суббота, 1 октября 2011 г.

Сертификация по ISO 27001 \ Глава 3. Основные концепции и инструменты для СМИБ (часть 2)

В этой Главе рассмотрены следующие вопросы:
  • Начальное планирование и внедрение СМИБ
  • Определение текущего состояния управления безопасностью в компании (Процесс оценки)
  • Сбор информации
  • Определение уровня соответствия

Модель PDCA является циклической моделью, направленной на непрерывное совершенствование системы менеджмента информационной безопасности. При первоначальной подготовке используется похожий подход, однако это особый случай. Начальное планирование и внедрение направлено на создание СМИБ и запуск последовательного выполнения этапов цикла PDCA, которое начинается с проверки текущего состояния СМИБ (этап проверки – Check), затем следует пересмотр СМИБ (этап улучшения – Act) и планирование ее обновления (этап планирования – Plan), после чего запланированные изменения внедряются в работу (этап выполнения – Do). Затем цикл повторяется.

Задачами первоначального планирования и внедрения являются, в частности, следующие:
  • Сбор информации о работе компании.
    • Вид деятельности
    • Миссия
    • Местонахождение офисов
    • И т.д.
  • Определение ключевых людей для процесса разработки СМИБ.
  • Определение драйверов (мотивов) к управлению рисками и потребностей создания СМИБ.
  • Получение высокоуровневого мгновенного снимка текущего состояния безопасности в компании, а также имеющихся возможностей и практик по выявлению и обработке бизнес-рисков.
  • Сбор подробной информации, которая поможет установить границы и содержание СМИБ.
    • Офисы, операции, бизнес-функции, информация, информационные технологии, инфраструктура и т.д.
  • Определение целей создания СМИБ (например, следование лучшим практикам, или сертификация по ISO 27001).
  • Начало описания содержания предполагаемой СМИБ.
  • Формирование временнόго плана-графика разработки СМИБ.
  • Начало описания процессов создания и дальнейшего сопровождения СМИБ.
Подход к начальному планированию и внедрению СМИБ, а также выполнению перечисленных выше задач, подробно описан далее.


Процесс получения необходимой информации состоит из двух больших этапов: сбор информации (background discovery) и определение уровня соответствия (compliance level discovery).



Выполнение работы по сбору информации начинается с изучения общей информации о компании, ее целях, миссии, организации работы, опыте (general background), информации о роли безопасности в компании, а также об общем восприятия безопасности в корпоративной культуре. Сбор информации осуществляется посредством проведения опросов (questionnaire) и анкетирования (survey). Многие из вопросов, задаваемых на данном этапе, не имеют четкой связи со стандартами ISO, однако они позволяют собрать важные сведения, которые помогут определить текущий уровень соответствия (следующий этап) и, в конечном счете, подготовить документацию, необходимую для сертификации по ISO 27001.


