1   2   3   4   5   6   7   8   9
Ім'я файлу: Курсова 5..docx
Розширення: docx
Розмір: 270кб.
Дата: 25.05.2023
скачати

Восьмий етап: Розробка документації СМІБ.


19. Визначити перелік документів (процедур, записів, інструкцій) для розробки

Перелік документації СМІБ відповідно до вимог міжнародного стандарту ISO 27001, розроблений відповідно до німецької методики ІТ-ГРУНШУТЦ.

Перелік документації СМІБ

Адміністративні документи СМІБ :

1. Оргструктура підприємства

2. Наказ про призначення представника ВР по СМІБ

3. Положення про службу безпеці

4. Положення про службу інформаційній безпеці

5. Посадова інструкція представника ВР по СМІБ

6. Посадова інструкція системного адміністратора

7. Наказ ВР про впровадження і підтримку СМІБ

Документи верхнього рівня:

  1. Зона дії СМІБ

  2. Політика СМІБ зовнішня

  3. Політика СМІБ внутрішня

  4. Цілі СМІБ по процесах

  5. З. Аналіз досягнення цілей

  6. Оргструктура СМІБ

  7. Положення про застосовність напрямів ІБ.

Робота з ризиками

  1. Методика оцінки ризиків

  2. Критерії прийняття ризиків

  3. Звіт про оцінку ризиків

  4. План по обробці ризиків

  5. Заява ВР про прийняття залишкових ризиків.

Робота з документами

  1. Процедура управління документацією

  2. Процедура управління записами

Внутрішні аудити

  1. Процедура проведення внутрішніх аудитів

  2. Група внутрішнього аудиту

  3. Програма внутрішніх аудитів на рік

  4. План аудиту

  5. Звіт про аудит

  6. Протокол невідповідностей

  7. План коректуючих і попереджувальних дій з відміткою про аналіз результативності дій.

Коректуючі і попереджувальні дії

  1. Процедура управління корректуючими і попереджувальними діями.

Аналіз зі сторони ВР

  1. З. Аналіз СМІБ зі сторони ВР

Документи технічного рівня :

А6. Загальна організація ІБ

  • Оргструктура СМІБ

  • Журнали реєстрації новин в області ІБ

  • Договор з третьою особою по роботі з ІА

  • Журнал реєстрації дій з ІА третіх осіб

А7. Управління Активами

  • Рєєстр активів

  • класифікація ІА

  • відповідальність за ІА

  • маркування ІА

  • оцінка ІА

А8. Управління персоналом

  • Процедура управління персоналом

  • Критерії прийому персоналу

  • Програма вчення персоналу

Прийом на роботу

  • ПРАВИЛА ІБ для конкретної посади

  • Угода про дотримання правив ІБ

  • Угода про конфіденційність

Під час роботи

  • Записи про вчення (атестації)

При переході на іншу посаду або звільненні

  • ПРАВІЛА ІБ для конкретної посади

  • Угода про дотримання правив ІБ

  • Угода про конфіденційність

А9. Фізична безпека

  • Процедура фізичного захисту підприємства

  • Схема периметра безпеки

  • Схема розташування будівель, приміщень

  • Схема розташування засобів обробки інформації

  • Паспорта зон особливої безпеки

А10. Управління комп'ютерами і мережами

  • Правила обслуговування засобів обробки інформації

  • Процедура управління змінами в СОІ

  • Процедура антивірусного захисту

  • Процедура резервного копіювання

  • Процедура мережевого захисту

  • Процедура роботи з носіями інформації

  • Процедура обміну інформацією

  • Процедура управління електронною комерцією З

  • Журнал реєстрації дій користувачів

  • Журнали реєстрації дій адміністраторів

  • Керівництва по обслуговуванню СОІ

А11. Управління доступом

Фізичний доступ

  • Процедура доступу до приміщень

  • Процедура доступу до персоналу

  • Процедура доступу до паперових архівів

Електронний і фізичний доступ

  • Процедура доступу до СОІ і ІА за межами підприємства

  • Процедура доступу до електронних архівів

  • Процедура доступу до СОІ

  • Процедура доступу до ПО

  • Процедура доступу до ІС

  • Процедура доступу до ОС

  • Процедура доступу до мереж

  • Правила парольного захисту

  • Правила чистого столу і екрану

  • Журнал реєстрації доступів

  • Аналіз зареєстрованих доступів

А12. Придбання, розробка і підтримка ІС

  • Процедура прийняття нового СОІ, ПЗ, ІС, мережі

  • Процедура розробки(доопрацювання) ПО, ІС

  • Процедура управління технічними вразливостями

  • Процедура криптографічного захисту

  • Правила введення даних в ПЗ, ІС, СОІ

А13. Управління інцидентами

  • Процедура виявлення і реєстрації інцидентів

  • Журнал реєстрації інцидентів ІБ

  • Журнал реєстрації скарг і пропозицій ІБ

А14. Управління безперервністю бізнесу

  • Процедура управління безперервністю бізнесу

  • Ризики серйозного переривання бізнесу

  • Плани відновлення бізнесу

  • Записи про тестування планів відновлення

А15. Управління відповідністю вимогам

  • Перелік застосовного законодавства

  • Документи на ПЗ, ІС (ліцензії)

