Шрифт:
– определить и задокументировать текущее состояние организации.
Выходные данные: Документ, описывающий состояние ИБ в организации и обнаруженные уязвимости.
4. Проведение оценки и планирование обработки рисков
Цель: Определить методологию оценки риска, определить, проанализировать и оценить риски ИБ, чтобы выбрать варианты их обработки и средства ИБ.
Проведение оценки и планирование обработки рисков определяют следующие процессы:
1) проведение оценки рисков;
2) выбор средств ИБ;
3) получение санкции руководства на внедрение и использование СУИБ.
4.1. Проведение оценки рисков
Исходные данные:
– выходные данные раздела 2 – область действия и политика СУИБ;
– выходные данные раздела 3 – состояние ИБ и информационные активы;
– ISO/IEC 27005 – управление рисками ИБ.
Рекомендации: Оценка рисков состоит из следующих мероприятий:
– идентификация рисков;
– измерение рисков;
– оценивание рисков.
При оценке рисков необходимо определить:
– угрозы и их источники;
– меры защиты;
– уязвимости;
– последствия нарушений ИБ.
При оценке риска нужно также осуществить:
– оценку уровня риска;
– оценку влияния инцидента на организацию;
– сравнение уровня риска с критериями оценки и приемлемости.
Выходные данные:
– описание методологий оценки рисков;
– результаты оценки рисков.
4.2. Выбор средств ИБ
Исходные данные:
– выходные данные 4.1 – результаты оценки риска;
– ISO/IEC 27002 – правила СУИБ;
– ISO/IEC 27005 – управление рисками ИБ;
– ISO/IEC 27035 – управление инцидентами ИБ.
Рекомендации: Важно продемонстрировать, как выбранные меры и средства защиты могут снизить риск и вероятность возникновения инцидента. В случае снижения риска установление соотношения между каждым риском (вероятным инцидентом) и выбранными средствами является полезным для разработки СУИБ.
Разработка плана обработки инцидентов
Цель плана обработки инцидентов ИБ – обеспечить подробную документацию, описывающую процессы и процедуры обработки событий, инцидентов и уязвимостей ИБ и их взаимодействия. План обработки инцидентов ИБ приводится в действие при обнаружении события ИБ или сообщении об уязвимости ИБ.
Каждая организация должна использовать план в качестве руководства для:
– реагирования на события ИБ;
– определения того, становятся ли события ИБ инцидентами;
– управления инцидентами ИБ до их разрешения;
– реагирования на уязвимости ИБ;
– идентификации полученных уроков при обработке инцидентов, а также необходимых улучшений СУИБ;
– реализации улучшений СУИБ.
Выходные данные:
– перечень выбранных мер и средств защиты;
– планы обработки рисков и инцидентов.
4.3. Получение санкции руководства на внедрение и использование СУИБ
Исходные данные:
– выходные данные 1.4 – утвержденный начальный проект СУИБ;
– выходные данные раздела 2 – область действия и политика СУИБ;
– выходные данные 4.1 – результаты оценки риска;
– выходные данные 4.2 – планы обработки рисков и инцидентов.
Рекомендации: Необходимо получить одобрение высшего руководства для принятия решения о принятии остаточных рисков, а также санкцию на фактическое использование СУИБ. Эти решения должны основываться на оценке рисков и вероятности их возникновения в результате внедрения СУИБ, в сравнении с рисками, возникающими в случае, когда СУИБ не применияется.
Выходные данные:
– письменное одобрение руководством внедрения СУИБ;
– утверждение руководством планов обработки рисков и инцидентов;
– положение о применимости, включающее выбранные меры и средства защиты.
5. Разработка СУИБ
Цель: Составить конечный план внедрения СУИБ путем разработки системы безопасности организации на основе выбранных вариантов обработки риска, а также требований, касающихся записей и документов и разработки средств управления, объединяющих меры безопасности ИКТ, физические и организационные процессы и разработку специальных требований для СУИБ.