— стать основной для управления;

— определять и документировать условия для внедрения СУИБ;

— обеспечивать четкое и обоснованное понимание возможностей организации;

— учитывать определенные обстоятельства и положение в организации;

— определять требуемый уровень защиты информации;

— определять сбор и обработку информации, требуемые для всего предприятия или его части, находящейся в рамках предложенной области действия СУИБ.

Проведение анализа требований к ИБ определяют следующие процессы:

1) определение требований к ИБ для СУИБ;

2) определение активов в рамках СУИБ;

3) проведение оценки ИБ.

3.1. Определение требований к ИБ для СУИБ

Исходные данные:

— выходные данные 1.1 — приоритеты организации для разработки СУИБ;

— выходные данные 2.5 — политика СУИБ.

Рекомендации: Для каждого процесса в организации и задачи для специалиста требуется принять решение в отношении того, насколько важной является информация, т. е. какой требуется уровень защиты. Требуется базовое краткое описание проанализированной информации по процессам в организации и системам ИКТ.

Для получения подробных требований к ИБ для СУИБ следует рассмотреть следующие вопросы:

— предварительное определение важных информационных активов и текущего состояния защиты информации;

— определение представлений организации и их влияния на будущие требования к ИБ;

— анализ видов обработки информации, системного ПО, коммуникационных сетей, определения действий и ресурсов для информационных технологий и т. д.;

— определение всех обязательных требований (законодательства, договоров, стандартов и соглашений с клиентами, условий страхования и т. д.);

— определение уровня информированности в области ИБ и определение требований к обучению в отношении каждого подразделения.

Выходные данные:

— определение основных процессов, функций, объектов, информационных систем и коммуникационных сетей;

— информационные активы организации;

— классификация важнейших процессов (активов);

— требования к ИБ, сформулированные на основе обязательных требований;

— перечень известных уязвимостей, которые должны быть устранены в результате выполнения требований к ИБ;

— требования к обучению и образованию в области ИБ в организации.

3.2. Определение активов в рамках СУИБ

Исходные данные:

— выходные данные 2.4 — область действия и границы СУИБ;

— выходные данные 2.5 — политика СУИБ;

— выходные данные 3.1 — требования к ИБ для процесса СУИБ.

Рекомендации: Для определения активов в рамках области действия СУИБ необходимо указать следующую информацию:

— уникальное наименование процесса;

— описание процесса и связанные с ним действия (создание, хранение, передача, удаление);

— важность процесса для организации (критический, важный, вспомогательный);

— владелец процесса (подразделение организации);

— процессы, обеспечивающие исходные и выходные данные этого процесса;

— приложения ИТ, поддерживающие процесс;

— классификация информации (конфиденциальность, целостность, доступность и другие важные для организации свойства).

Выходные данные:

— определенные информационные активы основных процессов в организации в рамках области действия СУИБ;

— классификация важнейших процессов и информационных активов с точки зрения ИБ.

3.3. Проведение оценки ИБ

Необходимо провести оценку ИБ путем сравнения текущего состояния ИБ в организации с целями организации.

Исходные данные:

— выходные данные 2.4 — область действия и границы СУИБ;

— выходные данные 2.5 — политика СУИБ;

— выходные данные 3.1 — требований к ИБ для процесса СУИБ;

— выходные данные 3.2 — активы в рамках области действия СУИБ.

Рекомендации: При оценке ИБ анализируется текущая ситуация в организации путем использования следующей информации и определяется текущее состояние ИБ и недостатки в документации:

— изучение предпосылок на основе важнейших процессов;

— классификация информационных активов;

— требования организации к ИБ.

Для успешной оценки ИБ важными являются следующие действия:

— перечисление соответствующих стандартов;

— определение требований к управлению, установленных на основе политики ИБ, обязательных требований, результатов прошедших проверок или оценок рисков;

— использование этих документов для приблизительной оценки существующих требований к уровню ИБ.

Подход к проведению оценки ИБ следующий:

— выбрать важные бизнес-процессы и этапы процессов, касающиеся требований к ИБ;

— составить подробную блок-схему, охватывающую основные процессы, включая инфраструктуру;

— обсудить и проанализировать с ключевыми сотрудниками существующую ситуацию в организации в отношении требований к ИБ;