ПРИМЕР !
РЪКОВОДСТВО
ЗА ОПРEДЕЛЯНЕ НА ОБХВАТА НА
СИСТЕМА ЗА УПРАВЛЕНИЕ НА ИНФОРМАЦИОННАТА СИГУРНОСТ
(СУИС)
1. ВЪВЕДЕНИЕ
Ръководството показва основните стъпки при определянето
на обхвата на СУИС.
Дейностите по определяне обхвата на СУИС са от съществена
важност за изграждането и внедряването на системата.
Обхвата определя рамката на останалите процеси и дейности
за изграждане на СУИС, за които риска трябва да бъде управляван, а също, и
осигурява направленията за вземане на решения, информирането на организацията,
и плановете за ресурсното осигуряване.
Точното и ясно дефиниране на границите на СУИС, позволява
да се избегне извършването на дейности, които не са необходими, а също и да се
подобри качеството на анализа на риска.
СУИС може да покрива цялата организация или част от нея,
отделна система, процес и/или услуга.
Целта е, СУИС да покрива всички части от организацията, в
които проблемите по информационната сигурност могат да доведат до неприемливи
последствия за бизнеса и организацията, като цяло.
Ръководството се базира основно на:
- Политиката за СУИС – разработена и прилагана от
организацията;
- Описанията на бизнес процесите в организацията и
експертната оценка за степента на тяхната важност за бизнеса;
- Описанията на информационните активи, осигуряващи изпълнението
на бизнес процесите в организацията и експертна оценка на тяхната важност и
стойност за бизнеса;
- Собствениците и ползвателите на информационните активи на
организацията;
2. ОСНОВНИ СТЪПКИ
Основните стъпки за определяне обхвата на СУИС са:
2.1. Стъпка №1 – „Преглед
и анализ на основните бизнес процеси в организацията”
Основните бизнес процеси в организацията, влизащи в
обхвата на СУИС са определени от приетата и внедрена в организацията Политика
за СУИС. В този смисъл, Политиката за СУИС е първия източник на информация,
показващ кои от бизнес процесите подлежат на преглед и експертна оценка за техния
принос за бизнеса.
Тази стъпка се извършва от работна група, включваща
представители на всички отдели в организацията, имащи отношение към изпълнението
на съответните бизнес процеси.
Пример:
В Политиката за СУИС на организацията, в т.
3.1 Бизнес обхват е записано:
“Тази политика отчита и се прилага във всички основни
бизнес процеси на фирмата, изпълнението на които изисква интензивно ползване на
наличните информационни активи и/или създаване на нови такива – данни и
информация.
СУИС се прилага за всички информационни активи, с които
се оперира при изпълнението на бизнес процесите:
- Административно и финансово
обслужване на персонала, клиентите и/или доставчиците
- Планиране и управление на бизнеса –
стратегическо и оперативно ниво
- Търговска дейност, пазарни проучвания
и представителство
- Разработване на софтуерни продукти
- Информационно обслужване
Всяка
промяна в бизнес процесите и бизнес средата се разглежда и в контекста на
необходимостта за въвеждане на промени във функциониращата СУИС – напр.
допълнителни защитни механизми, базирани на анализ на риска към информационната
сигурност за променените и/или новите бизнес процеси/среда”
Описанието на посочените в Политиката за СУИС бизнес
процеси може да бъде налично в различни документи на организацията – Правилник
за работата на организацията, Система за управление на качеството (политики,
процедури, инструкции, форми за отчет) и др.
Описанието на бизнес процесите е необходимо да се
прегледа и анализира за да се създаде база за определяне, на качествено ниво приноса на всеки бизнес процес.
Тази стъпка завършва със Списък на бизнес процесите,
обекти на разглеждано на СУИС, тяхното
кратко описание и анализ за тяхното
влияние на бизнеса.
Пример:
|
№
|
Наименование на бизнес процеса
|
Кратко описание на бизнес процеса
|
Принос на бизнес процеса за
постигане на целите на организацията
|
|
1
|
Административно обслужване на персонала,
клиентите и/или доставчиците
|
......
|
съществен
|
|
2
|
Финансово обслужване на персонала,
клиентите и/или доставчиците
|
.......
|
съществен
|
|
3
|
Планиране и управление на бизнеса –
стратегическо и оперативно ниво
|
......
|
голям
|
|
4
|
Търговска дейност, пазарни проучвания и
представителство
|
......
|
голям
|
|
5
|
Информационно обслужване
|
.....
|
много голям
|
|
6
|
Разработване на софтуерни продукти
|
.....
|
много голям
|
2.2. Стъпка №2 –
“Оценка на бизнес процесите”
Вход за тази стъпка са резултатите от изпълнението на
стъпка 1 “Преглед и анализ на основните бизнес процеси в организацията”
Оценката на бизнес процесите се извършва, отчитайки
определения на качествено ниво принос на бизнес процеса (напр. несъществен,
съществен, голям, много голям) за постигане на бизнес целите на организацията и
неговото последващо остойностяване, по предварително приети количествени
коефициенти на съответствие.
