Такие данные могут быть получены из правильно ведущихся, точных записей.
И, конечно, существуют правовые требования по сбору и предоставлению доказательств в случае инцидента ИБ с уголовно-правовыми последствиями.
Поэтому важно не только вести записи, но и обеспечивать защиту этих записей, включая защиту их целостности, доступности и конфиденциальности.
Документальное обеспечение СУИБ (9)
Все документальное обеспечение СУИБ проходит несколько стадий жизненного цикла:

· начальная оценка необходимости разработки документа исходя из намеченных целей,

· собственно его разработка специально определенной группой лиц с соответствующими полномочиями и предоставленными для этого ресурсами,

· утверждение уполномоченным лицом и установление дат его введения и пересмотра,

· публикация внутри организации (доведение до сведения всех заинтересованных лиц и лиц, на которых его действие распространяется),

· использование документа и непосредственное исполнение его положений,

· сопровождение с последующим внесением изменений или изъятием из обращения после процедуры пересмотра.


Поддержка СУИБ со стороны руководства организации (1)
Руководство организации играет весьма важную роль на всех этапах жизненного цикла СУИБ: начиная от разработки, заканчивая ее постоянным совершенствованием. В связи с этим стандарты ISO/IEC 27001 и ГОСТ Р ИСО/МЭК 27001 вводят следующие требования [6], [23].
Руководство должно продемонстрировать свою поддержку (приверженность, заинтересованность) разработки, внедрения, обеспечения функционирования, мониторинга, анализа и улучшения СУИБ посредством:



Поддержка СУИБ со стороны руководства организации (2)
Прямо выраженная, явная и реальная поддержка со стороны руководства организации требуется при определении и предоставлении ресурсов, которые необходимы для следующего:



Поддержка СУИБ со стороны руководства организации (3)

---

Если отойти от формальных требований стандартов и задуматься, кто, кроме высшего руководства организации, обладает достаточными полномочиями для принятия перечисленных решений и выполнения перечисленных действий, то можно прийти к выводу, что только высшее руководство и в состоянии осуществлять эту деятельность, столь необходимую для полноценной жизни СУИБ. Только в таком случае появляется уверенность в том, что для СУИБ будут предоставлены все необходимые ресурсы, все управленческие решения будут также приняты в срок и с учетом стратегических целей бизнеса организации.
4.8. Процессный подход в рамках управления ИБ

Чтобы функционировать эффективно, организация должна идентифицировать и управлять различными видами осуществляемой деятельности. Как было отмечено ранее, любое действие, использующее ресурсы и управляемое с целью преобразования входных данных в выходные, может рассматриваться как процесс. Применение системы процессов в организации, идентификация и взаимодействие этих процессов, а также управление этими процессами может быть названо «процессным подходом». Все это справедливо и в отношении обеспечения и управления ИБ, т.к. любые действия в рамках данных видов деятельности могут рассматриваться как процессы.
Циклическая модель описания процессов СУИБ (1)
Особенности процессного подхода к СУИБ поясняет рисунок [6], [9], [23].
Циклическая модель описания процессов СУИБ предполагает наличие четырех подпроцессов: планирование – реализация – проверка – совершенствование.
При этом можно выделить входные и выходные данные. СУИБ принимает в качестве входных данных требования по ОИБ и ожидания заинтересованных сторон и в результате ряда необходимых действий и процессов на выходе получается управляемая ИБ, которая удовлетворяет этим требованиям и ожиданиям.


Циклическая модель описания процессов СУИБ (2)


Процессный подход – предпосылки улучшения процесса

---

Одна из основных целей внедрения СУИБ – создание таких условий в организации, когда происходит постоянный мониторинг и улучшение каждого из процессов ОИБ и смежных процессов. Взаимно усиливая друг друга, эти улучшения позволяют создать все более совершенную СУИБ. Частным критерием улучшения каждого из процессов управления ИБ может служить снижение числа несоответствий, выявляемых в ходе различных проверок, таких как внутренние аудиты ИБ, мониторинг эффективности процессов и т.д. Появление несоответствий можно рассматривать как возникновение некоторой проблемы, решение которой ведет к улучшению процесса (после этого она не возникает снова), а, следовательно, и к достижению запланированных результатов, удовлетворению всех заинтересованных сторон и реализации принципа постоянного улучшения.
Каждый факт появления несоответствия должен приводить к выполнению определенной последовательности действий, а именно:

· коррекция (устранение несоответствия);

· анализ несоответствия;

· установление коренной причины его появления;

· определение корректирующих действий;

· направленных на устранение причины несоответствия;

· выполнение этих действий;

