Концепция измерения результата (ISO 27004)

 

· для проверки принятых решений;

· для направления дальнейших действий для достижения установленных целей;

· для обоснования тех или иных действий, построенное на реальных данных;

· для определения точек, в которых необходимо осуществить коррекцию или изменения.

 

 

Измерение и мониторинг:

· определить то, что необходимо измерить. Эта информация определяется на этапах Построения стратегии и Проектировании услуг. CSI начинает свой цикл от вопроса "Где мы сейчас?"

· определить то, что можно измерить. Эти деятельности относятся к вопросу "Где мы хотим быть". CSI находит возможности для улучшения посредством анализа новых требований бизнеса, возможностей IT и доступных финансовых средств. В то же время CSI отвечает на вопрос "Как нам попасть туда?"

· сбор данных. Чтобы ответить на вопрос "Мы попали туда?" CSI с помощью этапа Эксплуатации должен собирать данные.

· обработка данных. Данные обрабатываются в соответствии с определенными критическими факторами успеха и ключевыми показателями производительности. Ключевой целью данного этапа является объединение данных от разрозненных источников в единое целое и построение целостной картины текущей ситуации.

· анализ данных. На этом этапе данные становятся информацией, с помощью которой определяются направления развития услуг, все несовпадения с установленными требованиями и влияние услуг на бизнес.

· использование информации. На этом шаге формируется ответ на вопрос "Мы попали туда?". Ответ передается всем заинтересованным лицам и позволяет им сформировать выводы об успешности улучшения.

· корректирующие действия. С помощью предыдущих этапов менеджеры находят проблемы и предпринимают действия по их устранению.

 

Зафиксированное состояние (Benchmark) - состояние чего-либо, зафиксированное на определенный момент времени. Зафиксированное состояние может быть создано для конфигураций, процесса или любого другого набора данных.

Сравнение состояний (Benchmarking) - сравнение зафиксированного состояния с базовым состоянием или с лучшей практикой.

 

Метрики должны отражать результативность выбранных средств управления или группы средств управления

 

 

ПОЛИТИКА ПО ИБ

Самый важный документ

Без неё СУИБ будет обрывочна, неструктурированна и, вероятнее всего, неэффективна (и не будет соответствовать требованиям ISO 27001:2005)

 

Требование: Политика должна декларировать ответственность каждого конкретного сотрудника

 

Содержание Политики

Простая и точная

Отражать суть и предмет бизнеса

Отражать требования по защите информации

Краткая (1-5 страниц)

Доступна для всех

 

Виды Политик

Маленьким компаниям достаточно одной Политики.

Крупные компании нуждаются в разных Политиках для разных подразделений организации (или даже в разных СУИБ).

 

Содержание Политики

· ссылка на законодательные и прочие обязательные требования

· создание Комитета по Безопасности на уровне высшего руководства

· определение необходимости в индивидуальном обучении основам ИБ

· подход к оценке рисков

· приверженность соответствию требованиям стандарта ISO 27001

· приверженность к получению и поддержанию регистрации по стандарту ISO 27001

 

Специфические Политики (под-политики)

Примеры:

· требования к Плану восстановления

· необходимость в резервном копировании

· антивирусная политика

· контроль доступа к системам и данным

· отчётность об инцидентах в области ИБ

· дисциплинарные взыскания в случае злоумышленных действий или нарушений требований к доступу / работе

 

ПОЛИТИКА ИБ. ISO 27002: МЕНЕДЖМЕНТ АКТИВОВ, ЗАЩИТА ЧЕЛОВЕЧЕСКИХ РЕСУРСОВ, ФИЗИЧЕСКАЯ И ЭКОЛОГИЧЕСКАЯ БЕЗОПАСНОСТЬ

 

Управление активами

Типы активов (ресурсов):

· информация: в электронной и бумажной формах (базы данных и файлы данных, договоры и соглашения, руководства пользователя, мероприятия по нейтрализации неисправности, контрольные журналы и архивированная информация);

· программные активы: прикладные программы, системные программы, инструментальные средства разработки и утилиты;

· физические активы: компьютерное оборудование, аппаратура связи, сменные носители информации и другое оборудование;

· услуги: обработка данных и услуги связи, общие коммунальные услуги, например, обогрев, освещение, энергия и кондиционирование воздуха;

· люди, их квалификация, способности и опыт;

· нематериальные активы, такие как репутация и имидж организации.

 

Реестр активов

Организация должна составить реестр всех активов, активы должны иметь назначенного владельца.

Реестр активов должен включать всю информацию, необходимую для восстановления после инцидента, включая:

· тип актива,

· формат,

· местоположение,

· дублирующую информацию,

· информацию о лицензиях,

· ценность для бизнеса.

 

Владение активами

Владелец актива несет ответственность за:

соответствующую классификацию информации и активов, связанных со средствами обработки информации;

периодический анализ ограничений и классификаций доступа;

определение правил приемлемого использования информации и активов, связанных со средствами обработки информации, например:

правила использования электронной почты и Интернет;

руководящие принципы использования мобильных устройств, особенно для использования за пределами помещений организации;

поддержание в рабочем состоянии подходящих средств управления.

Реализация конкретных средств управления может быть делегирована владельцем, по обстоятельствам, но владелец остается ответственным за должную защиту активов.