Информация о компании (background information) включает в себя сведения о самой компании, кто в ней является ключевыми фигурами (включая руководителей, лиц, принимающих решения и иных уполномоченных лиц по вопросам безопасности), почему безопасность важна для компании, а также в каких именно областях (как физических, так и логических) безопасность наиболее важна. Собранные на данном этапе сведения должны включать в себя, как минимум, следующее:
  • Компания
    • Название компании, адреса всех ее офисов и/или площадок
    • Структура компании, иерархия управления
    • Правовая структура (legal structure): например, холдинг, в который входят полностью автономные компании, либо единая компания
    • Миссия
  • Персонал
    • Фамилии и контактная информация всех руководителей высшего уровня (CxO), включая генерального директора (CEO), операционного директора (COO), финансового директора (CFO), директора по ИТ (CIO), директора по безопасности (CSO) и т.д.
    • Фамилии и контактная информация сотрудников, участвующих в управлении безопасностью, с указанием их взаимосвязей с высшим руководством CxO (как формальных, так и неофициальных)
    • Фамилии и контактная информация руководителей ИТ-подразделений
    • Фамилии и контактная информация руководителей подразделений безопасности
    • Фамилии и контактная информация людей, связь с которыми требуется в нештатных ситуациях (emergency contact person) для каждого офиса (площадки)
    • Число сотрудников в каждом офисе (площадке)
    • История информационной безопасности компании, включая сведения о любых возникавших ранее проблемах и областях, где они происходили
  • Офисы (facilities)
    • Основная деятельность, осуществляемая в каждом из офисов (площадок)
    • Телефонные номера для звонков в нештатных ситуациях для каждого офиса
    • Часы рабочего времени для каждого офиса
    • Размещение мест, содержащих критичные материалы
    • Размещение мест, содержащих самые ценные активы
    • Размещение центральных компьютерных систем и резервных систем
    • Описание связей с другими подразделениями и партнерами
  • Технологии
    • Размещение дата-центров
    • Карты сетей
    • Точки входа/выхода в/из сети, например, Интернет-, VPN-подключения
    • Назначение внешних подключений, например, доступа в интернет, подключения к партнерам, поставщикам, клиентские подключения
    • Роль технологий в работе компании
    • Детальные сведения о голосовых коммуникациях
      • Размещение офисных АТС, используемые голосовые сервисы, роль голосовых коммуникаций в работе компании
Эта информация даст хорошее представление о компании, ее миссии и организации работы, ее ключевом персонале, а также иные сведения, на основе которых можно провести анализ текущего уровня соответствия (custom compliance discovery process) и выяснить:
  • Цели (задачи) компании
  • Причины, почему компания присутствует на рынке
  • Ключевые бизнес-функции
  • Распределение ролей и обязанностей, организация стратегического и операционного управления, планирования, реализации, эксплуатации и сопровождения:
    • Безопасности
    • Управления бизнес-рисками
    • Управления уязвимостями
  • Цели (задачи) безопасности, в т.ч. политика
  • Как компания выполняет свои бизнес-функции и функции безопасности, например, применяемые процедуры и подходы
  • Какие результаты были достигнуты с точки зрения руководства и других подразделений компании, например, отчетности
Заключительными вопросами этапа сбора информации являются вопросы по специфике компании и вопросы, связанные с организационной структурой, физическим расположением, функциями, операционными целями, ролью и целями безопасности. Следующие разделы содержат набор общих вопросов, которые могут использоваться в качестве основы для разработки опросных форм для конкретной компании. Эти вопросы делятся на три категории: общая информация о положении с безопасностью в компании, меры безопасности (security arrangements) и инфраструктура информационной безопасности. В дополнение к ответам на вопросы формы, следует запросить документацию, подтверждающую сделанные сотрудниками компании утверждения и заявления. Многие компании действительно работают в соответствии с хорошими практиками, но не документируют их. Частью процесса сбора информации является выявление различий между документированными процедурами и реальными практиками, на основании которых можно сделать вывод о формальном соответствии применяемых практик утвержденным процедурам. Укажите все ответы на вопросы в сопроводительной документации, что поможет на этапе определения уровня соответствия, а также при подготовке документации для создания СМИБ и сертификации СМИБ.



Целью сбора этой информации является получение общих сведений о положении с безопасностью в компании, включая существующие политики, выполняемые мероприятия в области безопасности на сегодняшний день, соответствие применяемых практик утвержденным политикам и процедурам безопасности (например, документирование выполняемых действий), наличие планов обеспечения непрерывности бизнеса.

1. В компании внедрена политика информационной безопасности?
a. Компания должна иметь документированную политику информационной безопасности.
b. В политике должна быть указана область ее действия.
c. В политике должны быть определены роли и обязанности.
d. Политика безопасности должна быть утверждена на уровне правления компании (board level).
e. Должны быть определены процедуры безопасной работы (security operating procedures) для всех пользователей, платформ, данных, сетей и приложений.

2. Компания провела оценку рисков?
a. Компания должна иметь документированную методологию оценки рисков.
b. В процессе оценки рисков должны выявляться все применимые риски.
c. При проведении оценки рисков должно оцениваться воздействие на компанию случаев реализации рисков.
d. Должен быть определен перечень вариантов обработки рисков.

