Стандарты и процедуры ИБ должны впоследствии использоваться в качестве основы для разработки подробных технических и оперативных процессов.

Документация должна предоставляться каждому сотруднику организации, попадающему в область действия СУИБ. Стандарты и процедуры по ИБ должны применяться ко всей организации или точно указывать, какие роли, системы и подразделения попадают под их действие.

Процесс редактирования и проверки должен быть определен на ранней стадии. Необходимо создать стратегию и технологию распространения информации об изменениях политики ИБ.

Выходные данные:

– стандарты ИБ:

– процедуры обеспечения ИБ для получения стандартов ИБ.

5.2. Разработка системы ИБ ИКТ и физических объектов

Исходные данные:

– выходные данные 2.5 – область действия и границы СУИБ;

– выходные данные 2.6 – политика СУИБ;

– выходные данные 3.2 – требования к ИБ для процесса СУИБ;

– выходные данные 3.3 – активы в рамках области действия СУИБ;

– выходные данные 3.4 – результаты оценки ИБ;

– выходные данные 4.3 – положение о применимости;

– ISO/IEC 27002 – правила СУИБ.

Рекомендации:

Необходимо документировать следующую информацию:

– имя лица, ответственного за внедрение мер защиты;

– приоритет внедряемых мер защиты;

– задачи или действия по внедрению;

– установление времени, в течение которого должно быть внедрено средство защиты;

– лицо, перед которым нужно отчитываться о внедрении мер защиты по его завершению;

– ресурсы для внедрения (рабочая сила, требуемое пространство, затраты).

Сферы ответственности за процесс первоначального внедрения обычно включают:

– задание целей управления с описанием предполагаемого планируемого состояния;

– распределение ресурсов (объем работ, финансовые ресурсы);

– реальное заданное время внедрения мер защиты;

– варианты объединения с системами безопасности ИКТ, физических объектов и организации.

Сферы ответственности за процесс фактического внедрения включают:

– разработку каждого из средств защиты для области безопасности ИКТ, физических объектов и организации на оперативном уровне рабочего места;

– конкретизацию каждой меры защиты в соответствии с согласованным проектом;

– предоставление процедур и информации для органов управления и учебных курсов, способствующих информированию в сфере безопасности;

– оказание помощи и внедрение средств управления на рабочем месте.

ИБ должна быть объединена в процедуры и процессы, применяемые во всей организации. Если для части организации или третьей стороны окажется трудным внедрение этих процедур и процессов, соответствующие стороны должны сообщить об этом немедленно, чтобы согласовать решение проблемы. Решение по подобным вопросам включает изменение процедур или процессов, перераспределение должностей и сфер ответственности и адаптацию технических процедур.

Результаты внедрения средств ИБ должны быть следующими:

– план внедрения, в котором подробно описывается внедрение средств защиты, например, график, структура группы по внедрению и т.д.;

– записи и документация по результатам внедрения.

Выходные данные:

Структурированный подробный план внедрения средств управления, связанных с безопасностью ИКТ и физических обьектов, включает:

– подробное описание;

– сферы ответственности за разработку и внедрение;

– предполагаемые временные шкалы;

– связанные задачи;

– требуемые ресурсы;

– собственность (линии отчетности).

5.3. Создание условий для надежного функционирования СУИБ

Создание условий для надежного функционирования СУИБ предполагает разработку следующих документов:

– план проверок, проводимых руководством;

– программа обучения в области ИБ.

5.3.1. План проверок, проводимых руководством

Необходимо разработать план, обеспечивающий участие руководства и выдачу поручений на проверку работы СУИБ и проводимых улучшений.