Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27005-2010 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. N 632-ст)
- Приложение А (справочное). Определение области применения и границ процесса менеджмента риска информационной безопасности
Приложение А (справочное). Определение области применения и границ процесса менеджмента риска информационной безопасности
Приложение А
(справочное)
Определение области применения и границ процесса менеджмента риска информационной безопасности
А.1 Анализ организации
Анализ организации. Изучение организации дает возможность воспроизвести характерные элементы, определяющие особенности организации. Оно касается цели, бизнеса, назначения, ценностей и стратегий этой организации, которые должны быть определены наряду с элементами, способствующими их разработке (например, заключение контрагентских договоров).
Трудность такой деятельности заключается в полном понимании структуры организации. Определение ее реальной структуры дает понимание роли и значимости каждого подразделения в достижении целей организации.
Пример - Тот факт, что ответственный за ИБ отчитывается перед высшим руководством, а не перед руководством ИТ, может указывать на участие высшего руководства в проблемах ИБ.
Основная цель организации. Основная цель организации может определяться сферой ее деятельности, сегментом рынка и др.
Бизнес организации. Бизнес организации, определяемый техническими приемами, применяемыми ее сотрудниками и накопленным ими опытом (ноу-хау), дает ей возможность реализовывать свое назначение. Он является специфичной областью деятельности организации и зачастую определяет культуру ее труда.
Назначение организации. Организация достигает своей цели посредством реализации своего назначения. Для определения ее назначения должны быть определены предоставляемые сервисы и/или производимая продукция.
Ценность организации. Ценностями являются основные нормы или четко определенный кодекс поведения, выполняемые для осуществления бизнеса. Это может касаться персонала, отношений с внешними сторонами (например, клиентами), качества поставляемой продукции или предоставляемых сервисов.
Пример - Рассмотрим организацию, целью которой является предоставление услуг населению, бизнесом - транспортные услуги, а назначение заключается в перевозке детей в школу и обратно. Ее ценностями могут быть пунктуальность предоставления услуг и безопасность перевозок.
Структура организации. Существуют разные типы структур:
- филиальная структура, в которой каждое подразделение работает под началом руководителя подразделения, ответственного за принятие стратегических, административных и операционных решений, касающихся его подразделения;
- функциональная структура, в которой функциональные полномочия осуществляются относительно процедур, характера работы и, иногда, принятия решений или составления планов (например производство, ИТ, кадры, маркетинг и т.д.).
Замечания:
- подразделение, существующее в пределах организации с филиальной структурой, может быть организовано как функциональная структура и наоборот;
- структура организации, имеющей элементы обоих типов структуры, называется матричной.
При любой организационной структуре могут различаться следующие уровни:
- уровень принятия решений (определение стратегической ориентации);
- уровень руководства (координация и менеджмент);
- операционный уровень (виды деятельности, связанные с производством и поддержкой).
Диаграмма организации. Структура организации представляется схематически в виде диаграммы организации. При таком представлении следует выделять линии отчетности и делегирования полномочий, кроме того, следует также включать в диаграмму и другие связи, которые, даже если они не основываются на каких-либо формальных полномочиях, являются тем не менее линиями информационного потока.
Стратегия организации. Для нее требуется формальное выражение руководящих принципов организации. Стратегия определяет направление и развитие организации, необходимые для извлечения выгоды из задач, стоящих перед ее бизнесом и планируемых ею основных изменений.
А.2 Перечень ограничений, влияющих на организацию
Следует учитывать все ограничения, влияющие на организацию и определяющие направленность ее ИБ. Источник ограничений может находиться в пределах организации, и в этом случае она имеет некоторый контроль над ними, или за пределами организации и, следовательно, не может контролироваться. Наиболее важными являются ограничения ресурсов (бюджетных, кадровых) и ограничения, связанные с чрезвычайными обстоятельствами.
Организация устанавливает свои цели (касающиеся ее бизнеса, режима работы и т.д.), способствующие выбору ее пути, возможно, на длительный период времени. Она определяет, какой организацией она хочет стать, и выбирает средства, которые для этого потребуются. При выборе своего пути организация учитывает эволюцию методов и ноу-хау, пожелания пользователей, клиентов и др. Этот путь может быть выражен в форме стратегий эксплуатации или разработки с намерением, например снизить эксплуатационные расходы, повысить качество обслуживания и т.д.
