Определение области действия:

Данная фаза состоит из 2 этапов:

1) Описание ОД - чтобы достичь цели "детального определения области действия и границ СМИБ", необходимо выполнить следующие действия:

a) определить организационную область действия и границы,

b) область действия и границы информационных и коммуникационных технологий (ИКТ);

c) физическую область действия и границы;

d) аспекты области действия и границ, связанные с предприятием, организацией, местонахождением, активами и технологиями, и политика определяются в процессе определения этой области действия и границ;

e) введение элементарной области действия и границ для получения области действия и границ СМИБ.

Чтобы построить эффективную систему управления для организации, необходимо детально определить область действия СМИБ с учетом важнейших информационных активов организации. Важно иметь общую терминологию и систематический подход для определения информационных активов и оценки жизнеспособных механизмов обеспечения безопасности. Это обеспечивает простоту коммуникации и способствует устойчивому пониманию всех фаз недрения системы. Также важно обеспечить включение в область действия системы важнейших подразделений организации.

2) Разработка политики иб - при определении политики смиб следует принять во внимание следующие аспекты:

a) установить цели СМИБ на основе требований и приоритетов организации в области информационной безопасности;

b) установить общие фокусные точки и руководства к действию для достижения целей СМИБ;

c) принять во внимание требования организации, законные, обязательные требования и договорные обязательства, связанные с информационной безопасностью;

d) ситуация с управлением рисками в организации;

e) установить критерии для оценки рисков (см. ISO/IEC 27005:2008) и определения структуры оценки риска;

f) определить сферы ответственности руководителей высшего уровня в отношении СМИБ;

g) получить одобрение руководства.

Проведение анализа требований к иб:

Цель – определить требования к СМИБ, определить информационные активы, получить информацию о текущем состоянии ИБ.

Фаза состоит из 3 этапов:

1) Определение требований к ИБ для СМИБ - необходимо определить важные информационные активы и состояние ЗИ, проанализировать формы обработки информации, характеристики ИТ, определить все требования к ИБ и уровня информированности и знаний сотрудников в области ИБ.

В итоге мы получим перечень основных процессов, объектов и ИС, перечень информационных активов, классификацию активов и процессов, требования к ИБ (обязательства), перечень известных уязвимостей, требования к обучению в области ИБ.

2) Определение активов в рамках ОД СМИБ - необходимо учесть описания процессов, их важность, владельцев, вход и выходные параметры, взаимодействие процессов, приложения ИТ, классификация информации, ее свойства. Получим - перечень информационных активов основных процессов и их классификацию.

3) Проведение оценки существующего уровня ИБ - необходимо провести оценку информационной безопасности путем сравнения текущего состояния информационной безопасности в организации с целями организации.

Подход к проведению оценки информационной безопасности следующий:

a) выбрать важные бизнес-процессы в организации и этапы процессов, касающиеся требований к информационной безопасности;

b) составить подробную блок-схему, охватывающую основные процессы в организации, включая инфраструктуру (логическую и техническую), если она еще не была составления во время анализа организации;

c) обсудить с ключевыми сотрудниками и проанализировать существующую ситуацию в организации в отношении требований к информационной безопасности. Например, какие процессы являются критическими, насколько хорошо они в настоящее время работают?

(Полученные результаты в дальнейшем используются при оценке риска);

d) определить недостатки в управлении путем сравнения существующих средств управления с ранее определенными требованиями к управлению;

e) определить и документировать текущее состояние организации.

В результате получаем отчет о состоянии ИБ и выявленных уязвимостях.