ПРИМЕР !
ЗАДАНИЕ И РАБОТНА ПРОГРАМА
ЗА ИЗГРАЖДАНЕ НА
СИСТЕМА ЗА
УПРАВЛЕНИЕ НА ИНФОРМАЦИОННАТА СИГУРНОСТ (СУИС) НА ОРГАНИЗАЦИЯТА
Март, 2016 г.
СОФИЯ
1. Задание за
разработване на СУИС
1.1 Цел и
предназначение на СУИС
Целта на СУИС е да се осигури необходимото и достатъчно
ниво на защита за информационните активи на ОРГАНИЗАЦИЯТА от съответните заплахи (вкл. кибер заплахи),
без оглед на тяхната природа, дали са вътрешни или външни, умишлени или
случайни.
В частност, информационните активи на ОРГАНИЗАЦИЯТА – данните и информацията, съответно, персонала,
който работи с тях, системите които ги обработват, обменят и съхраняват, имат
жизнено важна роля в изпълнението и поддържането на бизнес процесите, своевременното, и
качествено предоставяне на услуги на клиентите. Информационните активи на ОРГАНИЗАЦИЯТА спомагат и за вземането на адекватни
на обстановката стратегически и оперативни управленски, и бизнес решения.
Всички информационни активи на ОРГАНИЗАЦИЯТА трябва да се защищават, в
съответствие с тяхната важност за бизнеса, прилагайки изискванията на националната
нормативна уредба
(както е приложимо), съответните международно признати стандарти, договорите и добри практики в областта на
информационна / кибер сигурност, и управлението на риска.
1.2 Основания за
разработване на СУИС
-
Бизнес изискванията за информационна / кибер сигурност на ОРГАНИЗАЦИЯТА, определени в документ .........;
Решение на ОРГАНИЗАЦИЯТА за изграждане на СУИС в документ........
Други основания (напр. договорирани изисквания на клиенти, държавни и/или международни изисквания и др., както е приложимо)
Решение на ОРГАНИЗАЦИЯТА за изграждане на СУИС в документ........
Други основания (напр. договорирани изисквания на клиенти, държавни и/или международни изисквания и др., както е приложимо)
1.3 Изисквания за
стандартизация на СУИС
Подходът и методологията при изграждането на СУИС на ОРГАНИЗАЦИЯТА следва да спазва изискванията на следните международни (национални) стандарти, свързани със системите за управление на информационната сигурност:
- ISO
27001 :2013 – “Information Technology – Security
Techniques – Information security management system – Requirements”
- ISO 27002:2013 – “Information Technology – Security Techniques – Code of practice for information security management”
- ISO 27002:2013 – “Information Technology – Security Techniques – Code of practice for information security management”
- ISO/IEC 27032:2012 - Information technology -- Security techniques -- Guidelines for cybersecurity
- Други стандарти, както е приложимо за ОРГАНИЗАЦИЯТА
- Други стандарти, както е приложимо за ОРГАНИЗАЦИЯТА
В този смисъл, СУИС трябва да отчита и да прилага всички,
приложими за ОРГАНИЗАЦИЯТА изисквания в областите:
-
Политики за сигурност;
- Организация
на информационната сигурност;
-
Управление на информационните активи;
-
Сигурност на персонала;
-
Физическа сигурност и сигурност на обкръжаващата среда;
- Управление
на комуникациите и операциите;
-
Контрол на достъпа
(логически);
- Придобиване,
разработване и поддръжка на информационни системи;
- Криптографска сигурност;
- Криптографска сигурност;
-
Управление на инцидентите по сигурността на информационните системи;
-
Управление на непрекъснатостта на бизнеса / дейностите
-
Съответствие със законовите изисквания
- Одити по информационната
сигурност
1.4 Обхват на
СУИС
1.4.1 Бизнес
обхват на СУИС
СУИС отчита и се прилага за всички основни бизнес
процеси на ОРГАНИЗАЦИЯТА, изпълнението на които изисква интензивно ползване на
наличните информационни активи и/или създаване на нови такива – данни и
информация.
