ГОСТ Р ИСО/МЭК 27000-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

4.5 Разработка, мониторинг, поддержка и улучшение СМИБ

 

4.5.1 Общие сведения

Организация должна предпринимать следующие шаги по разработке, мониторингу, поддержке и улучшению своей СМИБ:

a) определение информационных активов и связанных с ними требований ИБ (см. 4.5.2);

b) оценка рисков ИБ (см. 4.5.3) и их обработка (см. 4.5.4);

c) выбор и внедрение соответствующих мер обеспечения ИБ в отношении неприемлемых рисков (см. 4.5.5);

d) мониторинг, поддержка и повышение эффективности мер обеспечения информационной безопасности, связанных с информационными активами организации (см. 4.5.6).

Для гарантии эффективной непрерывной защиты информационных активов организации с помощью СМИБ необходимо постоянно повторять шаги a) - d), чтобы выявлять изменения в рисках, стратегии организации или бизнес-целях.

4.5.2 Определение требований информационной безопасности

В рамках общей стратегии и бизнес-целей организации, ее размера и географического расположения требования ИБ можно сформулировать на основе анализа следующих факторов:

a) идентифицированные информационные активы и их ценность;

b) потребности бизнеса в обработке, обмене и хранении информации;

c) юридические, нормативные и договорные требования.

Проведение систематической оценки рисков, связанных с информационными активами организации, включает в себя анализы угроз информационным активам, уязвимостей и вероятности возникновения угрозы информационным активам, а также анализ потенциального воздействия любого инцидента ИБ на информационные активы. Расходы на соответствующие меры обеспечения ИБ будут пропорциональны предполагаемому влиянию риска на бизнес.

4.5.3 Оценка рисков информационной безопасности

Менеджмент риска ИБ требует должной оценки риска и метода его обработки. Это в свою очередь предполагает оценку затрат и преимуществ, законных требований, социальных, экономических и экологических аспектов, проблем заинтересованных сторон, приоритетов и других входных данных и переменных.

Оценка рисков должна выявлять, количественно оценивать и приоритизировать риски в сопоставлении с критериями принятия рисков и целями, представляющими важность для организации. Результаты оценки должны служить ориентиром и определять соответствующие управленческие меры и приоритеты для управления рисками ИБ и для внедрения мер обеспечения ИБ, выбранных для защиты от этих рисков.

Оценка риска должна включать в себя:

- систематический подход к оценке величины рисков (анализ рисков);

- процесс сравнения оцениваемых рисков с критериями риска для определения значимости рисков (оценка рисков).

Оценку рисков следует проводить регулярно, чтобы учитывать новые требования к ИБ, следить за ситуацией с рисками, например, в отношении активов, угроз, уязвимостей, воздействий, оценки рисков, а также в случае существенных изменений требований к ИБ. Такая оценка должна осуществляться по специальной методике, обеспечивающей сопоставимые и воспроизводимые результаты.

Чтобы оценка рисков ИБ была эффективной, она должна иметь четко определенную область применения и, при необходимости, проводиться совместно с оценкой рисков в других областях.

ИСО/МЭК 27005 предоставляет рекомендации по менеджменту рисков ИБ, в том числе по оценке, обработке, принятию, мониторингу и проверке рисков, а также по связанным с рисками коммуникациям. Он также содержит примеры методик оценки рисков.

4.5.4 Обработка рисков информационной безопасности

Прежде чем рассматривать вопрос, связанный с обработкой риска, организация должна определить критерии, устанавливающие возможность принятия или непринятия риска. Риск может быть принят, если, например, определено, что он невысок, или не принят, если стоимость его обработки экономически нецелесообразна для организации. Такие решения следует задокументировать.

После оценки рисков необходимо принять решение об их обработке. Ниже перечислены возможные подходы к обработке рисков:

a) применить соответствующие меры обеспечения ИБ, позволяющие снизить риски;

b) сознательно и объективно принять риски при условии, что они четко соответствуют политике организации и критериям такого принятия;

c) избегать рисков путем запрета действий, которые могут привести к возникновению рисков;

d) распределить риски с другими сторонами, например, со страховщиками или поставщиками.

По тем рискам, в отношении которых было решено применить меры обеспечения ИБ, необходимо выбрать соответствующие меры и внедрить их.

4.5.5 Выбор и внедрение мер обеспечения информационной безопасности

После определения требований ИБ (см. 4.5.2), определения и оценки рисков ИБ для выявленных информационных активов (см. 4.5.3) и принятия решений по обработке рисков (см. 4.5.4) необходимо выбрать и внедрить меры обеспечения ИБ для снижения рисков.

