Впоследствии при росте уровня зрелости всех локальных СУИБ и при постановке соответствующей задачи со стороны высшего руководства возможно их объединение в единую СУИБ, область деятельности которой будет распространяться сразу на несколько территориально распределенных подразделений организации.
Для всех подразделений, для которых функционирует СУИБ, аудит ИБ проводится в соответствии с внутренними процедурами организации.
Область действия СУИБ (4)
Выбор области действия будущей СУИБ – не такая простая задача, как кажется с первого взгляда.
В рамках большой организации, предоставляющей внешние услуги своим заказчикам, для выбора области действия может потребоваться ведение отдельного проекта. В основе этого проекта будет лежать глубокий анализ существующих бизнес-процессов организации, их взаимосвязей, выходных результатов каждого из процессов и заинтересованных сторон в рамках каждого из процессов.
Даже в небольшой организации, где, казалось бы, есть всего несколько ключевых бизнес-процессов, подобный анализ очень полезен, т.к. в результате может быть получена непредвиденная заранее картина, в которой проявятся неочевидные взаимосвязи между процессами, и фокус критичности бизнес-процессов может быть смещен в другую сторону.
Основной результат деятельности по определению области действия СУИБ – это документ, включающий следующее:

· сводка поручений по управлению ИБ, установленных руководством организации, и обязательства, налагаемых на внешних организации;

· описание того, как части области действия взаимодействуют с другими системами управления;

· список бизнес-целей управления ИБ;

· список критических бизнес-процессов, систем, информационных активов, организационных структур и географических районов, где будет применяться СУИБ;

· взаимоотношения существующих систем управления, регулирующих и надзорных органов, и целей организации;

· характеристики бизнеса, самой организации, ее местонахождение, активов и используемых технологий.
Результаты определения применимой области действия СУИБ оказывают существенное влияние на объемы работ, которые необходимо будет выполнить при планировании СУИБ.

---

Документальное обеспечение СУИБ (1)
Любые процессы управления базируются на поддерживающем их документальном обеспечении (далее для краткости называемым документацией). Управленческие процессы СУИБ не являются исключением. Все выше перечисленные национальные и международные стандарты для СУИБ требуют, чтобы в процессе внедрения СУИБ был разработан объемный пакет документации. Неправильно организованный процесс ее разработки может привести к серьезному перерасходу ресурсов и, более того, может снизить эффект от внедрения СУИБ.
В рамках СУИБ используется достаточно большое количество различных документов, которые имеют свой жизненный цикл – они создаются, согласуются, пересматриваются, исполняются, хранятся и т.д.
По отдельным процессам управления ИБ создаются документы, содержащие записи, свидетельствующие о работе этих процессов (примерами записей являются протокол аудита ИБ и заполненные формы разрешения доступа). Регистрация таких записей предусматривает идентификацию, сбор, заполнение, хранение и ведения зарегистрированных данных.
Все документы, относящиеся к СУИБ, должны находиться под ее управлением, а именно: учитываться, легко идентифицироваться, контролироваться с точки зрения версий и актуальности [6], [17], [23]. Управление документами и записями составляет важную часть процесса управления рисками ИБ, которая должна реализоваться параллельно с другими процессами управления ИБ. Существующие стандарты по управлению ИБ определяют совокупность обязательных требований по управлению документами и записями, которые должны обеспечить их адекватную защищенность и управляемость и использоваться соответствующие процедуры и процессы [6], [23]. Эти требования согласованы с требованиями, содержащимися в других стандартах по системам управления, например, в ГОСТ Р ИСО 9000-2001 [17]. Соблюдение данных требования дает организации ряд преимуществ (включая возможность проведения совместных/комплексных аудитов), позволяет сэкономить средства, необходимые для управления и сопровождения документации СУИБ, помогает лучше контролировать бизнес-активы и в результате обеспечить комплексное управление ИБ.
Преимущества наличия документации СУИБ для организации очевидны – детальное описание СУИБ и предоставление информации о ней всем заинтересованным и попадающим в область действия СУИБ лицам для лучшего понимания деятельности по управлению ИБ и своего места в этой деятельности.

---

Документальное обеспечение СУИБ (2)
Объем документации СУИБ может отличаться у разных организаций вследствие их разного размера и вида деятельности, сложности процессов управления ИБ и их взаимодействия, а также компетенции создававшего их персонала.
В документацию СУИБ обычно включаются следующее документы:

· политика СУИБ;

· руководства по процессам управления ИБ;

· документированные процедуры;

· рабочие инструкции;

· формы и шаблоны;

· планы работ;

· спецификации;

· внешние документы (международные стандарты, ГОСТы и т.п.);

· отчетные документы и т.п.

Документальное обеспечение СУИБ (3)
Тогда по аналогии с иерархией документов по ОИБ организаций БС РФ иерархия документов СУИБ может быть представлена так, как показано на рисунке.
Документы СУИБ первого уровня включают Политику СУИБ и, возможно, детализирующие ее подполитики (например, обработки рисков ИБ, обработки инцидентов ИБ и т.п.).
Второй уровень представлен двумя типами документов СУИБ.

1. Планы работ по управления ИБ. В состав планов входят

· планы мероприятий по обеспечению деятельности в рамках управления ИБ, реализации и внедрению процедур, требований и мер по ОИБ, управлению документами, связанными с СУИБ;

· планы обработки рисков ИБ;

· планы мероприятий на случаи возможных инцидентов ИБ;

· планы работ по обслуживанию аппаратных средств и программных систем, используемых для ОИБ, обучению и повышению осведомленности работников организации и т.д.




