Создание СУИБ

на предприятии
 Создание СУИБ на предприятии и подготовка к её сертификации на
соответствие требованиям стандарта ISO27001 делится на:
1. разработку системы управления и всех необходимых процедур;
2. внедрение системы управления.

Вовлеченность руководства в процесс управления ИБ – важное условие

эффективного функционирования СУИБ. Вся деятельность по
обеспечению ИБ инициирована руководством и им же контролируется.
Кроме того, руководство выполняет те же правила по обеспечению ИБ,
что и все сотрудники компании.

Очевидно, что СУИБ нужно разрабатывать для всей компании в целом.

Зачастую внедрить СУИБ во все бизнес-процессы затруднительно.
Поэтому внедрение может быть последовательным. В этом случае
сертификаты будут получены в рамках отдельных бизнес-процессов.
2
 Основные этапы разработки системы управления ИБ:
1. инвентаризация активов;
2. категорирование активов;
3. оценка защищённости информационной системы;
4. оценка информационных рисков;
5. обработка информационных рисков и определение конкретных мер
для защиты ценных активов;
6. внедрение выбранных мер обработки рисков;
7. контроль выполнения и эффективности выбранных мер.

Рассмотрим каждый этап отдельно.

3
1. Инвентаризация активов. Это составление перечня ценных активов
компании.
Стандарт ISO 17799 выделяет следующие виды активов:
- информационные ресурсы (базы и файлы данных, контракты,
системная документация, обучающие материалы и т.д.);
- программное обеспечение;
- материальные активы (компьютерное оборудование, средства
коммуникации и др.);
- сервисы (поддерживающая инфраструктура);
- сотрудники компании, их квалификация и опыт;
- нематериальные ресурсы (репутация и имидж компании).

Сначала нужно определить, что является ценным активом компании с

точки зрения ИБ, и нарушение ИБ каких активов может нанести ущерб
компании.
4
 2. Категорирование активов. На этом этапе нужно оценить критичность
активов для бизнес-процессов компании, другими словами нужно
определить, какой ущерб понесёт компания в случае нарушения ИБ активов.
Ценность активов определяется на основе экспертных оценок их владельцев.
Оценка критичности активов выполняется по 3 параметрам:
конфиденциальность, целостность и доступность. Также необходимо
денежное выражение критичности активов.
На прошлом слайде рассматривались основные виды активов. Существуют
принципы оценки критичности каждого вида активов:
- информационные активы оцениваются с точки зрения нанесения ущерба от
их раскрытия, модификации или недоступности в течении определённого
времени;
- ПО, материальные ресурсы и сервисы оцениваются с точки зрения их
доступности или работоспособности. Определяется ущерб при нарушении
функционирования активов;
5
 (продолжение)
- сотрудники компании оцениваются с учётом их доступа к
информационным ресурсам с правами на чтение и их модификацию.
Доступность сотрудников оценивается сточки зрения их отсутствия на
рабочем месте, т.е. оценивается, какой ущерб понесёт компания при
отсутствии сотрудника в течении определённого времени. Здесь
учитываются опыт, квалификация сотрудника;
- репутация компании оценивается в связи с информационными
ресурсами, т.е. оценивается, какой ущерб будет нанесён в случае
нарушения ИБ компании.

Все оценки должны быть обоснованы. Аудиторам сертификационных

органов нужны документы, в которых быть данные, на которые
опирались при оценивании, и использованные методики.

6
3. Оценка защищённости информационной системы компании. На этом
этапе определяются действующие на активы угрозы, уязвимости
информационной системы, в которой обрабатываются активы. Угрозы и
уязвимости рассматриваются во взаимосвязи друг с другом. Различные
угрозы и уязвимости имеют разное значение для информационной
системы. Угрозы, уязвимости и их вероятности определяются в
результате проведения технологического аудита защищённости
информационной системы компании.

4. Оценка информационных рисков. Она заключается в расчёте рисков,

который выполняется с учётом сведений о критичности активов и
вероятностей реализации уязвимостей.
Классическая формула оценки рисков: R = D x P(V), где R –
информационный риск, D – критичность актива (ущерб), P(V) –
вероятность реализации уязвимости.
7
 5. Обработка информационных рисков. Это этап, в процессе которого
определяются действия, которые нужно применить по отношению к
рискам. Основные способы обработки рисков:
- принятие рисков (осуществляется в случае, если уровень рисков
признаётся приемлемым, т.е. когда компания ничего не предпринимает
и готова понести ущерб);
- уклонение от рисков (полное устранение источника риска);
- передача рисков (перенесение ответственности за риск на третьи лица
без устранение источника риска);
- снижение рисков (выбор и внедрение мер по снижению вероятности
нанесения ущерба).

8
 По результатам оценки и обработки рисков разрабатывается Положение о
применимости. Наличие этого документа обязательно для сертификации. Он
является итоговым решением относительно снижения информационных рисков
компании. Вообще, в рамках системы управления нужно разработать базу
нормативных документов, методики и инструкции, описывающие все
процедуры в области ИБ. Инструкции разрабатываются для каждой процедуры
обеспечения ИБ.
Обучение сотрудников компании – одни из способов снижения рисков ИБ.
Даже при надёжной внешней защите риски могут быть высокими за счёт
внутренних нарушений. Внутренние нарушители, т.е. сотрудники, имеют доступ
к ценной информации. Поэтому нужно проводить различные тренинги с целью
повышения осведомлённости сотрудников. Обучать их также можно
дистанционно, если компания большая.
Управление ИБ заключается в чётком выполнении всех процедур по
обеспечению ИБ, их координации и регулировании, а также в контроле их
правильного и эффективного выполнения.
Стандарт декларирует два основных принципа управления: процессный подход
9
и применение PDCA-модели.
 6. Внедрение процедур системы управления ИБ. На этом этапе
информируются сотрудники о правилах и сроках выполнения процедуры,
регулярно контролируется их выполнение, оценивается их
эффективность, вносятся исправления.
Разрабатывается план, в котором описывается чёткая
последовательность действий при внедрении процедур, методы
контроля и осуществления проверок выполнения процедур.

10
Спасибо за внимание!

11