Применяемые меры обеспечения ИБ должны способствовать снижению рисков до приемлемого уровня исходя из:

a) требований и ограничений национального и международного законодательства и нормативных актов;

b) целей организации;

c) эксплуатационных требований и ограничений;

d) стоимости их внедрения и эксплуатации с учетом снижения рисков при сохранении соразмерности требованиям и ограничениям организации;

e) задач по мониторингу, оценке и повышению эффективности и действенности мер обеспечения ИБ в соответствии с целями организации. Выбор и внедрение соответствующих мер обеспечения ИБ необходимо задокументировать в рамках заявления о применимости, чтобы обеспечить соблюдение требований;

f) необходимости обеспечения баланса между инвестициями во внедрение и поддержку мер обеспечения ИБ и потерями, возможными в результате инцидентов ИБ.

Меры обеспечения ИБ, приведенные в ИСО/МЭК 27002, признаны передовой практикой, применимой к большинству организаций, и легко адаптируются к организациям различного размера и сложности. Другие стандарты из семейства стандартов СМИБ предоставляют рекомендации по выбору и применению мер обеспечения ИБ из ИСО/МЭК 27002 для СМИБ.

Меры обеспечения ИБ необходимо учитывать на этапе разработки требований к проектам и системам. В противном случае это может увеличить затраты и снизить эффективность решений, а в худшем случае - сделать невозможным достижение адекватного уровня безопасности. Меры обеспечения информационной безопасности могут быть выбраны из ИСО/МЭК 27002 или из числа других подходящих наборов мер обеспечения ИБ. Кроме того, для удовлетворения конкретных потребностей организации могут быть разработаны новые специальные меры обеспечения ИБ. Необходимо признать, что не все меры обеспечения информационной безопасности подходят для применения в информационных системах или средах и практической реализации во всех организациях.

В отдельных случаях для внедрения выбранного набора мер обеспечения ИБ требуется время, и в течение этого времени уровень риска может быть выше допустимого в долгосрочной перспективе. Критерии риска должны охватывать допустимость рисков в краткосрочной перспективе, в период реализации мер обеспечения ИБ. Следует проинформировать заинтересованные стороны об уровнях риска, которые оцениваются и ожидаются в различные моменты времени, по мере постепенного внедрения данных мер обеспечения информационной безопасности.

Следует учитывать, что ни один набор мер обеспечения ИБ не может гарантировать полную ИБ. Необходимо внедрить дополнительные управленческие меры по мониторингу, оценке и повышению эффективности и действенности мер обеспечения ИБ в соответствии с целями организации.

Выбор и внедрение мер обеспечения информационной безопасности должны быть задокументированы в заявлении о применимости, чтобы обеспечить соблюдение требований.

4.5.6 Мониторинг, поддержка и повышение эффективности СМИБ

Организация должна поддерживать работоспособность и улучшать СМИБ посредством мониторинга и оценки эффективности в соответствии с политикой и целями организации, а также информировать руководство о полученных результатах для проверки. Цель такой проверки - удостовериться, что СМИБ включает в себя определенные меры обеспечения ИБ, применимые для обработки охватываемых ею рисков. Кроме того, на основе отчетов об этих областях мониторинга можно получить доказательства проверки и отслеживания корректирующих и предупреждающих мер, а также мер по улучшению ситуации.

4.5.7 Постоянное улучшение

Основной целью постоянного улучшения СМИБ является повышение вероятности достижения целей, связанных с сохранением конфиденциальности, доступности и целостности информации. Основной задачей в этой сфере является поиск путей для совершенствования; не следует думать, что используемая практика управления ИБ достаточна или максимально эффективна.

Мероприятия по улучшению:

a) анализ и оценка существующей ситуации для выявления областей, нуждающихся в совершенствовании;

b) постановка задач по совершенствованию;

c) поиск возможных решений для достижения поставленных целей;

d) оценка этих решений и выбор;

e) внедрение выбранного решения;

f) измерение, верификация, анализ и оценка результатов внедрения, чтобы определить, насколько достигнуты поставленные цели;

g) официальное оформление изменений.

Полученные результаты перепроверяют по мере необходимости, чтобы наметить дальнейшие пути улучшения. Таким образом, улучшение является непрерывным процессом, т.е. действия повторяются с определенной частотой. Чтобы выявлять возможности улучшения, можно также использовать отзывы клиентов и других заинтересованных сторон, результаты аудитов и проверок СМИБ.