9.1. Управление ИБ организации БС РФ включает в себя:
- разработку политики информационной безопасности;
- разработку технических, организационных и административных планов обеспечения реализации политики информационной безопасности;
- разработку нормативно-методических документов обеспечения ИБ;
- создание административного и кадрового обеспечения комплекса средств управления ИБ организации;
- обеспечение штатного функционирования комплекса средств ИБ организации;
- осуществление контроля (мониторинга) функционирования системы управления ИБ организации;
- обучение с целью поддержки (повышения) квалификации персонала организации;
- оценку рисков, связанных с нарушениями ИБ.
9.2. Для реализации этих задач рекомендуется иметь в составе организации (самостоятельную или в составе службы безопасности) службу (уполномоченное лицо) по информационной безопасности. Службу (уполномоченное лицо) по информационной безопасности рекомендуется наделить следующими полномочиями:
- управлять всеми планами по обеспечению ИБ организации;
- разрабатывать и вносить предложения по изменению политики ИБ организации;
- изменять существующие и принимать новые нормативно-методические документы по обеспечению ИБ организации;
- выбирать средства управления и обеспечения ИБ организации;
- контролировать пользователей, в первую очередь пользователей, имеющих максимальные полномочия;
- контролировать активность, связанную с доступом и использованием средств антивирусной защиты, а также с применением других средств обеспечения ИБ;
- осуществлять мониторинг событий, связанных с ИБ;
- расследовать события, связанные с нарушениями ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших противоправные действия, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ организации;
- участвовать в действиях по восстановлению работоспособности АБС после сбоев и аварий;
- создавать, поддерживать и совершенствовать систему управления ИБ организации.
Хорошей практикой является создание службы ИБ и выделение ей своего собственного бюджета.
Хорошей практикой является, когда служба ИБ организации имеет собственного куратора на уровне первого лица в руководстве организации БС РФ (или заместителя председателя правления и т.п.). При этом служба ИБ и служба информатизации (автоматизации) не должны иметь общего куратора.
9.3. Система управления ИБ реализуется службой ИБ в виде совокупности взаимозависимых и постоянно действующих процессов (контроля, мониторинга, анализа и т.д.) штатного функционирования используемых защитных мер и должного исполнения персоналом предъявляемых к ним требований ИБ.
9.4. Для успешного функционирования системы управления ИБ и поддержки действующих в ней процессов стандарт BS 7799-2 рекомендует выделять четыре основных процесса: планирование процессов выполнения требований ИБ; реализация и эксплуатация защитных мер; проверка процессов выполнения требований ИБ и защитных мер; совершенствование процессов выполнения требований ИБ и защитных мер. Их выполнение должно быть реализовано в виде непрерывного цикла - “планирование - реализация - проверка - совершенствование - планирование - …”.
9.5. Планирование процессов выполнения требований ИБ должно включать в себя определение целей и политики ИБ, требований ИБ и процессов их реализации. К планированию следует относить процессы формирования политики ИБ, формирования требований ИБ, оценки рисков, выбора защитных мер. Процессы выполнения требований ИБ должны быть спланированы так, чтобы они позволили выбрать защитные меры, обеспечивающие достижение результатов в соответствии с установленными целями и политиками ИБ*.
_______________
* Для соответствующих областей ИБ (организационных, административных, технических и т.д.) защитные меры могут быть выбраны на основе рекомендаций, изложенных в стандартах ISO/IEC IS 17799, ГОСТ Р ИСО/МЭК 15408, руководстве ISO TR 13569 и др.
9.6. Реализация и эксплуатация защитных мер должна включать в себя внедрение выбранных защитных мер (организационных мер, технических средств обеспечения ИБ и пр.) с помощью процессов оптимального размещения и тестирования на их соответствие установленным требованиям ИБ.