3. Существует ли в компании документированный процесс внутреннего аудита информационной безопасности?
a. Компания должна регулярно проводить анализ соблюдения обязательных требований, выполняемый внутренним или внешним аудитором.
b. Обработка персональных данных должна удовлетворять требованиям применимого законодательства в этой области.
c. Анализ информационной безопасности обязательно должен проводиться минимум раз в год.

4. В компании есть план управления непрерывностью бизнеса?
a. План должен учитывать обеспечение непрерывности бизнеса и восстановление после аварий.
b. Работа компании должна быть организована управляемым образом.
c. Компания должна проводить тестирование, пересмотр и поддерживать план обеспечения непрерывности бизнеса (BCP – business continuity plan), а также план восстановления после аварий (DRP – disaster recovery plan).
d. Тестирование плана должно проводиться как минимум ежегодно.


Набор вопросов в отношении мер безопасности делится на четыре категории:

  • Общие вопросы, касающиеся обязанностей ответственных сотрудников по обеспечению обработки информации в соответствии с законодательством и требованиями регуляторов
  • Меры безопасности, касающиеся собственных сотрудников и сотрудников контрагентов (external workers)
  • Меры безопасности, касающиеся внешней безопасности (external security)
  • Организационные и технические меры безопасности

3.3.1.3.1. Общие вопросы

A1. Компания внедрила политику классификации информации?
a. В ней должна быть предусмотрена формальная классификация информации.
b. Классификация должна учитывать потребности бизнеса.
c. Политика должна быть связана с информационными активами.
d. Политика должна использоваться для принятия решений о приоритетах защиты в отношении целостности и доступности.

A2. Компания внедрила политику использования и маркировки документов?
a. Должна быть формализованная политика в отношении маркировки активов компании.
b. Политика должна учитывать документы и физическое оборудование.
c. Политика должна учитывать программное обеспечение и данные.
d. Персонал и автоматизированные системы должны обращаться с документами с учетом требований к соответствующему классу информации.

A3. У компании есть политика чистого стола?
a. Компания должна иметь политику чистого стола.
b. Должен проводиться регулярный пересмотр этой политики.
c. Должны быть правила по работе с документами на рабочем месте.
d. На всех рабочих станциях и портативных компьютерах должна автоматически включаться экранная заставка (screen saver).

3.3.1.3.2. Собственные сотрудники и сотрудники контрагентов

B1. Компания выполняет проверку (screening) сотрудников перед приемом на работу?
a. Компания должна проводить проверку кандидатов на замещение вакантных должностей, а также сотрудников контрагентов и иных внешних работников.
b. Для проведения этой проверки должен быть назначен ответственный сотрудник подразделения безопасности.

B2. Компания инструктирует новых сотрудников по вопросам обеспечения безопасности информации и информационных технологий?
a. Компания должна обеспечить осведомленность новых сотрудников о политике безопасности, стандартах, процедурах и принятых в компании практиках.
b. Вводный инструктаж должен включать в себя вопросы этики и подчеркивать важность защиты интересов компании и ее клиентов.

B3. Компания использует соглашение о конфиденциальности?
a. Компания должна заключать письменный договор с собственными сотрудниками и сотрудниками контрагентов (а также иными внешними работниками), которые работают на ее территории или которые удаленно подключаются к ее информационным системам, в которых хранится или обрабатывается критичная информация.
b. Помимо всего прочего, этот договор должен содержать пункт о том, что информация предоставляется исключительно для использования в интересах компании.

B4. Носят ли на одежде служебный пропуск (или бейдж) все сотрудники и посетители компании?
a. Должно быть установлено требование к сотрудникам и посетителям компании носить идентификационный пропуск (или бейдж).
b. Пропуск (бейдж) должен быть видимым в течение всего времени нахождения сотрудника (посетителя) на территории компании.