Такие стратегии, вероятно, будут включать в себя информацию и информационные системы, способствующие их реализации. Следовательно, свойства, касающиеся особенностей, назначения и стратегий организации, являются основополагающими элементами в анализе проблемы, поскольку нарушение аспекта ИБ может привести к переосмыслению целей этих стратегий. Кроме того, важно, чтобы предложения, касающиеся требований ИБ, находились в соответствии с правилами, режимами эксплуатации и средствами, применяемыми в организации.
Перечень включает в себя, но не ограничивается, следующие ограничения.
Ограничения политического свойства. Они могут касаться правительственной администрации, общественных учреждений или любой организации, которая должна применять решения, принятые на государственном уровне. Такими обычно являются решения, касающиеся стратегии или эксплуатационной направленности, принятые правительственным подразделением или организацией, уполномоченной в соответствии с законодательством принимать решения, и которые должны быть выполнены.
Пример - Компьютеризация счетов или административных документов влечет за собой проблемы с информационной безопасностью.
Ограничения стратегического свойства. Они могут возникать в результате запланированных или возможных изменений структуры или направленности организации. Они могут отражаться в стратегических или эксплуатационных планах организации.
Пример - Международное сотрудничество в области совместного использования чувствительной информации может потребовать соглашений, касающихся безопасного обмена.
Территориальные ограничения. Структура и/или цель организации могут обусловливать определенные ограничения, такие, как распределение рабочих площадок по территории своей страны или за рубежом.
Пример - Включают в себя почтовую службу, посольства, банки, филиалы крупной промышленной группы и т.д.
Ограничения, на возникновение которых влияет состояние экономики и политики. Функционирование организации может сильно изменяться вследствие определенных событий, таких, как забастовки или национальные или международные кризисы.
Пример - Некоторые сервисы могут продолжать функционирование даже во время серьезных кризисных ситуаций.
Структурные ограничения. Тип структуры организации (филиальная, функциональная или другая) может иметь следствием определенную политику ИБ и организацию безопасности, адаптированную к структуре.
Пример - Международная структура должна быть способна приводить в соответствие требования безопасности, принятые в каждой отдельной стране.
Функциональные ограничения. Функциональные ограничения возникают непосредственно из основного или специфического назначения организации.
Пример - Организация, работающая круглосуточно, должна непрерывно обеспечивать доступность своих ресурсов.
Ограничения, касающиеся персонала. Природа этих ограничений значительным образом варьируется. Они связаны с уровнем ответственности, наймом сотрудников, квалификацией, обучением, осведомленностью в вопросах безопасности, мотивацией, доступностью и т.д.
Пример - Персонал оборонной организации должен иметь соответствующий допуск к обработке информации ограниченного доступа.
Ограничения, проистекающие из списка дел организации. Такие ограничения могут быть результатом реструктуризации или планирования новых национальных или международных политик, с установлением определенных конечных сроков.
Пример - Создание службы безопасности.
Ограничения, связанные с методами. Методы, соответствующие ноу-хау организации, необходимо устанавливать в отношении таких аспектов, как планирование проекта, технические условия, разработка и т.д.
Пример - Типичным ограничением такого рода является необходимость включения правовых обязательств организации в политику безопасности.
Ограничения культурного свойства. В некоторых организациях рабочие традиции или основной бизнес привели к созданию определенной культуры организации, которая может быть несовместима с мерами и средствами контроля и управления безопасностью. Такая культура является основной эталонной системой персонала и может определяться многими аспектами, включающими в себя образование, обучение, профессиональный опыт, работу, на которую распространяется жизненный опыт, мнения, философию, убеждения, чувства, социальный статус и т.д.
Бюджетные ограничения. Рекомендуемые меры и средства контроля и управления безопасностью могут иметь иногда очень высокую стоимость. Несмотря на то что не всегда уместно строить инвестирование безопасности на экономической эффективности, финансовые отделы организации требуют, как правило, экономического обоснования.
