Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Управление информационной безопасностью. Стандарты СУИБ (СИ)

– определить, что и в какой степени должно записываться в процессах управления организацией;

– если соответствующим законодательством определен какой-либо период хранения, он должен быть установлен в соответствии с этими требованиями.

Выходные данные:

– документ, описывающий требования к записям СУИБ и контролю документации;

– хранилища и шаблоны требуемых записей СУИБ.

5.1.3. Разработка политики ИБ

Необходимо документировать стратегическую позицию руководства и администрации, связанную с целями ИБ в отношении использования СУИБ.

Исходные данные:

– выходные данные 1.1 – приоритеты организации для разработки СУИБ;

– выходные данные 1.3 – первоначально утвержденный проект СУИБ;

– выходные данные 2.4 – область действия и границы СУИБ;

– выходные данные 2.5 – политика СУИБ;

– выходные данные 3.1 – требования к ИБ для процесса СУИБ;

– выходные данные 3.2 – активы в рамках области действия СУИБ;

– выходные данные 3.3 – результаты оценки ИБ;

– выходные данные 4.2 – планы обработки рисков и инцидентов;

– выходные данные 4.3 – положение о применимости;

– выходные данные 5.1.1 – структура организации для ИБ;

– выходные данные 5.1.2 – основы документирования СУИБ;

– ISO/IЕС 27002 – правила СУИБ.

Рекомендации: Политика ИБ документирует стратегическую позицию организации в отношении ИБ во всей организации. Объем и структура политики ИБ должны подкреплять документы, которые используются на следующем этапе процесса для введения СУИБ.

Для больших организаций со сложной структурой (с широким спектром различных областей деятельности) может возникнуть необходимость создания общей политики и множества политик более низкого уровня, адаптированных к конкретным областям деятельности.

Предлагаемая политика (с номером версии и датой) должна быть подвергнута проверке и утверждена в организации руководством. Затем она доводится до сведения каждого работника организации надлежащим способом, чтобы стать доступной и понятной для читателей.

Выходные данные: Задокументированная и утвержденная руководством политика ИБ.

5.1.4. Разработка стандартов и процедур обеспечения ИБ

Исходные данные:

– выходные данные 2.4 – область действия и границы СУИБ;

– выходные данные 2.5 – политика СУИБ;

– выходные данные 4.2 – план обработки рисков,

– выходные данные 4.3 – положение о применимости;

– выходные данные 5.1.1 – структура организации для ИБ;

– выходные данные 5.1.2 – основы документирования СУИБ;

– выходные данные 5.1.3 – политики ИБ;

– ISO/IEC 27002 – правила СУИБ.

Рекомендации: В процессе разработки стандартов и процедур должны участвовать представители разных частей организации, попадающих в область действия системы СУИБ. Участники процесса должны иметь полномочия и являться представителями организации.

Стандарты и процедуры ИБ должны впоследствии использоваться в качестве основы для разработки подробных технических и оперативных процессов.

Документация должна предоставляться каждому сотруднику организации, попадающему в область действия СУИБ. Стандарты и процедуры по ИБ должны применяться ко всей организации или точно указывать, какие роли, системы и подразделения попадают под их действие.

Процесс редактирования и проверки должен быть определен на ранней стадии. Необходимо создать стратегию и технологию распространения информации об изменениях политики ИБ.

Выходные данные:

– стандарты ИБ:

– процедуры обеспечения ИБ для получения стандартов ИБ.

5.2. Разработка системы ИБ ИКТ и физических объектов

Исходные данные:

– выходные данные 2.5 – область действия и границы СУИБ;

– выходные данные 2.6 – политика СУИБ;

– выходные данные 3.2 – требования к ИБ для процесса СУИБ;

– выходные данные 3.3 – активы в рамках области действия СУИБ;

– выходные данные 3.4 – результаты оценки ИБ;

– выходные данные 4.3 – положение о применимости;

– ISO/IEC 27002 – правила СУИБ.