Политика информационной безопасности

Политика безопасности - это совокупность технических, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, четко регламентирующих все вопросы обеспечения безопасности информации.

Для того, чтобы сформировать и определить Вашу политику информационной безопасности, Вам понадобятся следующие исходные данные:

Необходимо определить информацию которая подлежит защите и создать перечень сведений конфиденциального характера, в соответствии с защищаемой информацией

Определить топологии средств автоматизации (физической и логической)

Необходимо описать административную структуру и категории зарегистрированных пользователей, описать технологию обработки информации и выделить потенциальных субъектов и объектов доступа

Определить угрозы безопасности информации и создать модель нарушителя

Обнаружить и описать известные угроз и уязвимости

Расположить угрозы по убыванию уровня уровня риска (провести анализ рисков)

Так же, необходимо описать общую характеристику и специализацию организации (наименование организации, специализация, род деятельности, решаемые задачи, характер и объем работ, расположение угроз по убыванию уровня уровня риска).

Необходимо описать организационно-штатню структуру организации (отделы и отделения организации, наименования отделов, решаемые задачи, общая технологическая схема функционирования подразделений). Так же составляется общее описание рабочего процесса,

технологическая схема операций при выполнении рабочего процесса, интенсивность с которой выполненяется рабочий процесс технологические ограничения, средства контроля и критерии качества результатов рабочего процесса, перечень проблемных вопросов подразделений по обеспечению защиты информации.

Угрозы информационной безопасности

Сведения о распределении обязанностей и инструкциях по обработке и защите информации

Вероятные угрозы (угроза, ее вероятность и возможный ущерб)

Применяемые меры защиты (организационные меры, средства защиты ОС, средства защиты, встроенные в ПО, специализированные средства защиты)

 

50Система менеджмента информационной безопасности (СМИБ): требования к разработке

Организация должна:

a) определить область применения и границы распространения СМИБ с учетом характеристик бизнеса, организации, ее расположения, активов и технологий, включая подробные сведения и обоснование любых исключений из области применения;

b) определить политику СМИБ с учетом характеристик бизнеса, организации, ее расположения, активов и технологий, которая:

1) включает инфраструктуру для постановки целей и устанавливает основные направления и принципы деятельности в области информационной безопасности;

2) принимает во внимание бизнес-требования, правовые или другие обязательные требования, а также контрактные обязательства по обеспечению безопасности;

3) согласуется со стратегией менеджмента рисков организации, в соответствии с которой будет осуществляться разработка и поддержка СМИБ;

4) разрабатывает критерии для оценивания рисков;

5) одобрена руководством.

c) определить подход к оценке рисков в организации:

1) определять методологию оценки рисков в соответствии с требованиями СМИБ, в том числе требованиями информационной безопасности бизнеса, правовыми и другими обязательными требованиями;

2) разработать критерии принятия рисков и идентифицировать приемлемые уровни риска. Выбранная методология оценки рисков должна обеспечивать сопоставимые и воспроизводимые результаты.

d) идентифицировать риски:

1) идентифицировать активы в пределах области применения СМИБ и владельцев данных активов. Термин «владелец» определяет лицо или логический объект, на которые руководством возложена ответственность за управление созданием, разработкой, поддержкой, использованием и безопасностью активов. Термин «владелец» не означает, что данное лицо фактически имеет права собственности на этот актив;

2) идентифицировать угрозы для этих активов;

3) идентифицировать уязвимости, которые могут возникнуть при этих угрозах;

4) идентифицировать последствия для активов, к которым могут привести потеря конфиденциальности, целостности и доступности;

e) анализировать и оценивать риски:

1) провести оценку воздействий бизнеса на организацию, которые могут возникать в результате нарушений безопасности с учетом последствий потери конфиденциальности, целостности или доступности активов;

2) провести оценку реальной вероятности нарушения безопасности с учетом доминирующих угроз и уязвимостей, а также последствий, связанных с этими активами, и используемых в настоящее время средств управления;

3) определить уровни рисков;

4) определить, являются ли риски приемлемыми или требуют ли обработки с использованием критериев приемлемости рисков;

f) идентифицировать и оценивать возможные варианты обработки рисков. Возможные действия включают:

1) применение соответствующих средств управления;

2) сознательное и объективное принятие рисков при условии, что они полностью удовлетворяют политикам организации и критериям принятия рисков

3) избежание рисков;

4) передачу соответствующих бизнес-рисков другим сторонам, например страховым компаниям, поставщикам;

g) выбирать цели и средства управления для обработки рисков.

