— перечень выбранных мер и средств защиты;

— планы обработки рисков и инцидентов.

4.3. Получение санкции руководства на внедрение и использование СУИБ

Исходные данные:

— выходные данные 1.4 — утвержденный начальный проект СУИБ;

— выходные данные раздела 2 — область действия и политика СУИБ;

— выходные данные 4.1 — результаты оценки риска;

— выходные данные 4.2 — планы обработки рисков и инцидентов.

Рекомендации: Необходимо получить одобрение высшего руководства для принятия решения о принятии остаточных рисков, а также санкцию на фактическое использование СУИБ. Эти решения должны основываться на оценке рисков и вероятности их возникновения в результате внедрения СУИБ, в сравнении с рисками, возникающими в случае, когда СУИБ не применияется.

Выходные данные:

— письменное одобрение руководством внедрения СУИБ;

— утверждение руководством планов обработки рисков и инцидентов;

— положение о применимости, включающее выбранные меры и средства защиты.

5. Разработка СУИБ

Цель: Составить конечный план внедрения СУИБ путем разработки системы безопасности организации на основе выбранных вариантов обработки риска, а также требований, касающихся записей и документов и разработки средств управления, объединяющих меры безопасности ИКТ, физические и организационные процессы и разработку специальных требований для СУИБ.

При разработке СУИБ следует принять во внимание следующие аспекты:

— безопасность организации;

— безопасность ИКТ;

— безопасность физических объектов;

— особые требования к СУИБ.

Безопасность организации охватывает административные аспекты ИБ, включая ответственность за обработку риска.

Безопасность ИКТ охватывает аспекты ИБ, связанные с ответственностью за снижение рисков при выполнении операций с ИКТ.

Безопасность физических объектов охватывает аспекты ИБ, связанные, в частности, с ответственностью, возникающей при проработке физического окружения, например, зданий и их инфраструктуры, за снижение риска.

Особые требования к СУИБ охватывают аспекты соответствии СУИБ требованиям ISO/IEC 27001 в отличие от предыдущих аспектов.

Разработку СУИБ определяют следующие процессы:

1) разработка системы ИБ организации;

2) разработка системы ИБ ИКТ и физических объектов;

3) создание условий надежного функционирования СУИБ;

4) разработка окончательного плана проекта СУИБ.

5.1. Разработка системы ИБ

Разработку системы ИБ обеспечивают следующие разработки:

— конечной структуры организации для ИБ;

— основы для документирования СУИБ;

— политики ИБ;

— стандартов и процедур обеспечения ИБ.

5.1.1. Разработка конечной структуры организации для ИБ

Необходимо сопоставить функции, роли и сферы ответственности в организации, связанные с ИБ, с обработкой рисков.

Исходные данные:

— выходные данные 1.1.2 — таблица ролей и сфер ответственности;

— выходные данные 2.3 — область действия и границы СУИБ.

— выходные данные 2.4 — политика СУИБ;

— выходные данные 3.1 — требования к ИБ для процесса СУИБ;

— выходные данные 3.2 — активы в рамках области действия СУИБ;

— выходные данные 3.3 — результаты оценки ИБ;

— выходные данные 4.1 — результаты оценки рисков;

— выходные данные 4.2 — планы обработки рисков и инцидентов;

— ISO/IEC 27002 — правила СУИБ;

— ISO/IEC 27035 — управление инцидентами ИБ.

Рекомендации: При разработке структуры организации и процессов для внутренних операций СУИБ следует попытаться создать их и обьединить с уже существующими, если это практически применимо.

Согласно стандарта ISO/IEC 27035, в первую очередь, необходимо создать группу технической поддержки, чтобы обеспечить поддержку всех аспектов информационных технологий и связанной с ними обработки информации. Как только приходит сообщение о событии ИБ, группа поддержки обрабатывает его в фазе обнаружении и оповещения.

Во вторую очередь, необходимо создать в организации специальную группу реагирования на инциденты ИБ (ГРИИБ). Целью ее создания является обеспечение организации соответствующим персоналом для оценки, реагирования иа инциденты ИБ и извлечения уроков из них, а также необходимой координации всех заинтересованных сторон и процесса обмена информацией.

