2015-05-12
1877Политика (или, если больше нравится – правила) системы менеджмента информационной безопасности определяет основные подходы к организации системы обеспечения информационной безопасности как объекта менеджмента (управления) и, таким образом, должна содержать модель объекта управления и принципы, обеспечивающие его управляемость.
«Моделирование» объекта управления, в основном, заключается в определении области приложения и границы действия СМИБ, описывающее в терминах и с учетом процессов деловой активности организации структуру, взаимосвязь и местоположение активов и технологий. Как правило, это – перечень информационных активов, имеющих (по определению!) ценность для организации, а также – объектов инфраструктуры, обеспечивающие их «работоспособность» и/или «сохранность». В рамках Политики данные объекты могут быть определены достаточно укрупненно, детальный же перечень – область ответственности процедуры «А.7. Менеджмент активов».
Здесь же должны быть определены с детальным описанием и обоснованием любые исключения из области действия СМИБ в случае, если риски по соответствующим активам и связанным с ними объектам обработаны так, что они не влияют на способность и/или обязанность организации обеспечить уровень защиты информации, удовлетворяющий требованиям внутренних и внешних нормативов. Сюда, например, могут попасть внешние по отношению к организации центры обработки данных или «облачные» услуги, взаимоотношение с поставщиками которых определено договорами и соглашениями об уровнях обслуживания (SLA), а остаточные риски «покрыты», например, страховкой. Хотя, если организация в этом случае приняла все перечисленные меры, то можно сказать, что риски, связанные с данными активами она обработала и это часть ее Политики СМИБ.
|
|
|
«Контур управления» СМИБ определяется задачами СМИБ и формулируется в виде Концепции обеспечения ИБ, включающей цели, основные направления и принципы действий в этой сфере. Концепция принимает во внимание требования деловых процессов, нормативную базу общественной среды, в которой функционирует организация, а также договорные обязательства по защите информации. Основой организации СМИБ концепция должна утверждать принципы управления рисками ИБ, принятые в организации.
Согласно Стандарту 27001, политика СМИБ рассматривается как расширенная политика информационной безопасности, причем политика СМИБ, по сути, имеет приоритет перед политикой ИБ.
Политика СМИБ и/или Политика ИБ должны быть закреплены документально в соответствующей форме и утверждены высшим руководством организации.
|
|
|
Стандарт допускает, что Политики СМИБ и ИБ могут быть изложены в одном документе. Однако также принято считать, что Политика ИБ должна быть изложена кратко и четко, а также направлена на публичную сферу, вплоть до публикации на сайте организации или в СМИ. Концепция ИБ, а значит и основные положения Политики СМИБ, может носить более развернутый, но и более закрытый характер и быть документом исключительно внутреннего использования (например, ДСП). В этом случае, разумнее оформлять их в виде разных документов.
Например, политика СМИБ банка может звучать примерно так:
— присоединяемся к Стандарту СТО БР ИББС и создаем систему обеспечения информационной безопасности на его основе;
— цель защиты информации – обеспечение работоспособности организации в условиях умеренных угроз, безопасность сотрудников и клиентов, защищенность операций;
— для обеспечения ИБ организуем подразделение с собственным бюджетом, курируемое тем же зампредом, что курирует службу экономической безопасности;
— о результатах деятельности служба оперативно отчитывается перед куратором, раз в полгода – перед правлением;
—область действия СМИБ распространяется на все подразделения и службы, кроме тех, что предоставляются владельцем арендуемого здания (пожарная охрана, телефонная связь, охрана внешнего периметра здания), но вопросы ИБ дополнительно прописываются в договорах с арендодателем;
— необходимо разработать систему документальной поддержки СМИБ и разработать соответствующие документы; ответственные – служба ИБ;
— риски ИБ обрабатывать как операционные риски, периодически проводя анализ рисков ИБ; ответственные – управление рисками, служба ИБ, служба ИТ, ответственные за направления бизнеса;
— контроль за деятельностью службы ИБ осуществляет служба внутреннего контроля.
Т.е. политика СМИБ формулирует основные задачи и подходы обеспечения ИБ в организации, которые в дальнейшем должны быть развиты и воплощены в документы, процедуры и конкретные меры обеспечения ИБ.
В процедурах СМИБ должно быть предусмотрено, что политика СМИБ может и должна периодически и/или событийно пересматриваться и уточняться, с учетом того что её положения определяют стратегию функционирования и развития СМИБ в организации. Как правило, к событиям, требующим смены концепции СМИБ, можно отнести слияния и поглощения организаций, существенные изменения в архитектуре информационных систем, передача большой части сервисов и служб на аутсорсинг и т.п. события стратегического уровня.
