Читать книгу "Управление информационной безопасностью. Стандарты СУИБ"
Автор книги: Вадим Гребенников
Жанр: Зарубежная компьютерная литература, Зарубежная литература
Возрастные ограничения: 12+
сообщить о неприемлемом содержимом
1. Одобрение руководством проектирования СУИБ
Цель: Получить одобрение руководства путем определения случая применения СУИБ для предприятия и подготовки плана проекта.
Исходные данные: Описание случая применения СУИБ для данного предприятия, включающее приоритеты и цели внедрения СУИБ, а также структуру организации для СУИБ.
Рекомендации: Составить первоначальный план проекта СУИБ.
Выходные данные: Описание случая применения СУИБ для данного предприятия и первоначальный план проекта СУИБ с описанием ключевых этапов.
Одобрение руководством проектирования СУИБ определяют следующие процессы:
1) определение приоритетов организации для разработки СУИБ;
2) определение предварительной области действия СУИБ;
3) техническое обоснование и план проекта СУИБ для получения санкции руководства.
1.1. Определение приоритетов организации для разработки СУИБ
Исходные данные:
– стратегические цели организации;
– обзор существующих систем управления;
– перечень действующих нормативно-правовых и договорных требований к ИБ.
Рекомендации: Выполнить сбор существенной информации, показывающей значение СУИБ для организации. Организация должна определить, зачем нужна СУИБ, определить цели внедрения СУИБ и запустить проектирование СУИБ.
Выходные данные:
– документ, излагающий цели, приоритеты в области ИБ и требования организации к системе СУИБ;
– перечень нормативно-правовых и контрактных требований к ИБ организации;
– описание характеристик организации, местонахождения, активов и технологий.
1.2. Определение предварительной области действия СУИБ
Определение предварительной области обеспечивают следующие процессы:
– разработка предварительной области;
– определение для нее ролей и сфер ответственности.
1.2.1. Разработка предварительной области
Исходные длиные: Выходные данные 1.1.
Рекомендации: Определить структуру организации для реализации СУИБ.
Выходные данные:
– изложение обязательных требований к УИБ, определяемых руководством организации, и обязательств, накладываемых на организацию извне;
– описание того, как части области действия СУИБ взаимодействуют с другими системами управления;
– перечень целей предприятия в области УИБ;
– перечень важнейших бизнес-процессов, активов, организационных структур и регионов, где будет использоваться СУИБ;
– соотношение существующих систем управления, регулирования, соответствия и целей организации;
– характеристики организация, местонахождение, активы и технологии.
1.2.2. Определение для предварительной области ролей и сфер ответственности
Исходные данные
– выходные данные 1.2.1;
– список заинтересованных сторон, которые получат выгоду в результате реализации проекта СУИБ.
Рекомендации: Определить роль организации в реализации проекта и ответственных лиц за УИБ, а для сотрудников должны быть определены роли и сферы ответственности на основе квалификации, требуемой для выполняемой работы.
Выходные данные: представляют собой документ или таблицу, описывающую роли и сферы ответственности с указанием имен и организацию, необходимую для успешного внедрения СУИБ.
1.3. Техническое обоснование и план проекта СУИБ для получения санкции руководства
Одобрение руководства и выделение ресурсов для реализации проекта внедрения СУИБ должны быть получены путем определения случая применения СУИБ для предприятия и подготовки плана проекта СУИБ.
Исходные данные:
– выходные данные 1.1;
– выходные данные 1.2.
Рекомендации:
Информация по случаю применения СУИБ для предприятия и первоначальный план проекта СУИБ должны охватывать следующие вопросы:
– цели и конкретные задачи;
– выгоды для организации;
– предварительная область действия СУИБ, включая затрагиваемые бизнес-процессы;
– важнейшие процессы и ф акторы для достижения целей СУИБ;
– описание проекта высокого уровня;
– первоначальный план внедрения СУИБ;
– определенные роли и сферы ответственности;
– требуемые ресурсы (технологические и людские);
– соображения, касающиеся внедрения СУИБ, включая существующую систему ИБ;
– временная шкала с ключевыми этапами;
– предполагаемые затраты;
– важнейшие факторы успеха;
– количественное определение выгод для организации.
