Файл: Конспект по книге Управление Информационной Безопастностью.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.11.2023
Просмотров: 365
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
, целостности или доступности активов;
· реальную вероятность сбоя в ОИБ с учетом превалирующих угроз ИБ, уязвимостей и их последствий, связанных с этими активами, а также применяемых на текущий момент средств управления ИБ;
· уровни рисков ИБ;
· являются ли риски ИБ приемлемыми или требуют обработки с использованием критериев приемлемых рисков ИБ.
Шаг 6. Определить и оценить различные варианты обработки рисков ИБ, среди которых:
· применение подходящих средств управления;
· сознательное и объективное принятия рисков ИБ при условии, что они полностью соответствуют требованиям политики и критериям организации в отношении принятия рисков ИБ;
· избежание риска ИБ;
· передача соответствующих рисков сторонним организациям, например, страховщикам или поставщикам.
Планирование СУИБ (5)
Шаг 7. Выбрать цели и средства управления (защитные меры) для обработки рисков ИБ, которые должны удовлетворять требованиям, определенным в процессе оценки и обработки рисков ИБ, с учетом критериев принятия рисков ИБ и нормативно-правовых требований и договорных обязательств.
Шаг 8. Получить утверждение руководством предлагаемых остаточных рисков ИБ.
Шаг 9. Получить разрешение руководства на внедрение и эксплуатацию СУИБ.
Шаг 10. Подготовить Положение о применимости, которое включает следующее:
· цели и средства управления и обоснование этого выбора;
· цели и средства управления, реализованные в настоящее время;
· перечень исключений целей и средств управления и процедуру обоснования их исключения.
Планирование СУИБ (6)
Фактически представленные шаги этапа планирования СУИБ преследуют цель принятия решения организацией по следующим трем основным вопросам:
1) установление области действия и политики СУИБ (шаги 1 и 2);
2) выбор защитных мер на основе управления рисками ИБ (шаги 3–7);
3) получение одобрения руководства для мер обработки рисков ИБ и подготовка формулировки применимости требований, т.к. это влечет организационные и, возможно, финансовые издержки организации (шаги 8–10).
Все перечисленные действия весьма объемны и трудоемки. Для их выполнения необходимо создать рабочую группу специалистов из разных подразделений организации, обладающих достаточными знаниями и полномочиями для принятия управленческих решений на всех этапах построения и последующего внедрения СУИБ.
Помимо этого необходимо, чтобы и руководство организации было заинтересовано в построении СУИБ. Важно, чтобы все решения на этапе «планирование» были поддержаны и приняты им.
Выход данного этапа – разработанные процессы управления ИБ, процедуры, поддерживающие и обеспечивающие работу разработанных процессов, а также инструкции для пользователей процессов и исполнителей ролей в рамках процессов.
Реализация СУИБ (1)
На этапе реализации СУИБ происходит внедрение системы и разработанных процессов управления ИБ и последующая их эксплуатация, а именно внедрение и применение политики в отношении СУИБ, защитных мер, процессов и процедур СУИБ. Это весьма трудоемкий процесс, т.к. он требует назначения исполнителей ролей участников разработанных процессов и проведения обучения исполнителей работ. А иногда может потребоваться и оперативная корректировка самих процессов и т.д. [6], [23].
Реализация СУИБ (2)
Согласно рекомендациям стандартов ISO/IEC 27001 и ГОСТ Р ИСО/МЭК 27001 [6], [23] для реализации СУИБ организация должна предпринять следующее:
Реализация СУИБ (3)
Процедуры для реализации и управления СУИБ могут быть организованы как система (дерево) процессов (в терминах процессного подхода). Отдельные шаги реализации СУИБ могут быть организованы как целевые (профильные) процессы деятельности, инициируемые и завершаемые по принятым для них критериям (по времени или событию) и имеющие собственные самодостаточные регламентирующие нормы, включая организационную и ресурсную поддержку [97].
Такое решение может быть также следствием реализации в организации требований нескольких стандартизированных систем управления (не только стандартной СУИБ, но и иных стандартизированных направлений управления). Поскольку практически все международные стандарты на системы управления методологически совместимы, это позволяет выделять и поддерживать унифицированные задачи, например, в части работы с персоналом организации, регистрации и сбора индентов и т.п.