3.3.1.3.3. Внешняя безопасность

C1. Компания организовала физическую защиту и безопасное хранение?
a. Компания должна организовать физическую защиту в рамках четко определенного периметра.
b. Для хранения всех классифицированных носителей информации должно быть установлено достаточное количество надежных и безопасных шкафов (сейфов)  с целью предотвращения несанкционированного доступа к критичной информации и системам.

C2. Реализован ли надлежащий план физической защиты?
a. В компании должна быть утверждена письменная политика физической защиты.
b. Периметр территории компании должен быть четко определен и обозначен.

3.3.1.3.4. Организационные и технические меры безопасности

D1. Используются ли в компании уникальные учетные записи и пароли для пользователей?
a. В компании должна быть введена политика использования паролей.
b. Всем пользователям информационных систем (как сотрудникам, так и всем остальным, кто имеет к ним доступ) в каждой информационной системе должны быть назначены персональные учетные записи с уникальными паролями, должен осуществляться контроль их безопасности.
c. Должен быть организован регулярный пересмотр прав доступа пользователей.

D2. В компании есть политика использования паролей?
a. В компании должны использоваться хорошие практики безопасного выбора и использования паролей.
b. Должны использоваться пароли длиной не менее 8 символов.
c. Пароли должны состоять из букв, цифр и специальных символов.
d. Правилами должно быть установлено, как часто должны меняться пароли.

D3. Компания внедрила политику доступа к документам?
a. В компании должна быть утверждена политика, которая определяет порядок получения разрешения на доступ к данным.
b. Политика должна определять, какой пользователь, к каким данным может получить доступ.

D4. Каким образом в компании осуществляется безопасное хранение и распространение информации?
a. В компании должна быть утверждена политика хранения данных в информационных системах.
b. Должно быть указано, как в системах блокируются учетные записи пользователей и групп.
c. Должна быть обеспечена возможность контроля хранения в компании данных и программного обеспечения.
d. Должна быть разработана документация, объясняющая цели и процедуры обмена информацией в компании (например, с использованием шифрованных каналов, VPN).

D5. Есть ли в компании политика обеспечения безопасности электронной почты?
a. В компании должна быть внедрена политика, снижающая бизнес-риски и риски информационной безопасности, связанные с использованием электронной почты.
b. Каждый сотрудник должен иметь копию этой политики.
c. Все сотрудники должны придерживаться этой политики и понимать ее.

D6. Компания использует средства мониторинга для отслеживания записей в журналах регистрации событий?
a. Компания должна на регулярной основе проводить внутренний анализ и аудит.
b. Анализ и аудит должны использовать, в том числе, лог-файлы.
c. Мониторинг и аудит в отношении критичной информации должны выполняться с учетом требований, соответствующих уровню ее классификации.

D7. Есть ли в компании политика, требующая проведение тестирования безопасности новых приложений и систем перед их внедрением?
a. Должна быть утверждена политика, требующая проведение тестирования безопасности новых приложений и систем.
b. Должно проводиться тестирование безопасности новых приложений и систем перед их внедрением.
c. При разработке нового приложения в компании, требования к тестированию безопасности должны быть определены и приняты до начала его разработки.
d. Компания должна тестировать все системы, программное обеспечение, приложения и сетевые средства перед их внедрением.

D8. Внедрена ли в компании политика предотвращения появление вредоносных программ?
a. В компании должны быть разработаны письменные процедуры выявления и предотвращения появления любого вредоносного кода.
b. Должны быть внедрены надлежащие процедуры повышения осведомленности.
c. Компания должна распределить обязанности по своевременному получению информации о новых угрозах и постоянному обновлению антивирусного программного обеспечения.

D9. В компании внедрена политика в отношении процедур контроля изменений?
a. В компании должны быть внедрены процедуры контроля изменений, охватывающие все этапы управления и разработки.
b. Политика должна учитывать все оборудование, системное программное обеспечение, сети, документацию и сетевые средства.
c. Процедура должна включать утверждение владельцем.
d. В ней должно быть определено распределение функциональных обязанностей.
e. Должен быть план аварийного восстановления.
f. Должна быть приблизительная оценка времени.