Руководство должно утвердить описание случая применения СУИБ для предприятия и первоначальный план проекта, чтобы составить поручения для всей организации и начать реализацию проекта СУИБ.
Выходные данные:
– документированное одобрение руководством выполнения проекта СУИБ с распределенными ресурсами;
– документированное описание случая применения СУИБ для данного предприятия;
– начальное предложение по проекту СУИБ с основными этапами, такими как выполнение оценки риска, реализация проекта, внутренний аудит и проверки, осуществляемые руководством.
2. Определение области действия, границ и политики СУИБ
Цель: Определить области действия и границ СУИБ и разработать политику СУИБ.
Определение области действия и границ СУИБ обеспечивают предварительные процессы:
– определение организационной и физической областей действия и границ СУИБ;
– определение области действия и границ информационных и коммуникационных технологий (далее – ИКТ);
Определение областей действия и политики СУИБ также обеспечивают заключительные процессы:
– объединение всех областей действия и границ СУИБ;
– разработка политики СУИБ и получение одобрения руководства.
2.1. Определение организационной области действия и границ
Исходные данные:
– выходные данные 1.2 – документированная предварительная область действия СУИБ, охватывающая:
• соотношения существующих систем управления, регулирования, соответствия и целей организации;
• характеристики организации, ее местонахождения, активов и технологий.
– выходные данные 1.1 – документированное утверждение руководством внедрения СУИБ и запуск проекта с необходимыми распределенными ресурсами.
Рекомендации: Одним из методов определения организационных границ является определение сфер ответственности, не перекрывающих друг друга, чтобы облегчить назначение подотчетности в организации.
На основе такого подхода анализируемые организационные границы должны определять всех сотрудников, участвующих в сфере УИБ, и эти границы должны быть включены в область действия СУИБ. Если некоторые процессы в организации выполняются сторонними организациями, эти зависимости должны быть четко задокументированы.
Выходные данные:
– описание организационных границ СУИБ, включая обоснования исключения каких-либо частей организации из области действия СУИБ;
– функции и структура частей организации, находящихся в области действия СУИБ;
– определение информации, подлежащей обмену в рамках области действия СУИБ, и информации, обмен которой осуществляется через границы СУИБ;
– процессы в организации и сферы ответственности за информационные активы в области действия СУИБ и за ее пределами;
– процесс в иерархии принятия решений, а также ее структура в рамках системы СУИБ.
2.2. Определение области действия и границ ИКТ
Исходные данные:
– выходные данные 1.2 – описание предварительной области действия СУИБ;
– выходные данные 2.1 – определение организационной области действия и границ.
Рекомендации: Определение области действия и границ ИКТ может быть получено на основе анализа имеющихся информационных систем. Элементы ИКТ включают все части организации, которые хранят, обрабатывают или передают важную информацию, активы или являются важными для других частей организации, входящих в область действия СУИБ.
Границы ИКТ должны включать описание следующих элементов:
– инфраструктура связи, в которой ответственность за ее управление входит в компетенцию организации, располагающей различными технологиями (например, беспроводные и проводные сети или сети передачи данных и телефонной связи);
– ПО в рамках организационных границ, используемое и контролируемое организацией;
– аппаратное обеспечение ИКТ, требуемое для сетей, приложений или производственных систем;
– роли и сферы ответственности, связанные с аппаратным обеспечением ИКТ, сетью и ПО.
Выходные данные:
– информация, обмен которой осуществляется как в рамках области действия СУИБ, так и через ее границы;
– границы ИКТ для СУИБ с обоснованием исключения из области действия СУИБ каких-либо элементов ИКТ, находящихся под управлением организации;
– информация об информационных и телекоммуникационных системах, описывающая, какие из них находятся в пределах области действия СУИБ вместе с ролями и сферами ответственности для этих систем.