Важным фактором успешного внедрения СУИБ является создание рабочей группы, ответственной за внедрение СУИБ. В ее состав должны войти:
· представители высшего руководства организации;
· представители подразделений, охватываемых СУИБ;
· специалисты подразделений, обеспечивающих ИБ в организации, имеющие соответствующее образование или подготовку, знающие основные принципы и лучшие практики в области ОИБ.
Перечисленные сотрудники должны понимать защитные меры и процессы СУИБ, знать требования нормативной и правовой базы, поддерживаемой в организации, и пройти обучение по вопросам создания и эксплуатации СУИБ.
В состав рабочей группы могут также входить привлеченные консультанты, специализирующиеся в вопросах СУИБ.
Хорошей практикой является создание в организации комитета по ИБ, который, кроме вопросов, связанных с внедрением СУИБ, должен на постоянной основе обеспечить решение задач, определяемых эксплуатацией данной СУИБ и ее непрерывным совершенствованием.
Проверка СУИБ (1)
Вопросы реализации СУИБ на практике неотделимы от соответствующих процедур контроля, сформулированных в отдельном блоке требований СУИБ.
На этапе проверки производятся мониторинг и анализ СУИБ, включающие оценку и, если возможно, количественное измерение результативности и эффективности процессов для проверки соответствия требованиям политики, целям ОИБ и практическому опыту функционирования СУИБ, а также информирование высшего руководства организации о результатах для последующего анализа.
Проверка СУИБ (2)
Более детально для проверки СУИБ организация должна предпринять следующее [6], [23]:
1. Выполнять процедуры мониторинга и анализа, а также использовать другие средства управления в следующих целях:
· своевременно обнаруживать ошибки в результатах обработки;
· своевременно выявлять удавшиеся и неудавшихся попытки нарушения и инциденты ИБ с применением средств индикации;
· предоставлять руководству информацию для принятия решений о ходе выполнения деятельности по ОИБ, осуществляемой как ответственными лицами, так и с применением ИТ;
· определять, являются ли эффективными действия, предпринимаемые СУИБ для устранения нарушений ИБ.
2. Проводить регулярный анализ результативности СУИБ (включая проверку ее соответствия политике и целям СУИБ и анализ средств управления ИБ) с учетом результатов аудиторских проверок ИБ, измерений эффективности СУИБ, инцидентов ИБ, а также предложений и другой информации от всех заинтересованных сторон.
3. Измерять результативность средств управления на предмет соответствия требованиям по ОИБ.
4. Через установленные периоды времени пересматривать оценки рисков ИБ, анализировать остаточные риски и принятые приемлемые риски, учитывая произошедшие изменения в организации, технологиях, целях ее деятельности и процессах, выявленных угрозах ИБ, результативности реализованных средств управления и внешних условиях, например изменения нормативно-правовых требований, договорных обязательств, а также изменения в социальной структуре общества.
5. Через установленные периоды времени проводить внутренние аудиты СУИБ.
6. Регулярно руководством организации проводить анализ СУИБ в целях подтверждения адекватности ее функционирования в рамках установленной области действия и определения направлений совершенствования.
7. Обновлять планы ОИБ с учетом результатов анализа и мониторинга.
8. Регистрировать действия и события, способные повлиять на результативность или функционирование СУИБ.
Результат выполнения деятельности на этапе «проверка» является основой для выполнения деятельности по совершенствованию СУИБ.
Совершенствование СУИБ (1)
Группа процессов «совершенствование» включает в себя деятельность по принятию решений о реализации тактических и/или стратегических улучшений СУИБ. Переход к этому этапу осуществляется только тогда, когда выполнение процессов этапа «проверка» дало результат, требующий совершенствования СУИБ.
Сама деятельность по совершенствованию СУИБ должна реализовываться в рамках групп процессов «реализация» (например, введение в действие существующего плана ОНБ, поскольку на стадии «проверка» определена необходимость в этом) и при необходимости «планирование» (идентификация новой угрозы ИБ и последующие обновления оценки рисков на стадии «планирование»).
Совершенствование СУИБ (2)
Более детально для совершенствования СУИБ организация должна выполнить следующие работы [6], [23]:
Совершенствование СУИБ (3)
При корректировке функционирования СУИБ в первую очередь устраняются несоответствия двух видов:
1) отсутствие или невозможность реализации некоторых требований СУИБ;
2) неспособность СУИБ обеспечить соблюдение ПолИБ и политики СУИБ или реализовывать бизнес-цели организации.
