Шрифт:
Выходные данные: представляют собой документ или таблицу, описывающую роли и сферы ответственности с указанием имен и организацию, необходимую для успешного внедрения СУИБ.
1.3. Техническое обоснование и план проекта СУИБ для получения санкции руководства
Одобрение руководства и выделение ресурсов для реализации проекта внедрения СУИБ должны быть получены путем определения случая применения СУИБ для предприятия и подготовки плана проекта СУИБ.
Исходные данные:
– выходные данные 1.1;
– выходные данные 1.2.
Рекомендации:
Информация по случаю применения СУИБ для предприятия и первоначальный план проекта СУИБ должны охватывать следующие вопросы:
– цели и конкретные задачи;
– выгоды для организации;
– предварительная область действия СУИБ, включая затрагиваемые бизнес-процессы;
– важнейшие процессы и ф акторы для достижения целей СУИБ;
– описание проекта высокого уровня;
– первоначальный план внедрения СУИБ;
– определенные роли и сферы ответственности;
– требуемые ресурсы (технологические и людские);
– соображения, касающиеся внедрения СУИБ, включая существующую систему ИБ;
– временная шкала с ключевыми этапами;
– предполагаемые затраты;
– важнейшие факторы успеха;
– количественное определение выгод для организации.
Руководство должно утвердить описание случая применения СУИБ для предприятия и первоначальный план проекта, чтобы составить поручения для всей организации и начать реализацию проекта СУИБ.
Выходные данные:
– документированное одобрение руководством выполнения проекта СУИБ с распределенными ресурсами;
– документированное описание случая применения СУИБ для данного предприятия;
– начальное предложение по проекту СУИБ с основными этапами, такими как выполнение оценки риска, реализация проекта, внутренний аудит и проверки, осуществляемые руководством.
2. Определение области действия, границ и политики СУИБ
Цель: Определить области действия и границ СУИБ и разработать политику СУИБ.
Определение области действия и границ СУИБ обеспечивают предварительные процессы:
– определение организационной и физической областей действия и границ СУИБ;
– определение области действия и границ информационных и коммуникационных технологий (далее – ИКТ);
Определение областей действия и политики СУИБ также обеспечивают заключительные процессы:
– объединение всех областей действия и границ СУИБ;
– разработка политики СУИБ и получение одобрения руководства.
2.1. Определение организационной области действия и границ
Исходные данные:
– выходные данные 1.2 – документированная предварительная область действия СУИБ, охватывающая:
• соотношения существующих систем управления, регулирования, соответствия и целей организации;
• характеристики организации, ее местонахождения, активов и технологий.
– выходные данные 1.1 – документированное утверждение руководством внедрения СУИБ и запуск проекта с необходимыми распределенными ресурсами.
Рекомендации: Одним из методов определения организационных границ является определение сфер ответственности, не перекрывающих друг друга, чтобы облегчить назначение подотчетности в организации.
На основе такого подхода анализируемые организационные границы должны определять всех сотрудников, участвующих в сфере УИБ, и эти границы должны быть включены в область действия СУИБ. Если некоторые процессы в организации выполняются сторонними организациями, эти зависимости должны быть четко задокументированы.
Выходные данные:
– описание организационных границ СУИБ, включая обоснования исключения каких-либо частей организации из области действия СУИБ;
– функции и структура частей организации, находящихся в области действия СУИБ;
– определение информации, подлежащей обмену в рамках области действия СУИБ, и информации, обмен которой осуществляется через границы СУИБ;
– процессы в организации и сферы ответственности за информационные активы в области действия СУИБ и за ее пределами;