2.3. Определение физической области действия и границ
Исходные данные:
– выходные данные 1.2 – описание предварительной области действия СУИБ;
– выходные данные 2.1 – определение организационной области действия и границ;
– выходные данные 2.2 – определение области действия и границ ИКТ.
Рекомендации: Определить помещения, обьекты и оборудование в организации, которые должны стать частью СУИБ. При этом сложнее работать с информационными системами, пересекающими физические границы, и для этого требуется:
– периферийное оборудование;
– средства связи с информационными системами клиентов и обслуживание, предоставляемое сторонними организациями;
– применение соответствующих средств связи и уровней обслуживания.
Физические границы должны включать описание следующих элементов:
– функций или процессов с учетом их физического местонахождения и степени контроля их организацией;
– специального оборудования, используемого для размещения аппаратного обеспечения ИКТ или данных, применяемых в СУИБ.
Выходные данные:
– описание физических границ СМИБ с обоснованием для исключения каких-либо физических границ, находящихся под управлением организации, из области действия СМИБ;
– описание организации и ее географических характеристик, относящихся к области действия СМИБ.
2.4. Объединение всех областей действия и границ СУИБ
Исходные данные:
– выходные данные 1.2 – описание предварительной области действия СУИБ;
– выходные данные 2.1 – определение организационной области действия и границ;
– выходные данные 2.2 – определение области действия и границ ИКТ;
– выходные данные 2.3 – определение физической области действия и границ.
Рекомендации: Свести все исходные данные в один документ.
Выходные данные: Документ, описывающий область действия и границы СУИБ, должен содержать следующую информацию:
– ключевые характеристики организации (функция, структура, активы и область действия и границы ответственности для каждого актива);
– процессы в организации, находящиеся в области действия СУИБ;
– предварительный перечень активов, находящихся в области действия СУИБ;
– конфигурация оборудования и сетей, находящихся в области действия СУИБ;
– схемы объектов, определяющие физические границы СУИБ;
– описание ролей и сфер ответственности в рамках СУИБ и их связи со структурой организации;
– описание и обоснование исключений каких-либо элементов из области действия СУИБ.
2.5. Разработка политики СУИБ и получение одобрения руководства
Исходные данные:
– выходные данные 2.4 – документированная область действия и границы СУИБ;
– выходные данные 1.2 – документированные цели внедрения СУИБ;
– выходные данные 1.3 – описание случая применения и проект плана СУИБ.
Рекомендации: Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику ИБ и политику СУИБ. В свою очередь, политика ИБ может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам ИБ.
Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика ИБ подкрепляется политиками, касающимися контроля доступа, политики чистого рабочего стола и экрана, использования сетевых служб и криптографического контроля. В некоторых случаях возможно включение дополнительных уровней политики.
Согласно стандарту ISO/IEC 27001 требуется, чтобы организации имели политику СУИБ и политику ИБ. Согласно стандарту ISO/IEC 27035 требуется, чтобы организации имели политику управления инцидентами ИБ.
Эти политики могут разрабатываться как равноправные политики – политика СУИБ может подчиняться политике ИБ или наоборот. В то же время политика управления инцидентами ИБ является составной частью политики СУИБ.
Содержание политики основано на контексте, в котором работает организация.
При разработке любой политики нужно учитывать следующие составляющие:
– цели и задачи;
– стратегии для достижения целей;
– структуру и процессы организации;
– требования политик более высокого уровня.
Любая политика содержит следующие разделы:
– введение;
– область действия;
– цели, принципы;
– сферы ответственности;
– ключевые результаты;
– связанные политики.
Краткое содержание политики:
1. Введение – краткое объяснение предмета политики.
2. Область действия – описывает части или действия организации, находящиеся под влиянием политики.
3. Цели – описание назначения политики.
4. Принципы – описание правил, касающихся действий и решений для достижения целей. В некоторых случаях может быть полезным определить ключевые процессы, связанные с предметом политики, и затем – правила выполнения процессов.
5. Сферы ответственности – кто отвечает за действия по выполнению требований политики. В некоторых случаях этот пункт может содержать описание организационных соглашений, а также сферы ответственности лиц с определенными ролями.
