Система управления ИБ

организации
Система управления ИБ (СУИБ/англ. information security management system) –
часть общей системы управления организации, основанная на подходе
оценки и анализа бизнес-рисков, предназначенная для разработки,
внедрения, эксплуатации, постоянного контроля, анализа, поддержания и
улучшения ИБ, и включающая организационную структуру, политику,
планирование действий, обязанности, установившийся порядок, процедуры,
процессы и ресурсы в области ИБ.

Функции СУИБ в организации:

1. реализация целенаправленного, комплексного и систематического подхода
к управлению ИБ защищаемых активов, повышая уровень к их защищённости;
2. объединение применяемых в организации защитных и организационных
мер в единый управляемый комплекс;
3. установление взаимосвязей процессов и подсистемы ОИБ, ответственных за
них лиц, необходимых ресурсов и т.д.;
4. выполнение ПолИБ и устранение слабых мест в ОИБ;
5. распространяется на людей, процессы и ИТ-структуру организации.
2
 СУИБ организации должна включать следующие
компоненты:
1. соответствующую организационную структуру с
поддерживающими её подсистемами
автоматизации функционирования СУИБ,
организации управления и собственной защиты;
2. модель функционирования СУИБ;
3. методики и методы управления ИБ;
4. документальное обеспечение функционирования
СУИБ;
5. деятельность по планированию, реализации,
проверке и улучшению СУИБ со средствами
выполнения конкретной деятельности;
6. ответственность всех участвующих в процессе
управления ИБ и тех, кто попадает в область
действия СУИБ;
7. процессы управления ИБ, выполняемые на
основе СУИБ;
8. средства управления ИБ;
9. необходимые ресурсы. 3
 Выгоды от использования СУИБ:
- соответствие уровня ИБ законодательным, отраслевым, контрактным,
внутрикорпоративным требованиям и целям бизнеса;
- доказательство стремления руководства к ОИБ в нужном объёме;
- повышение доверия партнёров, клиентов, заказчиков за счёт демонстрации
высокого уровня ОИБ;
- управляемое ОИБ и контролируемое управление ИБ;
- систематизация процессов ОИБ;
- расстановка приоритетов в области ИБ;
- достижение “прозрачности” в ОИБ;
- обеспечение понятности защищаемых активов для руководства;
- выявление угроз ИБ для бизнес-процессов;
- достижение адекватности ОИБ существующим рискам;
- предупреждение возникновения инцидентов ИБ и снижение ущерба в
случае их возникновения;
- оптимизация и обоснование расходов на ИБ;
- снижение рисков для инвесторов из-за повышения экономической
эффективности ОИБ. 4
 Область действия СУИБ – область и границы применения СУИБ в терминах
характеристик бизнеса, организации, её расположения, ресурсов и технологий.

В область действия СУИБ включаются:

- бизнес-процессы;
- технологии;
- активы (кадры, денежные средства, средства вычислительной техники,
информация, процессы и т.д.);
- обоснование выбора ограниченной части организации или всей организации.

Факторы, которые учитываются при выборе области действия СУИБ:

- деятельность и услуги, предоставляемые организацией;
- целевая информация, ИБ которой нужно обеспечить;
- бизнес-процессы, обеспечивающие обработку информации;
- участвующие в бизнес-процессах подразделения и сотрудники;
- программно-аппаратные и технические средства;
- территориальные площадки организации. 5
 Цели управления ИБ, которые могут быть возможными входными
данными для определения области действия СУБД :
- содействие ОНБ и восстановлению после сбоев;
- повышение устойчивости к инцидентам ИБ;
- соответствие правовым требованиям и договорным обязательствам;
- создание условий для сертификации по стандартам ISO/IEC;
- создание условий для эволюции организации и укрепления её позиций;
- сокращение расходов на средства управление ИБ;
- защита активов, имеющих стратегическое значение;
- создание жизнеспособной и эффективной системы внутреннего
контроля;
- обеспечение гарантий защиты информационных ресурсов для
заинтересованных лиц.