D10. Есть ли в компании политика по организации доступа и использования сети Интернет?
a. В компании должна быть разработана письменная политика по организации доступа и использования сети Интернет.
b. В компании должны быть описаны процедуры подключения к сети Интернет.
c. В компании должны быть описаны процедуры защиты сети от интернет-угроз.

D11. В компании внедрена политика тестирования процедур резервного копирования и восстановления данных?
a. В компании должна быть утверждена политика регулярного тестирования резервных копий данных.
b. В компании должна быть утверждена политика регулярного тестирования процедур восстановления с резервных копий данных.
c. Компания должна регулярно создавать копии важных данных и программного обеспечения.
d. Компания должна хранить резервные копии на внешней площадке.


1. В компании назначен руководитель, курирующий вопросы безопасности?
a. В компании должен быть назначен руководитель, курирующий вопросы безопасности.
b. Он должен занимать в компании должность руководителя высшего уровня (executive-level).
c. Сотрудники всех уровней должны быть осведомлены о безопасности и действовать в соответствии с политикой безопасности компании, использовать применимые процедуры безопасности.
d. Для обеспечения информационной безопасности в компании должен быть утвержден финансовый бюджет. Обязанности руководства должны быть зафиксированы письменно.

2. Компания проводит регулярные тренинги и обучение по информационной безопасности?
a. Компания должна организовать проведение регулярных тренингов и обучения всех сотрудников по вопросам информационной безопасности.
b. В программу тренингов должны входить политики, процедуры и правила работы, установленные в компании.

3. Компания внедрила процедуру уведомления об инцидентах?
a. В компании должна быть утверждена процедура уведомления обо всех инцидентах и проблемах.
b. Компания должна документировать и анализировать все нарушения и проблемы, относящиеся к информационной безопасности, и использовать результаты для улучшения существующих мер безопасности или внесения в них изменений для повышения уровня безопасности в компании.



Ответы на вопросы позволяют получить высокоуровневый снимок бизнес-среды и положения с безопасностью в компании. Получить ответы на эти вопросы можно достаточно быстро (в отличие от полного набора вопросов аудита), этот процесс является относительно менее дорогим, по сравнению с аудитом или более формальной оценкой. Его преимуществом является быстрое определение сильных и слабых сторон безопасности в компании. Далее, можно оценить этот снимок в количественных показателях, чтобы получить числовые значения базового (текущего) уровня безопасности и в дальнейшем сравнивать с ним новое состояние. Кроме того, такая количественная оценка может помочь выделить области, требующие внимания незамедлительно. Специфика количественной оценки и интерпретации ее результатов зависит от конкретной компании.

В таблице 3-2 показан пример результатов, демонстрирующих уровень соответствия по общим вопросам более 61%. Эта оценка показывает, что компания хорошо понимает информационную безопасность. Уровень соответствия 41-50% по мерам безопасности показывает, что компании требуется реализовать дополнительные меры безопасности. Любой уровень соответствия ниже 61% показывает, что компании требуется выполнить определенный объем работы, чтобы улучшить информационную безопасность. В отчете указываются результаты проведения опросов, а также их анализ и рекомендации по необходимым действиям.

до 20%21%-40%41%-50%51%-60%Более 61%
Категории соответствия
Общие вопросы



Х
Меры безопасности

Х


Безопасность в отношении персонала


Х

Внешняя безопасность

Х


Техническая безопасность
Х



Инфраструктура

Х


Таблица 3-2. Результаты оценки уровня соответствия (в процентах)