Причины несоответствий могут быть разделены на следующие группы:
· организационные недостатки;
· ошибки персонала;
· технические сбои;
· злоумышленные действия;
· обстоятельства непреодолимой силы.
Совершенствование СУИБ (4)
Источниками информации по выявленным или прогнозируемым несоответствиям могут являться:
· отчеты о внутренних и внешних аудитах ИБ;
· жалобы и рекомендации пользователей организации;
· результаты анализа функционирования СУИБ руководством;
· результаты мониторинга эффективности СУИБ;
· данные по инцидентам ИБ;
· любая другая информация, указывающая на наличие действующих или потенциальных несоответствий.
Совершенствование СУИБ (5)
В разработке (а потом и организации выполнения) корректирующего или предупреждающего действия принимает участие владелец процесса СУИБ или руководитель структурного подразделения, в процессе (подразделении) которого возможно возникновение или возникло несоответствие. Руководитель подразделения по своему усмотрению может назначить одного из сотрудников подразделения ответственным за внедрение предупреждающего действия.
При разработке корректирующих или предупреждающих действий обязательно проводится оценка необходимости и адекватность затрат на проведение этих действий.
При этом должны учитываться следующие факторы:
· документ или требование, к которому относится данное несоответствие;
· причины несоответствий в процессе;
· целесообразность разработки корректирующих или предупреждающих действий;
· сроки выполнения корректирующих или предупреждающих действий;
· сроки проверки эффективности корректирующего/предупреждающего действия;
· ответственность за выполнение действия и проверку его эффективности.
Решение о предупреждающем или корректирующем действии принимается только при условии, если это действие не влияет на целостность СУИБ. Действие признается нарушающим целостность СУИБ, если его выполнение влечет за собой:
· несоответствие требованиям внутренних и внешних нормативных документов;
· нарушение требований документации СУИБ;
· снижение эффективности организационной структуры из-за появления у подразделений задач, дублирующих существующие, или участков с неопределенной ответственностью;
· нарушение баланса между ответственностью и полномочиями.
· реальную вероятность сбоя в ОИБ с учетом превалирующих угроз ИБ, уязвимостей и их последствий, связанных с этими активами, а также применяемых на текущий момент средств управления ИБ;
· уровни рисков ИБ;
· являются ли риски ИБ приемлемыми или требуют обработки с использованием критериев приемлемых рисков ИБ.
Шаг 6. Определить и оценить различные варианты обработки рисков ИБ, среди которых:
· применение подходящих средств управления;
· сознательное и объективное принятия рисков ИБ при условии, что они полностью соответствуют требованиям политики и критериям организации в отношении принятия рисков ИБ;
· избежание риска ИБ;
· передача соответствующих рисков сторонним организациям, например, страховщикам или поставщикам.
Планирование СУИБ (5)
Шаг 7. Выбрать цели и средства управления (защитные меры) для обработки рисков ИБ, которые должны удовлетворять требованиям, определенным в процессе оценки и обработки рисков ИБ, с учетом критериев принятия рисков ИБ и нормативно-правовых требований и договорных обязательств.
Шаг 8. Получить утверждение руководством предлагаемых остаточных рисков ИБ.
Шаг 9. Получить разрешение руководства на внедрение и эксплуатацию СУИБ.
Шаг 10. Подготовить Положение о применимости, которое включает следующее:
· цели и средства управления и обоснование этого выбора;
· цели и средства управления, реализованные в настоящее время;
· перечень исключений целей и средств управления и процедуру обоснования их исключения.
Планирование СУИБ (6)
Фактически представленные шаги этапа планирования СУИБ преследуют цель принятия решения организацией по следующим трем основным вопросам:
1) установление области действия и политики СУИБ (шаги 1 и 2);
2) выбор защитных мер на основе управления рисками ИБ (шаги 3–7);
3) получение одобрения руководства для мер обработки рисков ИБ и подготовка формулировки применимости требований, т.к. это влечет организационные и, возможно, финансовые издержки организации (шаги 8–10).