Пример - В организациях частного сектора и некоторых общественных организациях совокупные расходы на меры и средства контроля и управления безопасностью не должны превышать издержек от возможных последствий рисков. Высшее руководство должно поэтому оценивать и принимать просчитанные риски, если оно желает избежать чрезмерных расходов, связанных с обеспечением безопасности.
А.3 Перечень законодательных и нормативных положений, имеющих отношение к деятельности организации
Должны определяться нормативные требования, имеющие отношение к видам деятельности организации. К их числу могут быть отнесены законы, постановления, специальные инструкции, относящиеся к сфере деятельности организации или внутренним/внешним нормам. Это касается также договоров и соглашений и, в общем, любых обязательств юридического свойства.
А.4 Перечень ограничений, влияющих на область применения
При определении ограничений желательно перечислить те из них, которые влияют на область применения, и определить те, на которые возможно некоторое воздействие. Они добавляются к ограничениям организации, перечисленным выше, и, возможно, могут изменить их. Далее представляется перечень возможных типов ограничений, который не является исчерпывающим.
Ограничения, возникающие из ранее существовавших процессов. Проекты приложений не обязательно разрабатываются одновременно. Некоторые из них зависят от ранее существовавших процессов. Даже если процесс может быть разбит на подпроцессы, не обязательно на данный процесс будут влиять все подпроцессы другого процесса.
Технические ограничения. Технические ограничения, относящиеся к инфраструктуре, в основном возникают от установленных аппаратных и программных средств, а также от помещений или площадок, где осуществляются процессы:
- архивы (файлы) - требования, касающиеся организации, менеджмент носителей, менеджмент правил доступа и т.д.;
- общая архитектура - требования, касающиеся топологии (централизованная, распределенная, клиент- сервер), физическая архитектура и т.д.;
- прикладные программы - требования, касающиеся проектирования специфичного программного обеспечения, рыночные стандарты и т.д.;
- пакеты программ - требования, касающиеся стандартов, уровня оценки, качества, соответствия нормам, безопасности и т.д.;
- аппаратные средства - требования, касающиеся стандартов, качества, соответствия нормам и т.д.;
- сети связи - требования, касающиеся покрытия, стандартов, емкости, надежности и т.д.;
- инфраструктура сооружений и инженерных коммуникаций - требования, касающиеся гражданского строительства, конструкций, высокого напряжения, низкого напряжения и т.д.
Финансовые ограничения. Реализация мер и средств контроля и управления безопасностью часто ограничивается тем бюджетом, который может выделить организация. Однако финансовое ограничение должно по-прежнему оставаться последним, подлежащим рассмотрению, поскольку вопрос о выделении бюджетных средств на безопасность может быть решен на основе анализа безопасности.
Ограничения, связанные со средой. Они обусловлены географической или экономической средой, в которых процессы реализуются: страна, климат, природные риски, территориальное расположение, состояние экономики и др.
Ограничения по времени. Время, необходимое для реализации мер и средств контроля и управления безопасностью, должно определяться с учетом возможности модернизации информационной системы. Если на реализацию затрачивается очень много времени, то риски, для которых разрабатывались меры и средства контроля и управления, могут измениться. Время является определяющим фактором при принятии решений и выборе приоритетов.
Ограничения, касающиеся методов. Методы, соответствующие ноу-хау организации, должны использоваться в отношении планирования проекта, технических условий, разработки и др.
Организационные ограничения. Различные ограничения могут следовать из требований организации, а именно:
- эксплуатация - требования, касающиеся длительности производственного цикла, предоставления услуг, наблюдения, мониторинга, планов действий в чрезвычайных ситуациях, ухудшения работы и др.;
- поддержка - требования к поиску неисправностей, связанных с инцидентом, превентивным действиям, быстрому исправлению и др.;
- менеджмент кадровых ресурсов - требования, касающиеся обучения операторов и пользователей, квалификации, необходимой для таких должностей, как системный администратор или администратор данных и др;
- административный менеджмент - требования, касающиеся обязанностей и др.;
- менеджмент разработки - требования, касающиеся инструментальных средств разработки, систем автоматизированной разработки программ, планов приемочного контроля, обеспечения организации и др.;
- менеджмент внешних отношений - требования, касающиеся формирования отношений с третьими сторонами, договоров и т.д.