользователей ИС. Обучение по существенным аспектам ИБ должно включаться в каждый учебный курс для пользователей ИС.

Обучающие материалы по ИБ должны включать, как минимум, следующие пункты в зависимости от целевой аудитории:

– основные термины ИБ;

– риски и угрозы ИБ;

– четкое определение инцидента ИБ: рекомендации по его обнаружению, устранению и отчетности;

– политики ИБ, стандарты и процедуры организации;

– сферы ответственности и каналы отчетности, связанные с ИБ;

– рекомендации по оказанию помощи в повышении уровня ИБ;

– рекомендации, связанные с нарушениями ИБ и отчетностью;

– координаты получения дополнительной информации.

Необходимо определить группу по обучению ИБ, которая может выполнять следующие задачи:

– создание и управление записями по ИБ;

– составление и управления материалами по обучению;

– проведение обучения.

Выходные данные:

– материалы по обучению в области ИБ;

– формирование программ обучения в области ИБ, включая роли и сферы ответственности;

– планы обучения в области ИБ;

– записи, показывающие результаты обучения работников в области ИБ.

5.4. Разработка окончательного плана проекта СУИБ

Исходные данные:

– выходные данные 2.4 – область действия и границы СУИБ;

– выходные данные 2.5 – политика СУИБ;

– выходные данные 5.1 – разработка системы ИБ;

– выходные данные 5.2 – разработка системы ИБ ИКТ и физических объектов;

– выходные данные 5.3 – разработка ИБ, связанной с СУИБ;

– ISO/IEC 27002 – правила СУИБ.

Рекомендации: Действия, требуемые для внедрения выбранных средств управления и выполнения других действий, связанных с системой СУИБ, должны быть оформлены в виде подробного плана внедрения как части конечного проекта СУИБ. Подробный план внедрения системы также может подкрепляться описаниями предложенных инструментов и методов внедрения.

Поскольку проект СУИБ включает множество различных ролей в организации, важно, чтобы действия были четко определены для ответственных сторон и план был распространен на ранних стадиях проекта во всей организации.

Выходные данные: Выходные данные этого действия представляют собой окончательный план проекта внедрения СУИБ.

В начале 2006 года был принят первый британский национальный стандарт в сфере управления рисками ИБ BS 7799—3, который в 2008 году получил статус международного стандарта ISO/IEC 27005 «ИТ. Методы защиты. Управление рисками ИБ».

Новый стандарт ISO/IEC 27005 заменил сразу две части морально устаревшего технического стандарта ISO/IEC TR 13335 (TR – technical report – технический отчет) «ИТ. Методы защиты»: часть 3 «Методы управления безопасностью ИТ» и часть 4 «Выбор защитных мер», на базе которых он и был разработан.

В 2011 году была принята последняя редакция стандарта ISO/IEC 27005, в котором были пересмотрены и обновлены в соответствии с требованиями следующих документов:

– ISO 31000:2009 – Управление рисками – Принципы и руководства;

– ISO/IEC 31010:2009 – Управление рисками – Методики оценки рисков;

– ISO Guide 73:2009 – Управление рисками – Словарь.

Систематический подход к управлению рисками ИБ необходим для того, чтобы идентифицировать потребности организации, касающиеся требований ИБ, и создать эффективную СУИБ.

Усилия по обеспечению ИБ должны эффективно и своевременно рассматривать риски там и тогда, где и когда это необходимо. Управление рисками ИБ должно быть неотъемлемой частью всех видов деятельности, связанных с УИБ, а также должен применяться для реализации и поддержки функционирования СУИБ организации.

Управление рисками ИБ должно быть непрерывным процессом. Данный процесс должен устанавливать контекст, поддерживать оценку и обработку рисков, обеспечивать использование плана обработки риска для реализации, содействовать выработке рекомендаций и решений.

Управление рисками ИБ связано с анализом того, что может произойти, и какими могут быть возможные последствия, прежде чем выработать решение о том, что и когда должно быть сделано для снижения риска до приемлемого уровня.

Управление рисками ИБ должно способствовать следующему:

– идентификации рисков;

– оценке рисков, исходя из последствий их реализации для бизнеса и вероятности их возникновения;

– изучению вероятности и потенциальных последствий данных рисков;

– установлению порядка приоритетов в рамках обработки рисков;

– установлению приоритетов мероприятий по снижению имеющих место рисков;

– привлечению заинтересованных сторон к принятию решений об управлении рисками и поддержанию их информированности о состоянии управления рисками;

– эффективности проводимого мониторинга обработки рисков;

– проведению регулярного мониторинга и пересмотра процесса управления рисками;

– сбору информации для усовершенствования подхода к управлению рисками;

– подготовке менеджеров и персонала в сфере управления рисками и необходимых действий, предпринимаемых для их уменьшения.

Стандарт содержит описание процесса управления рисками ИБ и связанных с ним видов деятельности, основной обзор которых даётся в разделе 6.

Все действия по управлению рисками ИБ описываются в следующих разделах:

1) установление контекста (сферы применения) – в разделе 7;

2) оценка риска – в разделе 8;

3) обработка риска – в разделе 9;

4) принятие риска – в разделе 10;

5) обмен информацией о рисках – в разделе 11;

6) мониторинг и улучшение – в разделе 12.

Все составляющие управления рисками в каждом разделе структурированы в виде входных данных, действий, руководства по реализации и выходных данных.

Входные данные: идентифицируется любая информация, требуемая для выполнения деятельности.

Действие: описывается деятельность.

Руководство по реализации: предоставляется руководство по выполнению действия.

Выходные данные: идентифицируется любая информация, полученная после выполнения деятельности.