Все перечисленные действия весьма объемны и трудоемки. Для их выполнения необходимо создать рабочую группу специалистов из разных подразделений организации, обладающих достаточными знаниями и полномочиями для принятия управленческих решений на всех этапах построения и последующего внедрения СУИБ.
Помимо этого необходимо, чтобы и руководство организации было заинтересовано в построении СУИБ. Важно, чтобы все решения на этапе «планирование» были поддержаны и приняты им.
Выход данного этапа – разработанные процессы управления ИБ, процедуры, поддерживающие и обеспечивающие работу разработанных процессов, а также инструкции для пользователей процессов и исполнителей ролей в рамках процессов.
Реализация СУИБ (1)
На этапе реализации СУИБ происходит внедрение системы и разработанных процессов управления ИБ и последующая их эксплуатация, а именно внедрение и применение политики в отношении СУИБ, защитных мер, процессов и процедур СУИБ. Это весьма трудоемкий процесс, т.к. он требует назначения исполнителей ролей участников разработанных процессов и проведения обучения исполнителей работ. А иногда может потребоваться и оперативная корректировка самих процессов и т.д. [6], [23].
Реализация СУИБ (2)
Согласно рекомендациям стандартов ISO/IEC 27001 и ГОСТ Р ИСО/МЭК 27001 [6], [23] для реализации СУИБ организация должна предпринять следующее:
Реализация СУИБ (3)
Процедуры для реализации и управления СУИБ могут быть организованы как система (дерево) процессов (в терминах процессного подхода). Отдельные шаги реализации СУИБ могут быть организованы как целевые (профильные) процессы деятельности, инициируемые и завершаемые по принятым для них критериям (по времени или событию) и имеющие собственные самодостаточные регламентирующие нормы, включая организационную и ресурсную поддержку [97].
Такое решение может быть также следствием реализации в организации требований нескольких стандартизированных систем управления (не только стандартной СУИБ, но и иных стандартизированных направлений управления). Поскольку практически все международные стандарты на системы управления методологически совместимы, это позволяет выделять и поддерживать унифицированные задачи, например, в части работы с персоналом организации, регистрации и сбора индентов и т.п.
Важным фактором успешного внедрения СУИБ является создание рабочей группы, ответственной за внедрение СУИБ. В ее состав должны войти:
· представители высшего руководства организации;
· представители подразделений, охватываемых СУИБ;
· специалисты подразделений, обеспечивающих ИБ в организации, имеющие соответствующее образование или подготовку, знающие основные принципы и лучшие практики в области ОИБ.
Перечисленные сотрудники должны понимать защитные меры и процессы СУИБ, знать требования нормативной и правовой базы, поддерживаемой в организации, и пройти обучение по вопросам создания и эксплуатации СУИБ.
В состав рабочей группы могут также входить привлеченные консультанты, специализирующиеся в вопросах СУИБ.
Хорошей практикой является создание в организации комитета по ИБ, который, кроме вопросов, связанных с внедрением СУИБ, должен на постоянной основе обеспечить решение задач, определяемых эксплуатацией данной СУИБ и ее непрерывным совершенствованием.
Проверка СУИБ (1)
Вопросы реализации СУИБ на практике неотделимы от соответствующих процедур контроля, сформулированных в отдельном блоке требований СУИБ.
На этапе проверки производятся мониторинг и анализ СУИБ, включающие оценку и, если возможно, количественное измерение результативности и эффективности процессов для проверки соответствия требованиям политики, целям ОИБ и практическому опыту функционирования СУИБ, а также информирование высшего руководства организации о результатах для последующего анализа.
Проверка СУИБ (2)
Более детально для проверки СУИБ организация должна предпринять следующее [6], [23]:
1. Выполнять процедуры мониторинга и анализа, а также использовать другие средства управления в следующих целях:
· своевременно обнаруживать ошибки в результатах обработки;
· своевременно выявлять удавшиеся и неудавшихся попытки нарушения и инциденты ИБ с применением средств индикации;
· предоставлять руководству информацию для принятия решений о ходе выполнения деятельности по ОИБ, осуществляемой как ответственными лицами, так и с применением ИТ;
· определять, являются ли эффективными действия, предпринимаемые СУИБ для устранения нарушений ИБ.