6. Ключевые результаты – описание результатов, получаемых предприятием, если цели достигнуты.
7. Связанные политики – описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.
Выходные данные: Задокументировання политика СУИБ, утвержденная руководством.
3. Проведение анализа требований к ИБ
Цель: Определить требования, которым должна соответствовать СУИБ, определить активы и получить данные по текущему состоянию ИБ в рамках области действия СУИБ.
Информация, собранная в процессе анализа ИБ, должна:
– стать основной для управления;
– определять и документировать условия для внедрения СУИБ;
– обеспечивать четкое и обоснованное понимание возможностей организации;
– учитывать определенные обстоятельства и положение в организации;
– определять требуемый уровень защиты информации;
– определять сбор и обработку информации, требуемые для всего предприятия или его части, находящейся в рамках предложенной области действия СУИБ.
Проведение анализа требований к ИБ определяют следующие процессы:
1) определение требований к ИБ для СУИБ;
2) определение активов в рамках СУИБ;
3) проведение оценки ИБ.
3.1. Определение требований к ИБ для СУИБ
Исходные данные:
– выходные данные 1.1 – приоритеты организации для разработки СУИБ;
– выходные данные 2.5 – политика СУИБ.
Рекомендации: Для каждого процесса в организации и задачи для специалиста требуется принять решение в отношении того, насколько важной является информация, т. е. какой требуется уровень защиты. Требуется базовое краткое описание проанализированной информации по процессам в организации и системам ИКТ.
Для получения подробных требований к ИБ для СУИБ следует рассмотреть следующие вопросы:
– предварительное определение важных информационных активов и текущего состояния защиты информации;
– определение представлений организации и их влияния на будущие требования к ИБ;
– анализ видов обработки информации, системного ПО, коммуникационных сетей, определения действий и ресурсов для информационных технологий и т.д.;
– определение всех обязательных требований (законодательства, договоров, стандартов и соглашений с клиентами, условий страхования и т.д.);
– определение уровня информированности в области ИБ и определение требований к обучению в отношении каждого подразделения.
Выходные данные:
– определение основных процессов, функций, объектов, информационных систем и коммуникационных сетей;
– информационные активы организации;
– классификация важнейших процессов (активов);
– требования к ИБ, сформулированные на основе обязательных требований;
– перечень известных уязвимостей, которые должны быть устранены в результате выполнения требований к ИБ;
– требования к обучению и образованию в области ИБ в организации.
3.2. Определение активов в рамках СУИБ
Исходные данные:
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 3.1 – требования к ИБ для процесса СУИБ.
Рекомендации: Для определения активов в рамках области действия СУИБ необходимо указать следующую информацию:
– уникальное наименование процесса;
– описание процесса и связанные с ним действия (создание, хранение, передача, удаление);
– важность процесса для организации (критический, важный, вспомогательный);
– владелец процесса (подразделение организации);
– процессы, обеспечивающие исходные и выходные данные этого процесса;
– приложения ИТ, поддерживающие процесс;
– классификация информации (конфиденциальность, целостность, доступность и другие важные для организации свойства).
Выходные данные:
– определенные информационные активы основных процессов в организации в рамках области действия СУИБ;
– классификация важнейших процессов и информационных активов с точки зрения ИБ.
3.3. Проведение оценки ИБ
Необходимо провести оценку ИБ путем сравнения текущего состояния ИБ в организации с целями организации.
Исходные данные:
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 3.1 – требований к ИБ для процесса СУИБ;
– выходные данные 3.2 – активы в рамках области действия СУИБ.
Рекомендации: При оценке ИБ анализируется текущая ситуация в организации путем использования следующей информации и определяется текущее состояние ИБ и недостатки в документации:
– изучение предпосылок на основе важнейших процессов;
– классификация информационных активов;
– требования организации к ИБ.
Для успешной оценки ИБ важными являются следующие действия:
– перечисление соответствующих стандартов;
– определение требований к управлению, установленных на основе политики ИБ, обязательных требований, результатов прошедших проверок или оценок рисков;
– использование этих документов для приблизительной оценки существующих требований к уровню ИБ.