Пример:
Таблица
на съответствието – “качествена оценка – количествен коефициент” за бизнес
процеси
|
№
|
Принос на бизнес процеса за
постигане на целите на организацията
(качествена оценка)
|
Принос на бизнес процеса за
постигане на целите на организацията
(количествен коефициент)
|
|
1
|
несъществен
|
0.1
|
|
2
|
съществен
|
0.4
|
|
3
|
голям
|
0.7
|
|
5
|
много голям
|
1.0
|
Таблица за оценка на бизнес процесите
|
№
|
Наименование на бизнес процеса
|
Принос на бизнес процеса за
постигане на целите на организацията
(качествена оценка)
|
Принос на бизнес процеса за
постигане на целите на организацията
(количествен коефициент)
|
|
1
|
Административно обслужване на персонала, клиентите
и/или доставчиците
|
съществен
|
0.4
|
|
2
|
Финансово обслужване на персонала, клиентите и/или
доставчиците
|
съществен
|
0.4
|
|
3
|
Планиране и управление на бизнеса – стратегическо и
оперативно ниво
|
голям
|
0.7
|
|
4
|
Търговска дейност, пазарни проучвания и
представителство
|
голям
|
0.7
|
|
5
|
Информационно обслужване
|
много голям
|
1.0
|
|
6
|
Разработване на софтуерни продукти
|
много голям
|
1.0
|
2.3. Стъпка №3 –
“Определяне на информационните активи, осигуряващи изпълнението на съответните
бизнес процеси”
Вход за тази стъпка са идентифицираните бизнес процеси и
техните качествени, и количествени оценки по отношение приноса им към бизнеса
(изход от изпълнението на стъпка 2)
Тази стъпка се извършва от работна група, включваща
представители на всички отдели в организацията, имащи отношение към
изпълнението на съответните бизнес процеси.
За всеки бизнес
процес се описват информационните активи, осигуряващи неговото
изпълнение в обхват (съгласно Политиката за СУИС):
-
хардуер -
компютри, сървери, средства за съхраняване, периферна техника, мрежово
оборудване, комуникационна инфраструктура (вкл.мрежово окабеляване),
гарантирано електрозахранване, климатизация и др.
-
софтуер - операционни
системи и свързания с тях поддържащ софтуер; системи за управление на бази
данни, приложения, телекомуникационни и мрежови ресурси; софтуерен
инструментариум за системен и/или софтуерен инженеринг; приложения за клиенти;
софтуер за тестване и др.
-
данни,
информация и документи - данни в електронен вид, без оглед на средствата за тяхното
съхранение и пренос (вкл. техните копия на магнитни носители и данните в състояние
на обмен/пренос); информация, създавана в резултат на изпълнение бизнес
процесите, без оглед на средствата за генериране, обработка, съхранение, обмен
и представяне; документация за системите и софтуера (собствени разработки или
придобити), ръководства за потребителите, планове за непрекъснатост на
работата, договори, инструкции, процедури, персонални данни и др.
-
персонал - наетите
служители (постоянно и временно наети) одитори, доставчици на услуги,
представители на заинтересованите и свързани лица, страни по договори,
консултанти, посетители или представители на други организации, имащи отношение
при изпълнението на съответния бизнес процес
Пример:
Информационни активи, осигуряващи изпълнението на процес
“Информационно обслужване”
|
Идент.№ на
актива
|
Описание на
актива
|
Функция на
актива
|
Организационна
единица, собственик на актива
|
Персонален
собственик на актива
|
Ползвател (и)
на актива
|
|
|
ХАРДУЕР
|
|
|
|
|
|
00001Н
|
Компютър за..........
|
Работно място за....
|
Отдел “ИО”
|
Длъжност/име
|
Длъжност/име / отдел / организация
|
|
00002Н
|
Сървер.за.........
|
Управление на.....
|
Отдел “ИО”
|
Длъжност/име
|
Длъжност/име / отдел / организация
|
|
|
СОФТУЕР
|
|
|
|
|
|
00001S
|
Операционна система.
|
........
|
Отдел “ИО”
|
Длъжност/име
|
Длъжност/име / отдел / организация
|
|
00002S
|
Приложение за СУК
|
..........