Всяка промяна в бизнес процесите и бизнес средата се
разглеждат, освен другото, и в контекста на необходимостта за въвеждане на промени в изграждащата се или функциониращата СУИС – напр. допълнителни контролни / защитни механизми, базирани на анализ
на риска към информационната сигурност за променените и/или новите бизнес
процеси/среда.
1.4.2 Обхват на
СУИС по информационни активи
1.4.2.1 Обобщено описание
СУИС обхваща управлението и контрола на информационните
активи (включващи информацията, данните, хардуера, софтуера, книжните документи
и персонала) които са притежавани и/или управлявани от ОРГАНИЗАЦИЯТА.
1.4.2.2 Информация и данни
Информацията и данните включват:
-
Информация и данни в електронен вид, без оглед на средствата за тяхното съхранение
и пренос (вкл. техните копия на магнитни носители и данните в състояние на
обмен/пренос)
-
Информация, създавана в резултат на изпълнение бизнес процесите, без оглед на
средствата за генериране, обработка, съхранение, обмен и представяне
- Всяка
друга информация за която ОРГАНИЗАЦИЯТА има отговорности по сигурността и е
определена, като информационен актив
1.4.2.3 Хардуер
Хардуера включват цялото оборудване, а също така и физическата
инфраструктура, определени, като информационен актив:
-
Компютри от всякакъв тип, с общо и специализирано предназначение
-
Работни станции, периферни и терминални устройства, мобилни средства
-
Телекомуникационно, комуникационно оборудване и окабеляване за пренос на данни;
-
Мрежово оборудване
-
Системи за контрол на обкръжаващата среда включително, климатизатори, сигнално-предупредителни
системи за пожари и наводнения, както и друго оборудване за безопасност (напр.
СОТ);
-
Системи за електрозахранване и водоснабдяване
- Сгради
и подобрения в тях, помещения и оборудване
- Други
технически средства, определени, като информационен актив
1.4.2.4 Софтуер
Софтуера включва програми разработени в ОРГАНИЗАЦИЯТА и такива
придобити от външни източници:
-
Операционни системи и свързания с тях поддържащ софтуер
-
Системи за управление на бази данни, приложения, телекомуникационни и мрежови ресурси
-
Софтуерен инструментариум за системен и/или софтуерен инженеринг
- Специализиран
софтуер - системи / приложения за
осигуряване работата на основните бизнес процеси
-
Приложения за клиенти
-
Софтуер за тестване
- Друг
софтуер, определен, като информационен актив
1.4.2.5 Книжни документи
Книжните документи включват различни планове, ръководства,
договори, инструкции, процедури, пазарна информация, персонални данни и
всякакви други, определени като информационен актив
1.4.2.6 Персонал
Персонала включва наетите служители (постоянно и временно
наети) - посредници, одитори, доставчици на услуги, представители на
заинтересованите и свързани лица, страни по договори, консултанти, посетители
или представители на други организации, които работят в/с
1.4.3 Обхват по местоположение
В контекста на организационния обхват на СУИС, с нея се
обхващат и всички постоянни и временни офиси, работни площадки, подвижни
работни места (по договор или неофициално използвани), домове на служители (от
които се упълномощено се работи с предоставени служебни компютри и/или със служебна
информация), или на които и да било други места, където има разположена
информация, свързана с ОРГАНИЗАЦИЯТА.
2. Работна
програма за изграждане на СУИС
2.1. Разработване
на документалната част на СУИС – Фаза 1 на Проекта.
ЕТАП
|
ДЕЙНОСТИ ПО ПРОЕКТА
|
РЕЗУЛТАТИ
|
Е1
Рамка на СУИС
|
1.Провеждане на четиридневен
курс за обучение на тема “Подход и методология за изграждане на СУИС в
съответствие с изискванията на ISO 27001”
|
Проведен курс за обучение:
- Ръководен състав – .....
