Обеспечение информационной безопасности бизнеса - [39]
Общие элементы. В Руководстве ISO 72 отмечается, что опыт работы со стандартами систем менеджмента, созданными ИСО, показывает, что практика работ выводит на ряд общих областей систем менеджмента. Такими общими областями предлагается считать:
— политику системы менеджмента;
— планирование;
— реализацию и введение в действие;
— оценку функционирования;
— совершенствование;
— проверки, проводимые руководством.
Боле подробно данные общие элементы представлены в таблице 1.
Общие элементы стандартов систем менеджмента ИСО
Таблица 1
Продолжение табл. 1
Окончание табл. 1
Таблица 1 показывает общие элементы стандартов требований системы менеджмента и стандартов рекомендаций для системы менеджмента ИСО, перечисленные в соответствии с этой структурой. Разработчиками стандартов системы менеджмента рекомендуется соблюдение представленной в Руководстве ISO 72 системы элементов для облегчения использования стандартов, а также совместной реализации стандартов систем менеджмента. При этом ими рекомендуется также использование подобных (схожих) формулировок при составлении текстов для общих элементов стандартных требований к системам менеджмента.
2.2.3. Шаги реализации стандартной СМИБ организации
Стандартной СМИБ присущи все общие для систем менеджмента элементы. При этом опыт использования стандартизированных требований к СМИБ показал, что следующие факторы часто оказываются решающими для успешной реализации обеспечения информационной безопасности в организации:
— политика информационной безопасности, цели и мероприятия, отражающие цели бизнеса организации;
— подход и структура для реализации, поддержки мониторинга и совершенствования информационной безопасности, согласующиеся с культурой организации;
— явная поддержка и приверженность руководства всех уровней;
— хорошее понимание требований ИБ, оценки риска и менеджмента риска;
— эффективные мероприятия по осведомленности по вопросам ИБ для достижения должного осознания;
— распространение руководств (инструкций) по политике и стандартам информационной безопасности среди всех руководителей, служащих и других сторон;
— обеспечение финансирования мероприятий менеджмента ИБ;
— обеспечение соответствующей информированности, обучения и образования;
— установление эффективного процесса менеджмента инцидентов информационной безопасности;
— реализация оценивания системы, которое используется для оценок эффективности функционирования менеджмента информационной безопасности и предложений по совершенствованию, поступающих по каналам обратной связи с руководством.
Следование требованиям стандартов СМИБ предполагает последовательное продвижение к спецификации защитных мер организации (административных, организационных, технологических, технических и иных) и соответствующих целевых процессов деятельности, необходимых для контроля рисков деятельности организации в ее информационной сфере.
В общем случае этап планирования СМИБ в соответствии с требованиями стандарта [11] может включать следующие 10 шагов, представленных в таблице 2, реальное наполнение которых определяется самой организацией.
Таблица 2
Графически данные шаги иллюстрирует рис. 31.
В структуре цикла Деминга результирующие сущности шагов этапа менеджмента «Планирование» иллюстрирует рис. 32.
Фактически представленные на рис. 31 и 32 шаги этапа планирования СМИБ преследуют цель принятие решения организацией по следующим трем основным вопросам:
— установление сферы применения и политики системы менеджмента информационной безопасности (шаги 1 и 2);
— выбор защитных мер на основе менеджмента риска (шаги 3–7);
— получение одобрения руководства для мер обработки рисков и подготовка формулировки применимости требований из каталога требований стандарта, так как это влечет организационные и, возможно, финансовые издержки компании (шаги 8-10).
При установлении сферы применения и политики системы менеджмента информационной безопасности должны рассматриваться:
— вопроса бизнеса;
— организационные аспекты;
— местоположение (географическое и физическое);
— активы;
— технологии.
Результаты определения применимой сферы действия СМИБ оказывают существенное влияние на объемы работ, которые необходимо будет выполнить при установлении системы менеджмента информационной безопасности. Приведенный ниже рис. 33 показывает общие задачи, связанные с определением применимой сферы действия СМИБ, и сопутствующие элементы.
Политика системы менеджмента информационной безопасности должна закрепить основные концепции менеджмента информационной безопасности в организации. Документы политики (структурно это может включать неограниченное число физически отдельных документов) также могут служить в качестве декларации намерений организации, отражающей то, что организация понимает и несет ответственность за требования информационной безопасности. Это бывает критичным для целей внешнего финансового аудита, если ценные бумаги организации претендуют или представлены на финансовых рынках. Содержание политики системы менеджмента информационной безопасности должно соответствовать политикам бизнеса и принципам и стилю корпоративного управления, устанавливающее основные задачи и цели организации, а также моральные нормы и принципы. Поэтому политики должны формулировать общую базисную точку информационной безопасности и содержать руководства к действию персонала компании, включая операционное руководство (см. рис. 29).