|
Отдел “Софтуер”
|
Длъжност/име
|
Длъжност/име / отдел / организация
|
|
00003S
|
СУБД.......
|
........
|
Отдел “ИО”
|
Длъжност/име
|
Длъжност/име / отдел / организация
|
|
|
ДАННИ,
ИНФОРМАЦИЯ И ДОКУМЕНТИ
|
|
|
|
|
|
00001D
|
Данни за ....на хартиен носител
|
Данни за договори за .........
|
Отдел “Административен”
|
Длъжност/име
|
Длъжност/име / отдел / организация
|
|
00002D
|
Данни за ....в електронен вид
|
Данни за инсталация на....
|
Отдел “ИО”
|
|
|
|
|
ПЕРСОНАЛ
|
|
|
|
|
|
00001Р
|
Длъжност/име (напр. Ръководител отдел
“ИО”)
|
Ръководство на отдел “ИО” .......
|
Организацията
|
неприложимо
|
неприложимо
|
|
00002Р
|
Длъжност/име (напр. Системен
администратор)
|
Системно администриране на...
|
Отдел “ИО”
|
неприложимо
|
неприложимо
|
|
00003Р
|
Длъжност/име (напр. Ръководител
отдел “Административен”)
|
Административно обслужване на отдел
“ИО” в областите – договориране, ......
|
Отдел “Административен”
|
неприложимо
|
неприложимо
|
|
00004Р
|
Длъжност/име (напр. специалист за
сервизно обслужване на .....)
|
Сервизно обслужване на ... по
Договор с .....
|
СЕРВИЗ - ОРГ (външна организация)
|
неприложимо
|
Отдел “ИО”
|
|
.
|
Описанието на информационните активи
за всеки един бизнес процес е основа
за тяхната последваща качествена и количествена оценка.
2.4. Стъпка №4 – “Оценка на информационните активи, осигуряващи
изпълнението на съответните бизнес процеси”
Оценката на информационните активи,
осигуряващи изпълнението на бизнес процесите се извършва, като се определи на
качествено ниво тяхното значение за бизнеса и след това, се извърши последващо
остойностяване, по предварително приети количествени коефициенти на
съответствие
Пример:
Таблица
на съответствието – “качествена оценка – количествен коефициент” за
информационни активи
|
№
|
Принос на информационен актив за изпълнението
на бизнес процес
(качествена оценка)
|
Принос на информационен актив за изпълнението
на бизнес процес
(количествен коефициент)
|
|
1
|
несъществен
|
0.1
|
|
2
|
съществен
|
0.4
|
|
3
|
голям
|
0.7
|
|
5
|
много голям
|
1.0
|
Таблица за оценка на информационните активи за бизнес
процес “Информационно обслужване”
|
Идент.№ на актива
|
Описание на актива
|
Принос на информационен
актив за изпълнението на бизнес процес
(качествена оценка)
|
Принос на информационен
актив за изпълнението на бизнес процес
(количествен коефициент)
|
|
|
ХАРДУЕР
|
|
|
|
00001Н
|
Компютър за..........
|
несъществен
|
0.1
|
|
00002Н
|
Сървер.за.........
|
голям
|
0.7
|
|
|
СОФТУЕР
|
|
|
|
00001S
|
Операционна система.
|
много голям
|
1.0
|
|
00002S
|
Приложение за СУК
|
несъществен
|
0.1
|
|
00003S
|
СУБД.......
|
съществен
|
0.4
|
|
|
ДАННИ, ИНФОРМАЦИЯ И ДОКУМЕНТИ
|
|
|
|
00001D
|
Данни за ....на хартиен
носител
|
съществен
|
0.4
|
|
00002D
|
Данни за ....в електронен
вид
|
голям
|
0.7
|
|
|
ПЕРСОНАЛ
|
|
|
|
00001Р
|
Длъжност/име (напр.
Ръководител отдел “ИО”)
|
много голям
|
1.0
|
|
00002Р
|
Длъжност/име (напр. Системен
администратор)
|
съществен
|
0.7
|
|
00003Р
|
Длъжност/име (напр.
Ръководител отдел “Административен”)
|
несъществен
|
0.1
|
|
00004Р
|
Длъжност/име (напр.
специалист за сервизно обслужване на .....)
|
несъществен
|
0.1
|
Тази стъпка се извършва от работна група, включваща
представители на всички отдели в организацията, имащи отношение към
изпълнението на съответните бизнес процеси.