  • Перелік законодавчих і контрактових вимог по наявності і зберіганню записів

  • Процедура захисту персональних даних


Перелік законодавчих вимог по криптозахисту:

  1. Копії зовнішньої політики у всіх приміщеннях

  2. Копії Процедур управління документацією у всіх підрозділах

  3. Копії Процедури управління записами у всіх підрозділах

  4. Пам'ятка по антивірусному захисту

  5. Пам'ятка по резервному копіюванню

  6. Пам'ятка по роботі з паролями

  7. Пам'ятка при роботі на ПК

  8. Пам'ятка по обміну інформацією

  9. Пам'ятка по введенню інформації в ІС

  10. Пам'ятка по роботі з електронними документами

  11. Пам'ятка по роботі з паперовими документами

  12. Дії в разі нестандартної ситуації

  13. Дії в разі катастрофи

  14. Пам'ятка по захисту персональних даних

  15. Покажчики на входах в зони особливого захисту

  1. Розробка процедур та інших документів

Можна виділити такі процедури:

Управлінські процедури, що включають стандарти для розробки документів, управління документацією та записами, заходи, що вживаються для корекції та запобігання проблемам, внутрішній аудит, управління персоналом тощо.

Технічні процедури, які охоплюють придбання, розробку та підтримку інформаційних систем, управління доступом, реєстрацію та аналіз інцидентів, резервне копіювання, управління знімними носіями тощо.

Управлінські та технічні процедури розробляються згідно з таким шаблоном:

  1. Титульна сторінка.

  2. Мета написання процедури.

  3. Галузь використання.

  4. Терміни використання.

  5. Опис процесів, вказівки по виконанню і їх виконавці.

  6. Посилання на постанови, накази, розпорядження та стандарти згідно яким функціонує підприємство.

  7. Лист визначень і скорочень.

  8. Додатки.

Розрізняють таки записи:

- записи управлінські (звіти про внутрішні аудити; аналіз СМІБ з боку вищого керівництва; звіт про аналіз рисок; звіт про роботу комітету з інформаційної безпеки; звіт про стан дій, що коректують і застережливих; договори; особисті справи співробітників і ін.)

- записи технічні (реєстр активів; план підприємства; план фізичного розміщення активів; план комп'ютерної мережі; журнал реєстрації резервного копіювання; журнал реєстрації факту технічного контролю після змін в операційній системі; балки інформаційних систем; балки системного адміністратора; журнал реєстрації інцидентів; журнал реєстрації тестів по безперервності бізнесу і ін.)

Інструкції і положення розробляються згідно зі встановленими нормами українського діловодства, для даного підприємства розробляють такі інструкції і положення:

  1. правила роботи з ПК,

  2. правила роботи з інформаційною системою,

  3. правила поводження з паролями,

  4. інструкція по відновленню даних з резервних копій,

  5. політика віддаленого доступу,

  6. правила роботи з переносним устаткуванням і ін.

21. Розробка і впровадження в дію документів СМІБ

Документація повинна включати протоколи (записи) управлінських рішень, переконувати в тому, що необхідність дій обумовлена рішеннями і політикою менеджменту; і переконувати у відтворюваності записаних результатів.

Важливо вміти демонструвати зворотний зв'язок вибраних засобів управління з результатами процесів оцінки ризиків і його скорочення, і далі з політикою СМІБ і її цілями.

У документацію СМІБ необхідно включити:

  1. документовані формулювання політики і цілей СМІБ ;

  2. положення СМІБ;

  3. концепцію і засоби управління на підтримку СМІБ;

  4. опис методології оцінки риски ;

  5. звіт про оцінку ризиків;

  6. план скорочення ризиків;

  7. документовану концепцію, необхідну організації для забезпечення ефективності планерування, функціонування і управління процесами її інформаційної безпеки і опису способів виміру ефективності засобів управління

  8. документи, потрібні даним Міжнародним Стандартом;

  9. Твердження про Застосовність.


Контроль документів

Документи, необхідні СМІБ, необхідно захищати і регулювати.

Необхідно затвердити процедуру документації, необхідну для опису управлінських дій з:

  1. встановленню відповідності документів певним нормам до їх публікації;

  2. перевірці і оновленню документів як необхідності, перед затвердженням документів;

  3. забезпеченню відповідності змін поточному стану виправлених документів;

  4. забезпеченню доступності важливих версій документів, що діють;

  5. забезпеченню зрозумілості і читабельності документів;

  6. забезпеченню доступності документів тим, кому вони необхідні; а також їх передачі, зберігання і, нарешті, знищення відповідно до процедур, вживаних залежно від їх класифікації;

  7. встановленню достовірності документів із зовнішніх джерел;

  8. контролю поширення документів;

  9. запобіганню неумисному використанню документів, що вийшли з вживання;

  10. застосуванню до них відповідного способу ідентифікації, якщо вони зберігаються просто на всяк випадок.

1   2   3   4   5   6   7   8   9

скачати

© Усі права захищені
написати до нас