Процесс сбора информации позволяет определить текущее состояние безопасности компании на основе интервью, анализа документов, а также (возможно) выполнения проверок и получения подтверждений. Подтверждение (verification) включает в себя анализ реального наличия средств управления; проверка (validation) позволяет убедиться, что они реально работают. Проверка может проводиться с помощью практического тестирования или демонстрации функциональности средств управления. Приложение А «Набор вопросов для оценки СМИБ» содержит большой набор вопросов, на основе которых можно строить интервью. Таблица 3-3 представляет собой краткую выборку из этого набора вопросов. Эти вопросы обычно строятнся по следующему шаблону. Первым вопросом является – есть ли в компании X? Например, разработана ли в компании парольная политика? Если да, последующий набор вопросов формулируется для того, чтобы понять качество реализации X. Например, что указано в парольной политике? Позднее это поможет в оценке уровня соответствия парольной политики обязательным требованиям, которым должна соответствовать компания, в нашем случае - требованиям положений ISO 27002. Добавьте вопросы и специфику, основанные на потребностях компании, и вы получите перечень со всеми применимыми требованиями, которым должна соответствовать компания. Учтите, что отдельные требования будут повторяться в различных документах (например, существуют пересекающиеся требования в стандартах ISO 27002 и NIST, в ISO 27002 и SOX), что позволит вам задавать только один вопрос для получения сведений о соответствии более чем одному требованию. Набор вопросов в Таблице 3-3 является примером, показывающим связь между вопросами перечня и разделами ISO 27002.

Категория№ в перечнеISO 27002Вопрос
Управление рисками14
Управление рисками1.14.1Есть ли в компании политика, определяющая необходимость управления рисками?
Управление рисками1.24.1Эта политика требует, определяет или иным образом учитывает следующее:
Управление рисками1.2.14.1- Определение приемлемого уровня риска для компании?
Управление рисками1.2.24.1- Оценку рисков?
Управление соответствием215
Управление соответствием2.115Есть ли в компании политика управления соответствием?
Управление соответствием2.215.1Эта политика требует, определяет или иным образом учитывает следующее:
Управление соответствием2.2.115.1- Содержание процесса управления соответствием: определенные бизнес-требования, подразумеваемое управление рисками (для этого нужна безопасность), четкие требования безопасности?
Управление соответствием2.2.215.1- Необходимость определения и составления перечня применимого законодательства, требований регуляторов и иных требований, которым должна соответствовать компания.
И т.д.


Таблица 3-3. Выборка вопросов для оценки уровня соответствия


Опыт показывает, что у людей не хватает терпения для ответа на большое количество вопросов, независимо от того, проводит ли опрос человек или организуется анкетирование. Более эффективным вариантом является проведение экспертом (например, специалистом по безопасности) интервью для обсуждения вопросов безопасности с отвечающими за эти вопросы людьми в компании, имеющими необходимые знания в соответствующих областях. Процесс интервью позволяет узнать все необходимые сведения по набору вопросов без необходимости задавать каждый вопрос в отдельности. Заранее продумайте план интервью, который позволит вовлечь людей в обсуждение вопросов безопасности в форме диалога и получить при этом всю необходимую информацию. Обычно это наилучший вариант взаимодействия с людьми.

План интервью составляется на основе полного набора вопросов, но при этом он должен позволять эксперту вовлечь интервьюируемых в диалог. При этом не обязательно задавать вопрос напрямую, чтобы получить более полную информацию, можно сформулировать тему и попросить интервьюируемого подробно рассказать все, что ее касается. Затем эксперт может самостоятельно заполнить ответы на все свои вопросы. Хотя это потребует дополнительных трудозатрат со стороны эксперта, это лучший способ получения полной и точной информации. Обратная связь от эксперта по результатам записи ответов на вопросы способствует обеспечению максимального уровня доверия. Если эксперт заранее составил всеобъемлющий перечень вопросов, он сможет получить всю необходимую ему информацию в процессе интервью. Однако, если некоторые вопросы будут пропущены в процессе интервью или собранной информации по ним окажется недостаточно, оставшиеся сведения лучше получить по телефону или электронной почте.

