Стандарт Банка России СТО БР ИББС-1.1 – аудит ИБ (2)
В стандарте Банка России СТО БР ИББС-1.1–2007 рассматриваются требования к:

· менеджменту программами аудита ИБ;

· взаимоотношениям представителей аудиторской организации с представителями проверяемой организации, включая их обязанности и ответственность;

· этапам проведения аудита ИБ организаций БС РФ: подготовке к проведению аудита ИБ; анализу документов; проведению аудита ИБ на месте; подготовке, утверждению и рассылке отчета по аудиту ИБ; завершению аудита ИБ.
Программа аудита ИБ включает деятельность, необходимую для планирования и организации определенного количества аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения аудитов ИБ в заданные сроки.

Последовательность процессов менеджмента программы аудита ИБ (после распределение полномочий) соответствует циклической модели PDCA и включает в себя следующие процессы:


Стандарт Банка России СТО БР ИББС-1.2 – методика оценки соответствия ИБ организаций БС РФ требованиям СТО БР ИББС-1.0 (1)

Стандартом Банка России СТО БР ИББС-1.0 целью проверки уровня ИБ как самого Банка России, так и организаций БС РФ определено требование проведения регулярной внешней и внутренней оценки ИБ, а также самооценки ИБ.
Стандарт Банка России СТО БР ИББС-1.2–2010 устанавливает способы определения степени выполнения и итогового уровня соответствия ИБ указанным требованиям при проведении внутренней и/или внешней оценки и самооценки ИБ. Целью данной методики является стандартизация подходов и способов оценки, используемых для определения уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0.



Стандарт Банка России СТО БР ИББС-1.2 – методика оценки соответствия ИБ организаций БС РФ требованиям СТО БР ИББС-1.0 (2)

---

В стандарте рекомендованы формы, предназначенные для заполнения при проведении оценки. Каждая из форм содержит групповой показатель ИБ, входящие в него частные показатели ИБ, обязательность их выполнения, метрику (шкалу) для оценивания частных показателей и коэффициенты значимости частных показателей ИБ, используемые при вычислении показателя ИБ.
Оценка частного показателя ИБ должна основываться на свидетельствах аудита, в качестве основных источников которых рекомендуется использовать:

· внутренние нормативные документы проверяемой организации и при необходимости документы третьих лиц, относящиеся к ОИБ организации БС РФ;

· устные высказывания сотрудников проверяемой организации в процессе проводимых опросов;

· результаты наблюдений членов аудиторской группы за деятельностью сотрудников проверяемой организации в области ИБ.
Оценка группового показателя (за исключением группового показателя М9 «Общие требования по обработке персональных данных в организации БС РФ») вычисляется из оценок входящих в него частных показателей с учетом некоторых коэффициентов значимости, определяющих важность частного показателя для оценивания группового показателя.
В СТО БР ИББС-1.2 также представлен вид наглядного отображения получившихся результатов оценивания (оценок) в виде круговой диаграммы с уровнями соответствия требованиям СТО БР ИББС-1.0 с 0-го по 5-й по трем направлениям оценки.
4. УПРАВЛЕНИЕ И СИСТЕМА УПРАВЛЕНИЯ ИБ
В данном разделе изучаются вопросы, связанные с управлением ИБ и построением СУИБ.
Обосновывается необходимость управления деятельностью по ОИБ, которая описывается как процесс.
Вводится понятие «управление ИБ организации».
Рассматривается процесс управления ИБ ИТТ, который интегрируется в общий процесс управления ИТТ организации.
Определяется СУИБ организации, ее область действия и документальное обеспечение, включая политику СУИБ.

В рамках управления ИБ описывается применение процессного подхода с этапами «планирование – реализация – проверка – совершенствование» ко всем процессам СУИБ.
Анализируется работа с процессами СУИБ, включающая задание процесса, его идентификацию, документирование и описание, мониторинг и измерение.
Рассматриваются две основные стратегии построения и внедрения СУИБ – в целом и по отдельным процессам управления ИБ.
Изучив систематизированный из различных стандартов и лучших практик материал данного раздела

---

, обучающиеся смогут самостоятельно разработать проект по созданию и внедрению СУИБ и отдельных процессов управления ИБ, применив представленные ниже подробные практические рекомендации.
4.1. Необходимость управления ОИБ организации
Как подчеркивается в различных стандартах по ОИБ ([5], [6], [9], [23], [24] и др.), для противодействия угрозам ИБ, снижения рисков ИБ и эффективной обработки инцидентов ИБ необходимо обеспечивать и на протяжении длительного времени сохранять достаточный для организации уровень ИБ. Поэтому в настоящее время ОИБ является одним из основополагающих аспектов успешного ведения бизнеса.
Специфика ОИБ в современных условиях (1)




Специфика ОИБ в современных условиях (2)


4.2. Деятельность по ОИБ организации как процесс

Как отмечалось ранее, обеспечение защищенности интересов (целей) организации непосредственно связано с ее основным бизнесом, а деятельность по ОИБ является вспомогательной по отношению к нему. При этом главное предназначение деятельности по ОИБ организации – содействие основным, управленческим и иным вспомогательным процессам ведения бизнеса.
Модель, представленная на рисунке, иллюстрирует связи деятельности организации в области ИБ и ее основной деятельности и характеризует эту деятельность как процесс [15].