Кроме того, организация обеспечить взаимодействие с внутренними подразделениями и внешними организациями, которые имеют отношение к управлению событиями, инцидентами и уязвимостями ИБ в организации.

Важно определить, какой орган в схеме обеспечения политики управления инцидентами ИБ руководитель ГРИИБ оповещает о серьезных инцидентах ИБ. Процедуры общения со СМИ и ответственность за это общение также должны быть согласованы с высшим руководством. Эти процедуры должны определить представителя организации по работе со СМИ и его взаимодействие с ГРИИБ.

Выходные данные: Документ, описывающий структуру организации, роли и сферы ответственности.

5.1.2. Разработка основы для документирования СУИБ

Необходимо проконтролировать записи и документы в системе СУИБ путем определения основы, которая позволит выполнить требования по текущему контролю записей и документов в системе СУИБ.

Исходные данные:

— выходные данные 1.3 — первоначально утвержденный проект СУИБ;

— выходные данные 2.4 — область действия и границы СУИБ;

— выходные данные 2.5 — политика СУИБ;

— выходные данные 5.1.1 — структура организации, роли и сферы ответственности;

— ISO/IЕС 27002 — правила СУИБ.

Рекомендации: Документация по СУИБ должна включать записи решений руководства, обеспечивать возможность отслеживания действий для принятия решений и разработки политики руководством и воспроизводимость записанных результатов.

Необходимо осуществлять управление документами СУИБ и сделать их доступными персоналу. Эти действия включают:

— учреждение административной процедуры управления документами СУИБ;

— подтверждение соответствия формата документов перед изданием;

— обеспечение определения изменений и текущего состояния редакций документов;

— защита и контроль документов как информационных активов организации.

Также требуется сохранять записи состояния внедрения системы для всей фазы «PDCA», а также записи об инцидентах и событиях ИБ, записи об обучении, навыках, опыте и квалификации, внутреннем аудите СУИБ, корректирующих и предупреждающих действиях и организационные записи.

Для контроля записей необходимо выполнить следующие задачи:

— документировать меры и средства контроля и управления, требуемые для идентификации, хранения, защиты, поиска и удаления данных, и документировать продолжительность хранения;

— определить, что и в какой степени должно записываться в процессах управления организацией;

— если соответствующим законодательством определен какой-либо период хранения, он должен быть установлен в соответствии с этими требованиями.

Выходные данные:

— документ, описывающий требования к записям СУИБ и контролю документации;

— хранилища и шаблоны требуемых записей СУИБ.

5.1.3. Разработка политики ИБ

Необходимо документировать стратегическую позицию руководства и администрации, связанную с целями ИБ в отношении использования СУИБ.

Исходные данные:

— выходные данные 1.1 — приоритеты организации для разработки СУИБ;

— выходные данные 1.3 — первоначально утвержденный проект СУИБ;

— выходные данные 2.4 — область действия и границы СУИБ;

— выходные данные 2.5 — политика СУИБ;

— выходные данные 3.1 — требования к ИБ для процесса СУИБ;

— выходные данные 3.2 — активы в рамках области действия СУИБ;

— выходные данные 3.3 — результаты оценки ИБ;

— выходные данные 4.2 — планы обработки рисков и инцидентов;

— выходные данные 4.3 — положение о применимости;

— выходные данные 5.1.1 — структура организации для ИБ;

— выходные данные 5.1.2 — основы документирования СУИБ;

— ISO/IЕС 27002 — правила СУИБ.

Рекомендации: Политика ИБ документирует стратегическую позицию организации в отношении ИБ во всей организации. Объем и структура политики ИБ должны подкреплять документы, которые используются на следующем этапе процесса для введения СУИБ.

Для больших организаций со сложной структурой (с широким спектром различных областей деятельности) может возникнуть необходимость создания общей политики и множества политик более низкого уровня, адаптированных к конкретным областям деятельности.

Предлагаемая политика (с номером версии и датой) должна быть подвергнута проверке и утверждена в организации руководством. Затем она доводится до сведения каждого работника