- Специалисти – .......
|
2.Разработване на Политика
на СУИС
|
Документ “Политика на СУИС”
|
|
3.Разработване на правила за
определяне обхвата на СУИС
|
Документ “Ръководство за определяне обхвата на СУИС”
|
|
4.Определяне на обхвата на
СУИС (прилагане на Ръководство за определяне обхвата на СУИС)
|
Документ “Обхват на СУИС”
|
|
5.Определяне на подхода за оценка на риска към
информационните активи от обхвата на СУИС
|
Документ “Подход и критерии за оценка на риска”
|
|
6.Определяне на организация
по управление на информационната сигурност
|
Документ “Предложение за организация по
управлението на информационна
сигурност”
|
|
Е2
Оценка и анализ на риска
|
1.Избор / разработване на методика за
оценка на риска
|
Документ “Методика за оценка на риска”
|
2.Разработване на правила за
избор на типове защитни механизми, съгласно изискванията на ISO
27001 (Приложение А от стандарта) и ISO 27032
|
Документ “Ръководство за избор на типовете защитни
механизми в СУИС”
|
|
3.Провеждане на оценка на
риска към информационните активи от обхвата на СУИС (прилагане на Методика за
оценка на риска)
|
Списък на идентифицираните рискове към информационните
активи и техните нива (в съответствие с
идентифицираните заплахи, уязвимости и възможни последствия)
|
|
4.Провеждане на анализ на
оценката на рисковете към информационните активи от обхвата на СУИС
|
Документ “Доклад за оценката на риска”
|
|
5.Провеждане на оценка и
избор на типовете механизми за защита в съответствие с Доклад за оценка на риска и Ръководство за избор
на типовете защитни механизми в СУИС
|
Документ “План за противодействие на риска”
|
|
Е3
Процедури за сигурност
|
1.Разработване на политики, процедури
и инструкции (както е приложимо) за информационна сигурност в съответствие с ISO
27001 (Приложение А) и/или ISO 27002 / ISO 27032
|
Комплект “Политики, процедури и инструкции за информационна сигурност”, в
съответствие с избраните защитни механизми, описани в План за противодействие
на риска
|
2.Разработване на документ
за приложимост на ISO 27001 – за всички описани в Приложение А на стандарта, цели и механизми за
защита
|
Документ “Декларация за приложимост на изискванията
на ISO 27001”
|
|
3.Разработване на
допълнителни, общи процедури, свързани със СУИС
|
Документи:
1. Процедура за измерване на действието на въведени механизми за
защита
2. Процедура за контрол на документите
3. Процедура за контрол на записите на СУИС
4. Процедура за вътрешен одит
5. Процедура за коригиращи действия
6. Процедура за превантивни действия
|
2.2. Доставка и
внедряване на технически / програмни средства за защита на информационните
активи на СУИС – Фаза 2 на Проекта
Доставката на технически / програмни средства за защита
на информационните ресурси на СУИС се извършва в съответствие с разработения и
приет за прилагане План за
противодействие на риска (от Фаза 1 на Проекта)
ЕТАП
|
ДЕЙНОСТИ ПО ПРОЕКТА
|
РЕЗУЛТАТИ
|
Е1
Доставки
|
1.Доставка и внедряване в
експлоатация на технологични средства и системи за информационна сигурност (в
съответствие с План за противодействие
на риска и допълнително съгласувани технически спецификации)
|
Доставени и внедрени
технологични средства и системи за информационна сигурност
|
2.Определяне на организация
за управление на инцидентите по информационната сигурност
|
Документ “Процедура за разкриване, докладване и
провеждане на разследване за възникнали инциденти по информационната
сигурност”