Цели и средства управления должны выбираться и использоваться так, чтобы обеспечить соответствие требованиям, идентифицированным в процессе оценки и обработки рисков. При этом должны учитываться критерии принятия рисков, а также правовые, другие обязательные и контрактные требования.

Цели и средства управления должны быть частью этого процесса и выбираться из числа приведенных в приложении A как соответствующие для охвата идентифицированных требований.

Перечень целей и средств управления, приведенный в приложении A, не является исчерпывающим, и могут быть выбраны дополнительные цели и средства управления.

h) получить одобрение руководства по предлагаемым остаточным рискам;

i) получить санкцию руководства на внедрение и обеспечение функционирования СМИБ;

j) разработать положение о применимости. Положение о применимости должно включать:

1) цели и средства управления, выбранные в соответствии с 4.2.1, и обоснование этого выбора;

2) реализуемые в настоящее время цели и внедряемые средства управления;

3) исключенные цели и средства управления, предусмотренные приложением A, и обоснование их исключения.

 

51Система менеджмента информационной безопасности (СМИБ): требования к внедрению и обеспечению функционирования

Организация должна:

a) разработать план обработки рисков, в котором идентифицированы соответствующие действия руководства, ресурсы, ответственность и приоритеты в отношении менеджмента рисков информационной безопасности;

b) реализовывать план обработки рисков для достижения идентифицированных целей управления, который включает финансирование и распределение ролей и ответственности;

c) внедрить средства управления, выбранные в соответствии с 4.2.1, для достижения целей управления;

d) определять способ измерения результативности выбранных средств управления или групп средств управления и установить, как должны будут выполняться данные измерения для оценки результативности средств управления, с целью получения сопоставимых и воспроизводимых результатов.

e) реализовывать программы по подготовке и повышению осведомленности;

f) осуществлять менеджмент функционирования СМИБ;

g) осуществлять менеджмент ресурсов СМИБ;

h) внедрить процедуры и другие средства управления, позволяющие обеспечить быстрое обнаружение событий и реагирование на инциденты в области безопасности

 

52Система менеджмента информационной безопасности (СМИБ): требования к мониторингу и анализу СМИБ

Организация должна:

a) выполнять процедуры мониторинга и анализа и применять другие средства управления, для того чтобы:

1) своевременно обнаруживать ошибки в результатах обработки;

2) своевременно идентифицировать неудавшиеся и успешные попытки нарушения и инциденты в области безопасности;

3) предоставить руководству возможность определить, что деятельность по обеспечению безопасности реализуется посредством делегирования полномочий персоналу или внедряется с применением информационных технологий;

4) способствовать обнаружению событий в области безопасности и таким образом предотвращать инциденты в области безопасности посредством использования показателей;

5) определять, являются ли предпринятые действия результативными для устранения нарушений безопасности;

b) регулярно проводить анализ результативности СМИБ (включая оценку соответствия политике и целям СМИБ и анализ средств управления), принимая во внимание результаты аудитов безопасности, инциденты, результаты измерений результативности, предложения и обратную связь от всех заинтересованных сторон;

c) измерять результативность средств управления с целью верификации соответствия требованиям безопасности;

d) анализировать оценки рисков через запланированные интервалы, а также остаточные риски и идентифицированные приемлемые уровни риска, принимая во внимание изменения в:

1) организации;

2) технологиях;

3) бизнес-целях и процессах;

4) идентифицированных угрозах;

5) результативности применяемых средств управления;

6) внешних событиях, таких как изменения в правовых или других обязательных требованиях, контрактных обязательствах и изменения социально-психологического климата;

e) проводить внутренние аудиты СМИБ через запланированные интервалы. Примечание – Внутренние аудиты, иногда называемые аудитами первой стороной, проводятся организацией самостоятельно или от ее имени для внутренних целей;

f) регулярно проводить анализ СМИБ со стороны руководства, чтобы гарантировать адекватность ее области применения и идентификацию улучшений в процессах СМИБ;

g) обновлять планы в области безопасности, учитывая результаты деятельности по мониторингу и анализу;

h) вести записи действий и событий, которые могли повлиять на результативность или функционирование СМИБ.