Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

1) определение приоритетов организации для разработки СУИБ;

2) определение предварительной области действия СУИБ;

3) техническое обоснование и план проекта СУИБ для получения санкции руководства.

1.1. Определение приоритетов организации для разработки СУИБ

Исходные данные:

— стратегические цели организации;

— обзор существующих систем управления;

— перечень действующих нормативно-правовых и договорных требований к ИБ.

Рекомендации: Выполнить сбор существенной информации, показывающей значение СУИБ для организации. Организация должна определить, зачем нужна СУИБ, определить цели внедрения СУИБ и запустить проектирование СУИБ.

Выходные данные:

— документ, излагающий цели, приоритеты в области ИБ и требования организации к системе СУИБ;

— перечень нормативно-правовых и контрактных требований к ИБ организации;

— описание характеристик организации, местонахождения, активов и технологий.

1.2. Определение предварительной области действия СУИБ

Определение предварительной области обеспечивают следующие процессы:

— разработка предварительной области;

— определение для нее ролей и сфер ответственности.

1.2.1. Разработка предварительной области

Исходные длиные: Выходные данные 1.1.

Рекомендации: Определить структуру организации для реализации СУИБ.

Выходные данные:

— изложение обязательных требований к УИБ, определяемых руководством организации, и обязательств, накладываемых на организацию извне;

— описание того, как части области действия СУИБ взаимодействуют с другими системами управления;

— перечень целей предприятия в области УИБ;

— перечень важнейших бизнес-процессов, активов, организационных структур и регионов, где будет использоваться СУИБ;

— соотношение существующих систем управления, регулирования, соответствия и целей организации;

— характеристики организация, местонахождение, активы и технологии.

1.2.2. Определение для предварительной области ролей и сфер ответственности

Исходные данные

— выходные данные 1.2.1;

— список заинтересованных сторон, которые получат выгоду в результате реализации проекта СУИБ.

Рекомендации: Определить роль организации в реализации проекта и ответственных лиц за УИБ, а для сотрудников должны быть определены роли и сферы ответственности на основе квалификации, требуемой для выполняемой работы.

Выходные данные: представляют собой документ или таблицу, описывающую роли и сферы ответственности с указанием имен и организацию, необходимую для успешного внедрения СУИБ.

1.3. Техническое обоснование и план проекта СУИБ для получения санкции руководства

Одобрение руководства и выделение ресурсов для реализации проекта внедрения СУИБ должны быть получены путем определения случая применения СУИБ для предприятия и подготовки плана проекта СУИБ.

Исходные данные:

— выходные данные 1.1;

— выходные данные 1.2.

Рекомендации:

Информация по случаю применения СУИБ для предприятия и первоначальный план проекта СУИБ должны охватывать следующие вопросы:

— цели и конкретные задачи;

— выгоды для организации;

— предварительная область действия СУИБ, включая затрагиваемые бизнес-процессы;

— важнейшие процессы и ф акторы для достижения целей СУИБ;

— описание проекта высокого уровня;

— первоначальный план внедрения СУИБ;

— определенные роли и сферы ответственности;

— требуемые ресурсы (технологические и людские);

— соображения, касающиеся внедрения СУИБ, включая существующую систему ИБ;

— временная шкала с ключевыми этапами;

— предполагаемые затраты;

— важнейшие факторы успеха;

— количественное определение выгод для организации.

Руководство должно утвердить описание случая применения СУИБ для предприятия и первоначальный план проекта, чтобы составить поручения для всей организации и начать реализацию проекта СУИБ.

Выходные данные:

— документированное одобрение руководством выполнения проекта СУИБ с распределенными ресурсами;

— документированное описание случая применения СУИБ для данного предприятия;

— начальное предложение по проекту СУИБ с основными этапами, такими как выполнение оценки риска, реализация проекта, внутренний аудит и проверки, осуществляемые руководством.

Цель: Определить области действия и границ СУИБ и разработать политику СУИБ.