|
|
Е2
Наблюдение и контрол на
работата на СУИС
|
1.Изпълнение на Процедурата за измерване на действието на въведени механизми за защита
|
1.Регистър на идентифицирани събития и инциденти по
сигурността
2.Документ “Оценка
на изпълнението на дейностите по сигурността, делегирани на служители или
внедрени чрез технологии”
|
2.Провеждане на преоценки на риска и преглед на нивата
на остатъчния и приемливия риск
|
Актуализиран План за противодействие на риска
|
2.3.Сертификация на СУИС – Фаза 3 на Проекта
Забележка: Тази Фаза на проекта се изпълнява единствено и само, че
организацията реши да се извърши официална сертификация на изградената СУИС за
съответствие с изискванията на ISO 27001
Изградената СУИС на ОРГАНИЗАЦИЯТА се сертифицира за съответствие с изискванията на ISO
27001:2013 – “Information
Technology – Security Techniques – Information security management system –
Requirements”
ЕТАП
|
ДЕЙНОСТИ ПО ПРОЕКТА
|
РЕЗУЛТАТИ
|
Е1
Документи
|
1.Разработване на структура
на Наръчник по информационната
сигурност
|
Документ “ Наръчник по информационна сигурност”
|
2.Актуализация (при
необходимост) на разработените във Фаза
1 на Проекта) на политики, процедури, инструкции и форми за отчет и
контрол по информационната сигурност
|
Актуализирани политики,
процедури, инструкции и форми за отчет и контрол по информационната сигурност
– приложения към Наръчника за информационна сигурност
|
|
Е2
Вътрешен одит на СУИС
|
1.Подготовка на въпросници за одит на СУИС
|
Документ “Въпросник
за подготовка на одити по информационната сигурност в съответствие с
изискванията на ISO 27001”
|
2. Провеждане на вътрешен одит на СУИС
|
1.Проведен и документиран вътрешен одит на СУИС
2. Документ “Анализ
и оценка на готовността на ОРГАНИЗАЦИЯТА за сертифициране по ISO 27001”
|
|
Е3
Сертификационен одит на СУИС
|
1. Избор на сертификационна организация
|
Избрана сертификационна организация в съответствие с
изискванията на ЗОП или по други критерии.
|
2. Организиране и провеждане на сертификационния одит
|
Проведен сертификационен одит.
Получен сертификат за съответствие с изискванията на ISO 27001
|
2.4. Време
за изграждане и подготовка за сертификация на СУИС – по етапи, фази и общо.
№
фаза
|
Етап
|
Време за
изпълнение
(месец)
|
Забележка
|
1
|
Е1 - Рамка на СУИС
|
2
|
подлежи на
актуализация
|
Е2 - Оценка и анализ на риска
|
3
|
подлежи на
актуализация
|
|
Е3 - Процедури за сигурност
|
3
|
подлежи на
актуализация
|
|
Общо за Фаза 1 на Проекта
|
8
|
||
2
|
Е1 - Доставки
|
4
|
Времето може да
бъде и друго в зависимост от типа и количеството доставки, определени за
извършване и внедряване в експлоатация във времевия период на Проекта
(съгласно План за противодействие на риска)
|
Е2 - Наблюдение и контрол на работата на СУИС
|
3
|
подлежи на
актуализация
|
|
Общо за Фаза 2 на Проекта
|
7
|
||
3
|
Е1 - Документи
|
2
|
подлежи на
актуализация
|
Е2 - Вътрешен одит на СУИС
|
1
|
||
E3
– Сертификационен одит на СУИС
|
1
|
||
Общо за Фаза 3 на Проекта
|
4
|
||
ОБЩО ВРЕМЕ ЗА ПРОЕКТА
|
19
|
Забележка: Необходимото време за изпълнение на Проекта, без изпълнение на Фаза 3 е
в рамките на 15 месеца
ТОВА Е ПРИМЕРНО ЗАДАНИЕ И РАБОТНА ПРОГРАМА ЗА ИЗГРАЖДАНЕ И СЕРТИФИЦИРАНЕ НА СИСТЕМА ЗА УПРАВЛЕНИЕ НА ИНФОРМАЦИОННАТА СИГУРНОСТ !
За въпроси и допълнителна информация:
тел. 0886 655 315
ел.поща: infosecservicebg@gmail.com
ПЛАМЕН КАМЕНОВ
тел. 0886 655 315
ел.поща: infosecservicebg@gmail.com
ПЛАМЕН КАМЕНОВ