Документальное обеспечение СУИБ (4)
Третий уровень документов СУИБ – наиболее объемная часть документации, описывающая конкретные действия каждого участника процесса управления ИБ. Этот уровень составляют документы СУИБ, содержащие требования к процедурам управления ИБ, выполняемым как структурными подразделениями организации, так и ее сотрудниками в рамках технологических процессов, реализующих технологии, которые определены в различных ПолИБ организации и Политике СУИБ.
В этих документах даются детализированные описания, приводятся конкретные приемы и порядки выполняемых действий и/или вводимых ограничений, что должно позволить четко определить правила выполнения задач управлении ИБ на каждом рабочем месте, для каждой роли ИБ, а также установить конкретную ответственность за выполнение предписанных требований.

---

Документальное обеспечение СУИБ (5)
К документам СУИБ третьего уровня относятся, например:

1) инструкции, в том числе и должностные;

2) руководства, например, по классификации защищаемых активов;

3) методические указания;

4) документы, содержащие требования к конфигурациям программно-аппаратных СЗИ с указанием конкретных значений параметров систем и их компонентов, а также способы их настройки, позволяющие обеспечить требуемый уровень ИБ.



Документальное обеспечение СУИБ (6)
Четвертый уровень составляют документы СУИБ, содержащие свидетельства – записи о результатах реализации деятельности по управлению ИБ, регламентированной документами верхних уровней иерархии. Все эти документы СУИБ вместе могут служить документированным доказательством реализации деятельности по управлению ИБ при проведении внутреннего контроля и аудитов ИБ организации.
К этой группе документов относятся реестры и описи (например, опись активов), регистрационные журналы (включая журналы регистрации инцидентов ИБ), протоколы (например, протокол проведения испытаний), листы ознакомления, обязательства (например, обязательства о неразглашении), акты, договоры, отчеты и многое другое.
Наличие документов СУИБ этого уровня определяется требованиями, зафиксированными в документах СУИБ ИБ верхних уровней иерархии. Должно обеспечиваться их архивное хранение, время которого может определяться как требованиями законодательных актов РФ, так и требованиями самой организации.




Документальное обеспечение СУИБ (7)
В состав документов по управлению ИБ организации рекомендуется включить документ (классификатор), содержащий перечень и назначение всех документов СУИБ для каждого из вышеопределенных уровней иерархической структуры [78].
При наличии у организации сети филиалов, в каждом из них рекомендуется иметь единый для организации, утвержденный комплект документов по управлению ИБ. В случае возникновения необходимости учета специфики конкретных филиалов в них должны быть разработаны собственные документы, учитывающие эту специфику, но при это базирующиеся на положениях документов СУИБ, принятых головной организацией организации, и не противоречащие им.

---

Все документы СУИБ обязательно защищаются и ими нужно управлять.
СУИБ как документированная система управления должна удовлетворять следующим требованиям [6], [23]:

· документы должны проверяться на адекватность до их утверждения и выпуска;

· должны осуществляться анализ и обновление документов по мере необходимости и при пересмотре документов, а также их последующее повторное утверждение;

· должна быть обеспечена идентификация изменений и статуса текущей редакции документов;

· должна быть обеспечена доступности актуальных версий соответствующих документов в местах их использования;

· должна быть сохранена удобочитаемость и легкость идентификации документов;

· должна быть обеспечена доступность документов тем, кому они требуются, а также перемещение, хранение и, наконец, уничтожение документов согласно процедурам, применяемым в соответствии с их классификацией;

· должна быть обеспечена идентификация документов внешнего происхождения;

· должны быть обеспечены контроль и управление над распространением документов;

· должны быть предприняты меры по предотвращению случайного (неумышленного) использования устаревших документов;

· должна быть применена подходящая идентификация документов, если они сохраняются для каких-либо целей.

Документальное обеспечение СУИБ (8)
Согласно ранее сформулированным рекомендациям [6], [23], при реализации СУИБ должны создаваться и поддерживаться в рабочем состоянии записи, содержащие свидетельства соответствия требованиям и эффективного функционирования СУИБ. Все эти записи играют особо важную роль в управлении ИБ. Например, при обработке инцидента ИБ важно, чтобы он был рассмотрен с той степенью своевременности и тем уровнем приоритета, которые соответствуют его серьезности. Чтобы обработать инцидент ИБ наиболее подходящим образом, требуются некоторые данные: где и когда он произошел, при каких обстоятельствах, что произошло, какие были последствия и т.д., а все это фиксируется в соответствующих документах СУИБ.
В записях отражаются показатели процессов управления ИБ и все эпизоды значительных инцидентов ИБ, связанные с СУИБ.
Эти записи должны быть защищены и управляемы, разборчивы, легко идентифицируемы и извлекаемы. Средства управления, необходимые для идентификации, хранения, защиты, поиска, а также сроки хранения и ликвидации записей должны быть документированы и реализованы.

---

Смотрите также файлы

• Тема Феномен и сущность культуры Задание к каким культурологическим подходам.docx

• Жизнь и творчество А. С. Пушкина. За весной, красой природы, Уж небо осенью дышало, В тот год осенняя погода.docx

• Стадии и сроки административного судопроизводства.docx

• Природа человека, врожденные и приобретенные качества.docx

• Оценка показателей деловой активности подготовил студент фио.pptx