· анализ их результативности и эффективности.
Планирование СУИБ (1)
Применительно к СУИБ на этапе планирования осуществляется непосредственная ее разработка: устанавливается область действия и политика для СУИБ, определяются цели, задачи, процессы и процедуры, адекватные потребностям бизнеса в управлении рисками ИБ и позволяющие повысить уровень ИБ, а также получить результаты, соответствующие общим политикам и целям организации.
Целью выполнения деятельности в рамках группы процессов «планирование» является запуск «цикла» СУИБ путем определения первоначальных планов ее построения, ввода в действие и контроля, а также определения планов по совершенствованию на основании решений, принятых на этапе «совершенствование» (если это уже не первый цикл).
Сочетая при создании СУИБ различные принципы управления в каждом отдельном контуре защиты объекта, можно добиться оптимального для ОИБ соотношения «затраты-эффект».
Разработка СУИБ, как и любой системы управления, основывается на трех базовых принципах управления [99]:

---

Планирование СУИБ (2)
Выполнение деятельности на данной стадии заключается в обследовании организации с целью определения степени соответствия требованиям по ОИБ и требованиям к СУИБ, определении/корректировке области действия СУИБ, разработке плана мероприятий по построению СУИБ с учетом выбранной области и степени соответствия требованиям к СУИБ в границах области действия, формализации подхода к оценке рисков ИБ и распределении ресурсов, проведении оценки рисков ИБ и определении/коррекции планов их обработки, разработке механизмов и процессов управления ИБ [6], [23].
При проведении обследования организации основными источниками информации являются документы организации (политики, процедуры, инструкции и т.д.) и результаты интервьюирования сотрудников организации.
После обследования организация должна выполнить 10 этапов (шагов) [6], [23], [97].
Шаг 1. Определить/уточнить область и границы действия СУИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий, также включая детали и обоснования любых исключений из области действия; при этом важно учесть все риски для организации – операционные, репутационные и т.п.

---

Планирование СУИБ (3)
Шаг 2. Определить/уточнить политику СУИБ на основе характеристик бизнеса организации, ее размещения, активов и технологий.
Политика СУИБ имеет приоритет по сравнению с ПолИБ организации, хотя обе политики могут быть представлены одним общим документом.
Политика СУИБ обычно:

· включает в себя концепцию для установки целей, основных направления и принципов действия в отношении ИБ;

· учитывает бизнес-требования и нормативно-правовые требования (включая международные и национальные стандарты в области ОИБ), а также договорные обязательства по ОИБ;

· согласуется со стратегическим управлением рисками организации, в рамках которого будет происходить разработка и поддержка СУИБ;

· устанавливает критерии оценки рисков ИБ;

· утверждается руководством.



Планирование СУИБ (3)
Шаг 3. Определить/уточнить подход к оценке рисков ИБ для наиболее критичных активов и бизнес-процессов организации, включая:

· методологию оценки рисков ИБ, которая применима для СУИБ и соответствует установленным бизнес-требованиям по ОИБ и нормативно-правовым требованиям; она должна давать сравнимые и воспроизводимые результаты;

· критерии принятия рисков ИБ и приемлемые уровни риска ИБ.

Полученные методики и критерии будут использованы при идентификации, анализе и оценивании рисков (шаги 4, 5 и 6).
Для выполнения этапов (шагов) 4, 5 и 6 необходимы входные данные:

· список и классификация активов, подлежащих защите;

· модель угроз ИБ, включающая перечень и описание уязвимостей и факторов, влияющих на успешность реализации угроз ИБ.
Шаг 4. Выявить и идентифицировать риски ИБ, определив:

· защищаемые активы в рамках области действия СУИБ, а также владельцев этих активов;

· угрозы ИБ для этих активов;

· уязвимости активов, которые могут быть использованы угрозами ИБ;

· негативные последствия, которые ведут к потере конфиденциальности, целостности и доступности активов.

Планирование СУИБ (4)
Шаг 5. Проанализировать и оценить риски ИБ, для чего необходимо оценить:

· ущерб для деятельности организации, который может быть нанесен в результате сбоя в ОИБ, с учетом возможных последствий нарушения конфиденциальности

---

Смотрите также файлы

• Тема Феномен и сущность культуры Задание к каким культурологическим подходам.docx

• Жизнь и творчество А. С. Пушкина. За весной, красой природы, Уж небо осенью дышало, В тот год осенняя погода.docx

• Стадии и сроки административного судопроизводства.docx

• Природа человека, врожденные и приобретенные качества.docx

• Оценка показателей деловой активности подготовил студент фио.pptx