Данные цели взяты из стандарта ISO/IEC 27003:2010.

6
В документ, являющийся результатом деятельности по определению области
действия СУИБ, должны быть включены:

- сводка поручений по управлению ИБ, установленных руководством, и

обязательств, налагаемых на внешние организации;
- описание взаимодействия частей области действия с другими системами
управлениями;
- список бизнес-целей управления ИБ;
- список критических бизнес-процессов, систем, информационных активов,
организационных структур и географических районов применения СУИБ;
- взаимоотношения существующих систем управления, регулирующих и
надзорных органов, и целей организации;
- характеристики бизнеса, самой организации, её расположения, активов и
используемых технологий.

7
В процессе внедрения СУИБ должен быть разработан пакет документации. В
документах должно быть детальное описание СУИБ. Эти документы должны
находиться под управлением СУИБ, т.е. учитываться, идентифицироваться,
контролироваться. Существуют требования по управлению этой
документацией.

В документацию СУИБ включаются следующие документы:

- политика СУИБ;
- руководства по процессам управления ИБ;
- документированные процедуры;
- рабочие инструкции;
- формы и шаблоны;
- планы работ;
- спецификация;
- внешние документы;
- отчётные документы.
8
Существует иерархия документации СУИБ.
Ниже предложен пример такой иерархии.

9
 Документы СУИБ 1 уровня включают Политику СУИБ.
2 уровень представлен документами: а) планы работ по управлению ИБ
(мероприятия по обеспечению деятельности в рамках управления ИБ,
реализации и внедрению процедур, требований и мер по ОИБ,
управлению документами по СУИБ и т.д.). Здесь описываются перечень,
порядок, объём, сроки выполнения работ и ответственные за это лица;
б) описание технологий ОИБ. Здесь устанавливаются требования и
характеристики для использования, касающиеся деятельности по ОИБ,
осуществляемой в рамках и на основе СУИБ.
Документы 3 уровня описывают конкретные действия каждого участника
процесса управления ИБ. Документы содержат требования к процедурам
управления ИБ, даются детальные описания, приводятся конкретные
приёмы и порядки выполняемых действий и вводимых ограничений. К
этим документам относятся инструкции, руководства, методические
указания.
10
 (продолжение)
Документы 3 уровня определяют:
- субъекты, деятельность которых регламентируется, и наименование его
деятельности;
- ресурсы, необходимые для выполнения деятельности;
- описание выполняемых операций, накладываемых ограничений и
результат операций;
- обязанности субъектов в рамках выполнения регламентируемой
деятельности;
- права и ответственность этих субъектов.

4 уровень составляют документы, содержащие свидетельства

(результаты деятельности по управлению ИБ). Это регистрационные
журналы, реестры, протоколы и т.д. Они служат доказательством
реализации деятельности по управлению ИБ. Должно обеспечиваться
архивное хранение этих документов.
11
 СУИБ как документированная система управления удовлетворяет
следующим требованиям:

- документы проверяются на адекватность до их утверждения;

- документы по мере необходимости анализируются и обновляются;
- изменения и статус текущей редакции идентифицируются;
- актуальные версии документов должны быть доступны в местах их
использования и тем, кому они требуются;
- документы должны быть читаемы и легко идентифицируемы;
- документы могут быть перемещены, сохранены и уничтожены согласно
процедурам, применяем в соответствии с их классификацией;
- распространение документов должно быть контролируемым и
управляемым;
- в случае использования устаревших документов должны быть
предприняты меры;
- если документы сохраняются для каких-либо целей, то их
идентификация должна быть подходящей. 12
Документальное обеспечение СУИБ проходит несколько стадий жизненного
цикла. Цикл начинается со стадии начальной оценки необходимости
разработки документа исходя из намеченных целей. Если на стадии
сопровождения вносятся изменения, то новый цикл начинается со стадии
разработки. Если документ изымается из обращения, то жизненный цикл
соответственно заканчивается.

13
Спасибо за внимание!

14