2.5. Стъпка №5 –
“Интегрирана оценка на информационните активи, осигуряващи изпълнението на
отделните бизнес процеси”
Чрез изпълнението на тази стъпка се осигурява
определянето на интегриран количествен коефициент на даден информационен актив,
отчитайки присвоения количествен коефициент на съответния бизнес процес,
осигуряван от този актив. Този процес си извършва за всички информационни активи, определени (в предишната стъпка 4) за всеки отделен бизнес процес
Пример:
Таблица
за интегрирана оценка на информационните активи за бизнес процес “Информационно обслужване” при определен
количествен коефициент за принос на бизнес процеса за постигане на целите на
организацията – 1.0
(от стъпка 2)
Забележка: За други
бизнес процеси, този коефициент е различен, така както е определен в стъпка 2
|
Идент.№ на
актива
|
Описание на
актива
|
Принос на информационен актив за изпълнението
на бизнес процес
(количествен коефициент)
|
Интегрирана оценка на
информационните активи за бизнес процес “Информационно обслужване”
|
|
|
ХАРДУЕР
|
|
|
|
00001Н
|
Компютър за..........
|
0.1
|
0.1х1.0=0.1
|
|
00002Н
|
Сървер.за.........
|
0.7
|
0.7x1.0=0.7
|
|
|
СОФТУЕР
|
|
|
|
00001S
|
Операционна система.
|
1.0
|
1.0x1.0=1.0
|
|
00002S
|
Приложение за СУК
|
0.1
|
0.1x1.0=0.1
|
|
00003S
|
СУБД.......
|
0.4
|
0.4x1.0=0.4
|
|
|
ДАННИ,
ИНФОРМАЦИЯ И ДОКУМЕНТИ
|
|
|
|
00001D
|
Данни за ....на хартиен носител
|
0.4
|
0.4x1.0=0.4
|
|
00002D
|
Данни за ....в електронен вид
|
0.7
|
0.7x1.0=0.7
|
|
|
ПЕРСОНАЛ
|
|
|
|
00001Р
|
Длъжност/име (напр. Ръководител
отдел “ИО”)
|
1.0
|
1.0x1.0=1.0
|
|
00002Р
|
Длъжност/име (напр. Системен
администратор)
|
0.7
|
0.7x1.0=0.7
|
|
00003Р
|
Длъжност/име (напр. Ръководител
отдел “Административен”)
|
0.1
|
0.1x1.0=0.1
|
|
00004Р
|
Длъжност/име (напр. специалист за
сервизно обслужване на .....)
|
0.1
|
0.1x1.0=0.1
|
В съответствие с получената интегрирана оценка на
информационните активи за съответния бизнес процес и съгласно критериите за
тяхното въвеждане в обхвата на СУИС се определя списък на активите подлежащи на
последващ анализ на риска към тяхната сигурност – съответно на заплахите и
уязвимостите към/на активите.
Таблица за
критериите за въвеждане на информационен актив в обсега на СУИС
|
№
|
Интегрирана оценка на
информационните активи
(стойност)
|
Решение
|
|
1
|
до 0.1 вкл.
|
Окончателно решение за въвеждане на актива в обсега на СУИС -
след анализ и оценка на риска за него, и възможните последствия за бизнеса
|
|
2
|
между 0.1 и 1.00
|
Актива се въвеждат директно
в обсега на СУИС
|
Забележка: Когато за даден информационен актив е описан в различни
бизнес процеси и е получил различни интегрирани оценки, за валидна се приема
интегрираната му оценка с най-голяма стойност.
2.6. Стъпка №6 –
“Документиране на установения обхват на СУИС”
На тази стъпка се подготвя окончателен документ “Обхват
на СУИС” и се представя на Ръководството на организацията за съгласуване и
одобряване, след което той става основание за извършване на последващите
дейности по изграждането на системата – анализ
и оценка на риска към информационните активи, избор на контроли (механизми за защити)
за тях и др.
Забележка: Този документ се променя при планирани и/или фактически
настъпили изменения в бизнес процесите, активите и персонала, който осигурява
тяхното изпълнение, като всички стъпки от процеса или част от тях се
изпълняват, в съответствие с обхвата и детайлите на измененията.
Крайния документ включва:
А.Списъци на определените като информационни активи и
отговарящи на критериите за директно въвеждане в обхвата на СУИС:
-
Хардуер;
-
Софтуер;
-
Данни, информация и документи
-
Персонал
Б. Списъци на определените като информационни активи и
подлежащи на допълнителна оценка (след анализ на риска) за последващо въвеждане
в обхвата на СУИС:
-
Хардуер;
-
Софтуер;
-
Данни, информация и документи
-
Персонал
За допълнителна информация и въпроси:
Пламен Каменов
phone: 0886 655 315
e-mail: infosecservicebg@gmaol.com