При планировании процесса сбора информации и интервью, эксперту следует указать для каждой категории и элемента СМБ фамилию ответственного за него человека в компании, чтобы правильно адресовать вопросы. Человек, который хорошо знает определенный процесс и организацию его функционирования, гораздо быстрее найдет ответы на вопросы эксперта. Более того, при этом значительно возрастет точность информации, т.к. вы получите реальную информацию, а не догадки и предположения интервьюируемого, решившего, что он должен ответить хоть что-то вместо того, чтобы честно признаться – «я не знаю». Сам по себе план интервью не является всеобъемлющим списком четких вопросов, достаточно, чтобы он содержал все необходимые темы и подсказки для эксперта, ключевые слова и концепции, которые потребуются ему в ходе беседы.

Набор вопросов может быть достаточно большим и ориентированным на конкретный набор обязательных требований, применимых к компании, которым она должна соответствовать. Приведенный ниже набор вопросов для плана интервью является примером использования вопросов из Приложения А «Набор вопросов для оценки СМИБ».


Политика безопасности

Не забыть: вовлечь в беседу… задать открытые вопросы 
и записать ответы… при необходимости попросить 
подтверждения по отдельным вопросам.

Корпоративная программа менеджмента безопасности включает в себя:
  • Политика информационной безопасности
    • Документ, содержащий политику информационной безопасности
      • Пересмотр политики информационной безопасности
  1. В вашей компании есть политики безопасности?
  2. Есть ли политика, учитывающая вопросы финансирования безопасности и ее поддержки со стороны руководства?
  3. Включает ли эта политика следующее (см. Таблицу 3-4)?
  4. В компании есть процедуры, описывающие реализацию политики (см. Таблицу 3-5)?
  5. В компании есть политика по управлению активами (см. Таблицу 3-6)?
ВопросВопросВопрос

Цели безопасности
Соответствие целей безопасности бизнес-целям
Соответствие целей безопасности функционированию бизнеса

Формальный процесс пересмотра




События-триггеры для пересмотра




Изменения бизнеса
Календарный период
Инцидент безопасности

Аспекты политики




Анализ эффективности политики
Формальный процесс определения, написания, пересмотра и принятия
Четкое определение направления и видимая поддержка руководства

Выделение ресурсов на безопасность
Определенные роли и обязанности по безопасности
Проведение повышения осведомленности по безопасности

Требование организации рабочей группы по безопасности (SWG) или организации координации безопасности на корпоративном уровне




Реализация политики




Процедуры безопасности, реализующие соответствующие требования политики
Санкции за несоблюдение политики


Безопасность активов




И т.д.



Таблица 3-4. Пример опросного листа по политике менеджмента безопасности

ВопросВопросВопрос

Методология/процедура оценки
Выявление изменений и появления существенных угроз
Оценка адекватности средств управления безопасностью

Проведение тренингов и повышение осведомленности по безопасности
Мониторинг и реагирование


И т.д.



Таблица 3-5. Пример опросного листа по процедурам безопасности

ВопросВопросВопрос

Сопоставить активы и процессы безопасности
Определить подотчетность и ответственность
Уровни авторизации

И т.д.



Таблица 3-6. Пример опросного листа по политике управления активами

Этот шаблон плана интервью аналогичен набору вопросов Приложения А «Набор вопросов для оценки СМИБ». Он основан на вопросах, типа: есть ли в компании X? Если да, обеспечивает ли X возможности Y1, Y2, Yn? В процессе интервью эксперт задает открытые вопросы, например, «В вашей компании есть политика безопасности? Расскажите мне о ней!». Далее он задает дополнительные вопросы, чтобы уточнить детали, которые не были освещены в первоначальном описании. Отмечайте ключевые моменты по мере получения информации о них. Ставьте «Д», если возможность реализована, или «Н» в противном случае. Также возможны отметки «НИ», если интервьюируемый не знает ответ на вопрос, либо «НП», если в данной компании это неприменимо. Кроме того, эксперту следует отмечать уровень доверия к ответам интервьюируемого. Если интервьюируемый не зарекомендовал себя в качестве надежного источника информации (например, проявляет невежливость, невнимательность), проверяющий ставит пометку о низком уровне доверия к полученной от него информации.

1 комментарий:

Сергей Борисов комментирует...

Спасибо за перевод.

Похоже на СТО БР ИББС 1.2