Недавно систематизировал основные элементы СУИБ (по ISO 27001) в виде одной схемы-картинки. Стандартная "разбивка" на текстовые требования п.4-п.8 ISO 27001 и 133 контроля в 11 группах (приложение А стандарта и ISO 27002) меня не устраивала по ряду причин:
При разработке своей схемы я постарался придерживаться следующих идей/принципов:
Для некоторых элементов я сделал небольшие комментарии, в основном это те моменты, которые необходимо помнить и понимать, для данной группы.
Схема далее, изучайте и пользуйтесь. Чуть позже я напишу для каждого элемента схемы какие требования стандарта он содержит (ссылки), а также рекомендуемый перечень документов СУИБ для реализации их (требований).
[Обновление от 20.09.2011]
Внес правки в схему. Все же решил перенести "управление персоналом" в "операционное обеспечение", даже не смотря на то, что данный блок сильно отличается от остальных в данной области и другие свои аргументы. Кстати, схема получилась еще более сбалансированной, 3 уровня имеют по 7 областей.
- Не все процессы СУИБ определены в стандарте в явном виде.
- Не видна взаимосвязь между отдельными процессами и блоками требований.
- Не определен итоговый перечень документов или хотя бы перечень комплектов документов.
- В явном виде не определены "основные" (должны быть обязательно внедрены и отлично функционировать) и "второстепенные" (могут быть внедрены лишь формально) требования и рекомендации стандарта.
- Не удобно и тяжело выявлять соответствие / аналогичные требования в других стандартах и лучших практиках, например PCI DSS, СТО БР ИББС, ITIL, Сobit.
При разработке своей схемы я постарался придерживаться следующих идей/принципов:
- Отобразить на схеме важность и степень влияния отдельных элементов СУИБ друг на друга.Именно по этому получилось 4 уровня, соответствующих всем принципам построения логических пирамид.
- Уровень "Стратегическое управление" содержит области ответственности высшего менеджмента организации.
- Уровень "Операционное управление" содержит те процессы управления СУИБ, которые должны функционировать в соответствии с ISO 27001. Данные процессы должны контролировать все области и процессы СУИБ. То что данные процессы построены и работают подтверждается при аудитах ИБ наличием накопленных записей процесса (протоколы, журналы, отчеты и пр.).
- Уровень "Операционное обеспечение" содержит процессы в основном из ISO 27002, и они предназначены скорее для регулярных операций в жизненном цикле организации. Данные процессы должны контролироваться процессами управления (уровень 2).
- Уровень "Требования" содержит те области ИБ, в которых скорее должны быть реализованы отдельные механизмы (требования) защиты, чем процессы. В рамках документационного обеспечения СУИБ на этом уровне будут в основном "политики" и "стандарты".
- Сгруппировать требования СУИБ в отдельные области/процессы, под которые можно разрабатывать самостоятельные комплекты документов.Стоит отметить, что для разных организаций они могут быть различными по составу. Так, например, п.4.7. "Криптография" у кого-то может быть реализована только как "Политика использования средств криптографической защиты", а у кого-то это может быть целый комплект документов про УЦ и ЭЦП. Аналогично, у некоторых организаций с высоким уровнем зрелости п.3.1 "Управление ИТ-инфраструктурой" будет состоять из большего числа ITSM-процессов, построенных, например по ITIL V3, в то время, как у других это будут лишь пара документов, описывающих основные договоренности между подразделениями ИТ и ИБ.
- Не перегружать схему. Правило "7+-2"
Для некоторых элементов я сделал небольшие комментарии, в основном это те моменты, которые необходимо помнить и понимать, для данной группы.
Схема далее, изучайте и пользуйтесь. Чуть позже я напишу для каждого элемента схемы какие требования стандарта он содержит (ссылки), а также рекомендуемый перечень документов СУИБ для реализации их (требований).
Внес правки в схему. Все же решил перенести "управление персоналом" в "операционное обеспечение", даже не смотря на то, что данный блок сильно отличается от остальных в данной области и другие свои аргументы. Кстати, схема получилась еще более сбалансированной, 3 уровня имеют по 7 областей.