Внедрение СУИБ: Чек-лист по процессам

Внедрение СУИБ: Чек-лист по процессам
Сделал большую майндкарту - чек-лист по процессам СУИБ. На ней представлены регулярные задачи, которые необходимо выполнить за стандартный годичный цикл (PDCA). Это если вы уже внедрили СУИБ по стандарту ISO 27001 или готовитесь к сертификации...
Майндкарту в PDF (и xmind) можно скачать в группе в ВК -  https://vk.com/isms8020  

Расскажу немного про майндкарту и процессы:
  1. Карта сделана под реальный СУИБ, по сути, это план обязательных задач по поддержанию (уже внедренной) СУИБ на следующий год. Сюда выложена универсальная карта, которую могут использовать все с минимальными правками (или даже без них), а в моем рабоче варианте еще добавлены конкретные исполнители по задачам. Карта сделана для печати на А3.
  2. На карте представлены обязательные по ISO 27001 процессы, которые детализированы на отдельные задачи (типа, "провести совещание комитета по ИБ", "пересмотреть SoA" и пр.) с упором на конкретные записи, которые служат подтверждением работы процесса в течение цикла совершенствования (1 год). Ссылки на требования стандарта указаны, "необязательных", но рекомендуемых активностей на майндкарте всего 2: пентесты и аудит поставщиков. 
  3. Это именно "менеджерские" регулярные задачи СУИБ и только они. Как не сложно заметить, с точки зрения "комплексной" ИБ тут нет ни операционных процессов (типа "управления доступом", "управление изменениями", "управление инцидентами"), ни отдельных проектов (типа "внедрения SIEM" и пр.). 
  4. В скобках представлены рекомендации по количеству повторов задачи за цикл, в некоторых случаях я предлагаю читателям самостоятельно выбрать количество повторов, а рекомендую лишь диапазон. В частности, у нас в компании принято пересматривать результаты оценки рисков ежемесячно (выровнено с корпоративным уровнем), но, на мой взгляд, это избыточно, достаточно 1-4 раза в год. А вот совещания Комитета по ИБ я рекомендую проводить ежемесячно...

Майндкарта, на мой взгляд, получилась очень показательной и информативной. По ней, например, можно попробовать прикинуть какие трудозатраты нужны для поддержания СУИБ (постоянного совершенствования), оценить чего еще не хватает для сертификации СУИБ (еще  раз уточню, что на схеме представлены обязательные задачи, которые обязательно проверит аудитор), ну, и просто использовать для планирования свой работы... В общем, пользуйтесь (и sorry, что на английском).
Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

Andrey Prozorov

Информационная безопасность в России и мире