Основные этапы создания суиб
Способ построения СУИБ в организации зависит от присутствия в ней категорированной информации. В организациях, в которых обращается информация, составляющая государственную, процесс создания СЗИ заключается в удовлетворении нормативным требованиям с применением специального оборудования, ПО и привлечением специализированных организаций. В коммерческих организациях (в которых присутствует информация, составляющая коммерческую и профессиональную (например, банковскую) тайны, а также персональную информацию) процесс построения СУИБ должен основываться на анализе рисков.
ЭТАП ПЛАНИРОВАНИЕ СУИБ
Установите политику, цели, процессы и процедуры, относящиеся к менеджменту рисков и улучшению защиты информации для выдачи результатов в соответствии с общей политикой и целями организации.
a) Определение области применения и границ СУИБ:
Описание вида деятельности и бизнес-целей организации;
Указание местоположения систем, охватываемых СУИБ;
Описание активов организации (виды информационных ресурсов, программно-технические средства, персонал и организационная структура);
Описание бизнес-процессов, использующих защищаемую информацию.
Пример области деятельности
b) Определение политики в отношении СУИБ организации (расширенная версия ПБ).
Содержание политики СУИБ:
· Цели, направления и принципы действия в отношении защиты информации;
· Ссылки на законодательные, нормативные и деловые требования, а также договорные обязательства по защите;
· Описание стратегии управления рисками в организации;
· Критерии значимости риска;
· Позиция руководства.
c) Определение подхода к оценке риска в организации.
Методология оценки риска (в зависимости от СУИБ, установленным деловым требованиям защиты информации, законодательным и нормативным требованиям).
Необходимо подобрать такую методику анализа рисков, которую можно было бы использовать с минимальными изменениями на постоянной основе. Есть два пути: использовать существующие на рынке методики и инструментарий для оценки рисков или же разработать свою собственную методику, которая наилучшим образом будет подходить к специфике компании и охватываемой системой управления информационной безопасности области деятельности.
d) Выявление рисков.
Идентификация ресурсов и их владельцев
- Информационные ресурсы (конфиденциальная и критичная информация компании);
- Программные ресурсы (ОС, СУБД, критичные приложения, например ERP);
- Физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование);
- Сервисные ресурсы (электронная почта, www и т.д.).