ГОСТ Р 53110-2008 Система обеспечения информационной безопасности сети связи общего пользования. Общие положения
6 Взаимосвязь системы обеспечения информационной безопасности и системы менеджмента информационной безопасности
6.1 Обеспечение ИБ является непрерывным процессом, осуществляемым СОИБ и взаимоувязывающим правовую, организационную и техническую деятельность, проводимую под непосредственным управляющим воздействием руководящего состава организации связи, направленную на поддержание функционирования сетей электросвязи в условиях воздействия угроз безопасности.
Мероприятия и действия по обеспечению ИБ должны осуществляться в рамках применения процессной модели, определенной в ГОСТ Р ИСО/МЭК 27001, путем реализации процессов управления. Функцией, объединяющей процессы обеспечения, управления и менеджмента, является руководство ИБ.
6.1.1 Руководство ИБ - это деятельность по установлению и поддержанию структуры управления и процессов, обеспечивающих гарантию того, что политика ИБ в организации связи направлена на достижение деловых целей организации и совместима с действующими федеральными законами РФ и нормативными правовыми актами ФОИВ, уполномоченными в областях связи, обеспечения безопасности и технической защиты информации.
Руководство ИБ определяет конкретные роли, обязанности и ответственность руководящего состава организации связи в области обеспечения ИБ и предоставляет службе ИБ, возглавляющей СОИБ, полномочия по управлению процессами СМИБ, так как в соответствии с [1] - процесс "обеспечение" предполагает определение "сил" и "средств", выполняющих функции безопасности (служб безопасности), на которые в организации связи возлагается выполнение мероприятий и осуществление деятельности по управлению и обеспечению ИБ. Взаимосвязь процессов руководства, обеспечения, управления и менеджмента показана на рисунке 1.
Рисунок 1 - Взаимосвязь процессов руководства, менеджмента, управления и обеспечения
6.1.2 Управление - это совокупность целенаправленных действий, включающих в себя оценку ситуации и состояния объектов управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование и внедрение мер обеспечения безопасности).
Мероприятия и действия, реализующие процесс управления, должны быть коррелированны с действиями, выполняемыми при менеджменте ИБ, и не должны повторять друг друга.
6.1.3 Менеджмент ИБ - это часть общей системы менеджмента организации связи, основанная на управлении рисками организации связи при создании, реализации, функционировании, мониторинге и совершенствовании СОИБ.
СОИБ для СМИБ является организационной структурой и инструментарием по внедрению и поддержанию процессов СМИБ в стадиях жизненного цикла сетей связи.
6.2 Основными процессами СМИБ, показанными на рисунке 1 и определяющими функционирование СОИБ, являются:
- управление рисками;
- внутренний аудит;
- управление инцидентами;
- управление изменениями.
6.2.1 Управление рисками
В результате выполнения процесса "управление рисками" определяется структура СОИБ и уточняется состав ее подсистем.
"Управление рисками" позволяет установить баланс между эксплуатационными расходами и экономическими затратами на меры обеспечения безопасности и достигнуть более эффективного выполнения деловых целей организации связи, защиты сетей электросвязи и передаваемой посредством них информации.
Общий подход к процессу "управления рисками" приведен в подразделах 5.5-5.13 ГОСТ Р 52448.
Под управлением рисками понимается оценка и уменьшение рисков, которые могут воздействовать на сети электросвязи.
Процесс оценки рисков, являющийся определяющим в "управлении рисками" и исходными предпосылками в котором выступают данные, полученные при разработке перечня угроз и уязвимостей для конкретной сети электросвязи, показан на рисунке 2.
Рисунок 2 - Процесс оценки риска
Процесс оценки рисков состоит из следующих этапов: