Когда перед организацией стоит задача внедрения СУИБ, можно выбрать один из двух подходов, каждый из которых имеет свои преимущества и недостатки:
- построение и внедрение СУИБ в целом;
- построение и реализация процессов управления ИБ отдельно с последующей их интеграцией в единую СУИБ.
При выборе первого подхода через короткое время можно обеспечить логическую связь между процессами управления ИБ и создать условия для функционирования СУИБ на всех этапах цикла PDCA. Например, по результатам внутренних аудитов ИС можно устранить коренные причины несоответствия критериям аудита путем введения корректирующих действий. По всем этим процессам будут вестись необходимые записи, наличие которых позволит осуществлять полный мониторинг эффективности СУИБ и осуществлять ее необходимые усовершенствования. При таком варианте от начала разработки СУИБ до ее введения в эксплуатацию, как правило, проходит около года.
При последовательном построении процессов управления информационной безопасностью есть и свои преимущества. Главная из них заключается в том, что процессы будут внедряться постепенно, будут более тщательно отлаживаться и корректироваться в соответствии с потребностями организации. Например, если вы начинаете процесс внедрения СУИБ с процесса управления инцидентами ИБ, то после шести месяцев эффективной работы процесса будет накоплена значительная статистика по угрозам ИБ, специфичным для данной организации и ее активов. Наличие такой базы данных позволит начать разработку процесса анализа рисков ИБ и использовать накопленные в результате процесса управления инцидентами ИБ данные в качестве каталога угроз ИБ.
Использование угроз ИБ, характерных для активов данной организации, позволяет более точно оценить риски безопасности ИБ для ее активов по сравнению с использованием каталогов типичных угроз ИБ, многие из которых можно найти, например, в Интернете. В качестве другого примера можно привести процесс внутренних аудитов ИБ, который начинает приносить свои плоды уже с момента внедрения и проведения первых аудитов. Хотя эта версия внедрения СУИБ обещает много преимуществ, внедрение всей системы может занять не один год.
Для любой стратегии построения и внедрения СУИБ наиболее важным вопросом является ее интеграция в общую деятельность организации, включая определение того, как и в какой степени затраты на СУИБ будут отражаться на результатах деятельности. Поэтому построению и внедрению СУИБ должно предшествовать выявление уязвимостей в информационной инфраструктуре организации и в связи с этим должны быть сформулированы цели и задачи СУИБ. Также перед внедрением СУИБ необходимо разработать большое количество процессов и документов, поддерживающих и обеспечивающих функционирование основных процессов управления ИБ, определить исполнителей этих процессов и тех, кто будет управлять этими процессами и ИСМ в целом.
Роли СУИБ
Важно определить и предпочтительно сразу же назначить конкретным участникам основные роли СУИБ — роли, в рамках которых будет осуществляться управление СУИБ. Так, например, необходима роль менеджера СУИБ. Он назначается из высшего руководства организации или из другого руководства организации, наиболее подготовленного к выполнению обязанностей этой роли. Менеджер по информационной безопасности отвечает за общее управление деятельностью ОИБ в рамках СУИБ организации. В его обязанности входят, например, следующие функции:
- обеспечить планирование деятельности в рамках СУИБ (координация изменений в документации и процессах;
СУИБ); - обеспечивать руководство работой лиц, ответственных за вопросы ОИБ;
- консультирование по спорным вопросам СУИБ;
- составление ежегодных планов обучения СУИБ;
- составление годовых планов внутреннего аудита, а также планов по каждому из внутренних аудитов;
- участие в работе процессов управления ИБ;
- сообщать руководству информацию о критических инцидентах ИБ, решениях о внесении изменений и т.д.
Исполнители всех ролей в рамках СУИБ и отдельных процессов управления ИБ должны назначаться руководством и обладать достаточными полномочиями для принятия всех необходимых решений и выполнения всех необходимых функций в рамках этих ролей. Вот примеры некоторых ролей:
Владелец актива (бизнес-процесса) — сотрудник, который отвечает за ОИБ актива и определяет правила их использования. Он организует ОИБ своего актива в виде формализованных правил, технических политик, конфигурационных параметров, организационных мероприятий и регламентов.;
Собственником процесса управления ИБ является должностное лицо (сотрудник) подразделения организации, входящего в состав СУИБ, которое управляет процессом, имеет в своем распоряжении персонал, инфраструктуру и информацию о процессе (состоянии) процесса и несет ответственность за эффективность и результативность своего процесса.;
Пользователь СУИБ — это любой сотрудник подразделения организации, входящего в сферу действия СУИБ. Такое распределение ролей хорошо тем, что позволяет правильно планировать процессы и обязанности отдельных факторов в рамках СУИБ.
Но помимо того, что необходимо распределять роли и назначать их конкретным исполнителям, требуется еще и подготовка исполнителей ролей. Организация должна обеспечить, чтобы все сотрудники, на которых возложены обязанности, указанные в СУИБ, имели надлежащую квалификацию для выполнения необходимых задач. В соответствии с [14.21] для этого организация должна сделать следующее:
- определить необходимый уровень квалификации работников, выполняющих работы, связанные с СУИБ (обеспечить обучение или принять другие меры (например, нанять квалифицированный персонал) для удовлетворения этих потребностей);
- оценить эффективность принятых мер.;
- вести учет образования, профессиональной подготовки, навыков, опыта и квалификации.
Организация должна также обеспечить, чтобы все вовлеченные сотрудники осознавали важность и важность своей деятельности в области ОИБ, а также то, как они участвуют в достижении целей СУИБ.