Для ОИБ необходимы исходные данные, ресурсы и управляющие воздействия. Результаты ОИБ непосредственно влияют на эффективность основных бизнес-процессов организации.
С учетом описания структуры типового процесса можно сделать вывод о том, что ОИБ необходимо рассматривать как процесс.
Входные данные для процесса ОИБ:

· информация о среде ведения бизнеса организации;

· информационные модели основной деятельности организации – описания бизнес-процессов, реализуемых технологий и т.д.;

· потребности организации в ИБ;

· информация, используемая для контроля успешности деятельности по ОИБ.
Информационные модели основной деятельности организации определяют акцент и контекст всей деятельности по ОИБ, т.к. позволяют понять, где в структуре ведения бизнеса организации в части ИТ имеются уязвимости, где и при каких условиях могут проявиться те или иные угрозы ИБ и действия нарушителей ИБ, где находятся требующие защиты активы, какие защитные меры – организационные, административные, программно-аппаратные, технические – могут потребоваться и какие из них могут быть наиболее эффективными в каждом конкретном случае.

---

Кроме этого учитываются законы (нормативы) и стандарты в области ИБ и управления организации в части ИБ, а также все ресурсы (финансовые, материальные, информационные, человеческие и оборудование).
Выход (результат) деятельности по ОИБ в организации:

· документы по ОИБ (отчеты, предложения, в том числе по обучению персонала, внутренние нормативные документы и т.д.);

· механизмы (средства, защитные меры) ОИБ;

· заказы на приобретение, поставку и регламентацию использования средств ОИБ на объекты и системы в организации, которые далее могут эксплуатироваться другими вспомогательными или основными подразделениями, и порядок их использования;

· сигнал опасности для основной деятельности (бизнеса) организации.


Эффективность процесса ОИБ
На эффективность процесса ОИБ оказывают влияние следующие факторы [5], [23]:
· утвержденная и соблюдаемая ПолИБ, учитывающая бизнес-цели организации;

· определенные методы и структура реализации, поддержания в рабочем состоянии, постоянного контроля и улучшения деятельности по ОИБ, которые соответствуют общей культуре организации;

· видимая поддержка и обязательства всех уровней руководства;

· правильное понимание требований ПолИБ, оценки и управления рисками ИБ;

· результативное информирование всех сотрудников и заинтересованных сторон о деятельности по ОИБ, руководящих принципах ПолИБ и стандартах в области ИБ;

· финансирование деятельности по ОИБ;

· обеспечение надлежащей осведомленности, подготовки и образования в области ИБ сотрудников организации;

· создание результативных процессов управления инцидентами ИБ;

· внедрение системы измерения, которая позволяет оценить деятельность по ОИБ, и выработать предложения по ее улучшению.

Модель_процесса_ОИБ_компании_Cisco_Systems'>Модель процесса ОИБ компании Cisco Systems
К деятельности по ОИБ применим подход компании Cisco Systems [www.cisco.com], называемый «Колесо безопасности» (англ. Security Wheel) и наглядно отражающий постоянную динамику этой деятельности на основе применения ПолИБ.
Защита подразумевает применение описанных в ПолИБ и таким образом одобренных для организации защитных мер.

---

Мониторинг выявляет нарушения ПолИБ в режиме реального времени и то, насколько корректно на предыдущем этапе были выбраны и настроены защитные меры.
Тестирование (внутренний и внешний аудит ИБ) используется для определения эффективности применяемых защитных мер, что определяет, насколько текущее состояние дел соответствует правилам и процедурам, реализуемым в соответствии с ПолИБ).
Улучшение (подстройка) защитных мер и самой ПолИБ осуществляется на основе собранной и проанализированной на этапах мониторинга и тестирования информации.
Круглая форма «Колеса безопасности» отражает его сущность – постоянное, циклическое совершенствование и уточнение ПолИБ и эксплуатируемых в соответствии с ней защитных мер.
При этом результаты, получаемые на всех этапах, всегда сравниваются с ПолИБ, разработанной на первом шаге. Это позволяет убедиться, что выполняются все высокоуровневые задачи ОИБ.
Модель процесса ОИБ Symantec Lifecycle Security
Другим примером возможной организации ОИБ является модель Lifecycle Security компании Axent (после приобретения Axent компанией Symantec модель получила название Symantec Lifecycle Security; http://www.symantec.com). Эта модель отображает семь взаимосвязанных этапов ОИБ в организации, представленных в виде набора процедур, позволяющих системно, комплексно и эффективно решать поставленные задачи по достижению требуемого уровня ИБ.
На первом этапе определяются границы, в которых осуществляется деятельность по ОИБ, и задаются критерии оценивания полученных результатов – разрабатываются различные политики, стандарты, процедуры и метрики.
Этап оценки рисков ИБ позволяет подробно описать состав и приоритеты защищаемых активов, базируясь на степени их важности для функционирования организации, выявить угрозы ИБ, идентифицировать уязвимости активов и определить ущерб от реализации угроз ИБ.
Результаты оценки рисков ИБ используются как основа для разработки плана ОИБ, помогающего распределить по приоритетам ресурсы и определить стратегию и тактику ОИБ за счет внедрения соответствующих защитных мер.



4.3. Определение управления ИБ организации

---

Смотрите также файлы

• Тема Феномен и сущность культуры Задание к каким культурологическим подходам.docx

• Жизнь и творчество А. С. Пушкина. За весной, красой природы, Уж небо осенью дышало, В тот год осенняя погода.docx

• Стадии и сроки административного судопроизводства.docx

• Природа человека, врожденные и приобретенные качества.docx

• Оценка показателей деловой активности подготовил студент фио.pptx