2. Проводить регулярный анализ результативности СУИБ (включая проверку ее соответствия политике и целям СУИБ и анализ средств управления ИБ) с учетом результатов аудиторских проверок ИБ, измерений эффективности СУИБ, инцидентов ИБ, а также предложений и другой информации от всех заинтересованных сторон.
3. Измерять результативность средств управления на предмет соответствия требованиям по ОИБ.
4. Через установленные периоды времени пересматривать оценки рисков ИБ, анализировать остаточные риски и принятые приемлемые риски, учитывая произошедшие изменения в организации, технологиях, целях ее деятельности и процессах, выявленных угрозах ИБ, результативности реализованных средств управления и внешних условиях, например изменения нормативно-правовых требований, договорных обязательств, а также изменения в социальной структуре общества.
5. Через установленные периоды времени проводить внутренние аудиты СУИБ.
6. Регулярно руководством организации проводить анализ СУИБ в целях подтверждения адекватности ее функционирования в рамках установленной области действия и определения направлений совершенствования.
7. Обновлять планы ОИБ с учетом результатов анализа и мониторинга.
8. Регистрировать действия и события, способные повлиять на результативность или функционирование СУИБ.
Результат выполнения деятельности на этапе «проверка» является основой для выполнения деятельности по совершенствованию СУИБ.
Совершенствование СУИБ (1)
Группа процессов «совершенствование» включает в себя деятельность по принятию решений о реализации тактических и/или стратегических улучшений СУИБ. Переход к этому этапу осуществляется только тогда, когда выполнение процессов этапа «проверка» дало результат, требующий совершенствования СУИБ.
Сама деятельность по совершенствованию СУИБ должна реализовываться в рамках групп процессов «реализация» (например, введение в действие существующего плана ОНБ, поскольку на стадии «проверка» определена необходимость в этом) и при необходимости «планирование» (идентификация новой угрозы ИБ и последующие обновления оценки рисков на стадии «планирование»).
Совершенствование СУИБ (2)
Более детально для совершенствования СУИБ организация должна выполнить следующие работы [6], [23]:
Совершенствование СУИБ (3)
При корректировке функционирования СУИБ в первую очередь устраняются несоответствия двух видов:
1) отсутствие или невозможность реализации некоторых требований СУИБ;
2) неспособность СУИБ обеспечить соблюдение ПолИБ и политики СУИБ или реализовывать бизнес-цели организации.
Причины несоответствий могут быть разделены на следующие группы:
· организационные недостатки;
· ошибки персонала;
· технические сбои;
· злоумышленные действия;
· обстоятельства непреодолимой силы.
Совершенствование СУИБ (4)
Источниками информации по выявленным или прогнозируемым несоответствиям могут являться:
· отчеты о внутренних и внешних аудитах ИБ;
· жалобы и рекомендации пользователей организации;
· результаты анализа функционирования СУИБ руководством;
· результаты мониторинга эффективности СУИБ;
· данные по инцидентам ИБ;
· любая другая информация, указывающая на наличие действующих или потенциальных несоответствий.
Совершенствование СУИБ (5)
В разработке (а потом и организации выполнения) корректирующего или предупреждающего действия принимает участие владелец процесса СУИБ или руководитель структурного подразделения, в процессе (подразделении) которого возможно возникновение или возникло несоответствие. Руководитель подразделения по своему усмотрению может назначить одного из сотрудников подразделения ответственным за внедрение предупреждающего действия.
При разработке корректирующих или предупреждающих действий обязательно проводится оценка необходимости и адекватность затрат на проведение этих действий.
При этом должны учитываться следующие факторы:
· документ или требование, к которому относится данное несоответствие;
· причины несоответствий в процессе;
· целесообразность разработки корректирующих или предупреждающих действий;
· сроки выполнения корректирующих или предупреждающих действий;
· сроки проверки эффективности корректирующего/предупреждающего действия;
· ответственность за выполнение действия и проверку его эффективности.
Решение о предупреждающем или корректирующем действии принимается только при условии, если это действие не влияет на целостность СУИБ. Действие признается нарушающим целостность СУИБ, если его выполнение влечет за собой:
· несоответствие требованиям внутренних и внешних нормативных документов;
· нарушение требований документации СУИБ;
· снижение эффективности организационной структуры из-за появления у подразделений задач, дублирующих существующие, или участков с неопределенной ответственностью;
· нарушение баланса между ответственностью и полномочиями.