Подход к проведению оценки ИБ следующий:
– выбрать важные бизнес-процессы и этапы процессов, касающиеся требований к ИБ;
– составить подробную блок-схему, охватывающую основные процессы, включая инфраструктуру;
– обсудить и проанализировать с ключевыми сотрудниками существующую ситуацию в организации в отношении требований к ИБ;
– определить недостатки в управлении путем сравнения существующих средств управления с определенными требованиями к управлению;
– определить и задокументировать текущее состояние организации.
Выходные данные: Документ, описывающий состояние ИБ в организации и обнаруженные уязвимости.
4. Проведение оценки и планирование обработки рисков
Цель: Определить методологию оценки риска, определить, проанализировать и оценить риски ИБ, чтобы выбрать варианты их обработки и средства ИБ.
Проведение оценки и планирование обработки рисков определяют следующие процессы:
1) проведение оценки рисков;
2) выбор средств ИБ;
3) получение санкции руководства на внедрение и использование СУИБ.
4.1. Проведение оценки рисков
Исходные данные:
– выходные данные раздела 2 – область действия и политика СУИБ;
– выходные данные раздела 3 – состояние ИБ и информационные активы;
– ISO/IEC 27005 – управление рисками ИБ.
Рекомендации: Оценка рисков состоит из следующих мероприятий:
– идентификация рисков;
– измерение рисков;
– оценивание рисков.
При оценке рисков необходимо определить:
– угрозы и их источники;
– меры защиты;
– уязвимости;
– последствия нарушений ИБ.
При оценке риска нужно также осуществить:
– оценку уровня риска;
– оценку влияния инцидента на организацию;
– сравнение уровня риска с критериями оценки и приемлемости.
Выходные данные:
– описание методологий оценки рисков;
– результаты оценки рисков.
4.2. Выбор средств ИБ
Исходные данные:
– выходные данные 4.1 – результаты оценки риска;
– ISO/IEC 27002 – правила СУИБ;
– ISO/IEC 27005 – управление рисками ИБ;
– ISO/IEC 27035 – управление инцидентами ИБ.
Рекомендации: Важно продемонстрировать, как выбранные меры и средства защиты могут снизить риск и вероятность возникновения инцидента. В случае снижения риска установление соотношения между каждым риском (вероятным инцидентом) и выбранными средствами является полезным для разработки СУИБ.
Разработка плана обработки инцидентов
Цель плана обработки инцидентов ИБ – обеспечить подробную документацию, описывающую процессы и процедуры обработки событий, инцидентов и уязвимостей ИБ и их взаимодействия. План обработки инцидентов ИБ приводится в действие при обнаружении события ИБ или сообщении об уязвимости ИБ.
Каждая организация должна использовать план в качестве руководства для:
– реагирования на события ИБ;
– определения того, становятся ли события ИБ инцидентами;
– управления инцидентами ИБ до их разрешения;
– реагирования на уязвимости ИБ;
– идентификации полученных уроков при обработке инцидентов, а также необходимых улучшений СУИБ;
– реализации улучшений СУИБ.
Выходные данные:
– перечень выбранных мер и средств защиты;
– планы обработки рисков и инцидентов.
4.3. Получение санкции руководства на внедрение и использование СУИБ
Исходные данные:
– выходные данные 1.4 – утвержденный начальный проект СУИБ;
– выходные данные раздела 2 – область действия и политика СУИБ;
– выходные данные 4.1 – результаты оценки риска;
– выходные данные 4.2 – планы обработки рисков и инцидентов.
Рекомендации: Необходимо получить одобрение высшего руководства для принятия решения о принятии остаточных рисков, а также санкцию на фактическое использование СУИБ. Эти решения должны основываться на оценке рисков и вероятности их возникновения в результате внедрения СУИБ, в сравнении с рисками, возникающими в случае, когда СУИБ не применияется.
Выходные данные:
– письменное одобрение руководством внедрения СУИБ;
– утверждение руководством планов обработки рисков и инцидентов;
– положение о применимости, включающее выбранные меры и средства защиты.
