Вход для зарегистрированных пользователей
логин
пароль
регистрация
забыли пароль?
Еще не зарегистрировались?

Дайджест

Контур-Фокус – быстрая проверка контрагентов

GlobalTrust Solutions

Создание и сертификация систем управления информационной безопасностью
Тел.: +7 (495) 651-6617
Сайт: www.globaltrust.ru
E-mail: info@globaltrust.ru
Контактная информация: О компании
Регионы работы: Москва
Продукт

Комплект типовых документов для управления рисками информационной безопасности

Область применения:

  • Для крупного бизнеса
  • Для среднего бизнеса
  • Для малого бизнеса

Система управления рисками информационной безопасности является фундаментом, на котором должна строиться СУИБ организации. Это самая важная и, вместе с тем, самая сложная для внедрения из всех подсистем, входящих в состав СУИБ. Оценка рисков – это «ахиллесова пята» современных организаций, обычно вызывающая наибольшие затруднения.

Мы обобщили накопленный опыт проведения подобных работ и разработали законченный комплект документов, которые достаточно универсальны и в максимальной степени приближены к реальной практике. Используемая качественная методология оценки рисков находится в полном соответствии с требованиями стандартов ISO 27001 и ISO 27005 (BS 7799-3), а также опирается на известные методы оценки рисков CRAMM, OCTAVE и RA2.

Мы непрерывно совершенствуем разработанную нами методологию управления рисками информационной безопасности. По результатам проектов, выполненных GlobalTrust в 2007-2008 гг., наша методология и соответствующие документы были существенным образом доработаны. В новый Комплект документов добавлены семь новых документов:

  1. Реестр информационных ресурсов
  2. Реестр требований безопасности
  3. Определение приоритетов аварийного восстановления
  4. Критерии оценки ущерба
  5. План аудита безопасности
  6. План оценки рисков
  7. Отчет об оценке рисков

Все остальные приложения были полностью переработаны и заполнены данными из реальных проектов! Вам не потребуется что-либо придумывать. Надо лишь дополнить и подкорректировать имеющие данные.

Перейдите на следующий уровень зрелости, внедрив систем управления рисками информационной безопасности в вашей организации!

Состав докуметов

В состав нового Комплекта теперь входят все необходимые для внедрения СУИР документы:

  1. Общее описание
  2. Инструкция по внедрению системы управления рисками информационной безопасности
  3. Политика управления рисками информационной безопасности
  4. Методология оценки рисков информационной безопасности
  5. Приложение 1: Реестр информационных ресурсов
  6. Приложение 2: Реестр требований безопасности
  7. Приложение 3: Определение ценности активов
  8. Приложение 4: Определение приоритетов аварийного восстановления
  9. Приложение 5: Модель угроз информационной безопасности
  10. Приложение 6: Оценка уровней угроз и уязвимостей
  11. Приложение 7: Критерии оценки ущерба
  12. Приложение 8: Реестр информационных рисков
  13. Приложение 9: Декларация о применимости механизмов контроля
  14. Приложение 10: План обработки рисков
  15. Приложение 11. План аудита безопасности
  16. Приложение 12. План оценки рисков
  17. Приложение 13. Отчет об оценке рисков

Приобретение комплектов документов

Приобрести комплект документов для управления рисками информационной безопасности GTS 1056, а также стандарты, руководства, книги, инструменты и методики, которые легли в основу его разработки, можно в интернет-магазине shop.GlobalTrust.ru. Поставка GTS 1056 осуществляется в электронном виде в формате MS Word на CD-ROM или по email.

Правила лицензирования

Лицензирование шаблонов типовых документов для управления рисками информационной безопасности производится по количеству систем управления информационной безопасностью (СУИБ), в рамках которых производится использование этих шаблонов. Одна лицензия дает право использования шаблонов в одной организации в рамках одной СУИБ.

Компаниям, предполагающим использование шаблонов документов для оказания услуг другим организациям, требуется приобрести специальную консалтинговую лицензию, либо отдельно приобретать лицензии для каждой организации с учетом скидки на количество приобретаемых лицензий.

Поддержка внедрения

GlobalTrust обеспечивает полную поддержку внедрения процессов управления рисками информационной безопасности и системы управления информационной безопасностью организации, предоставляя услуги по обучению, консалтингу, аудиту и аутсорсингу.

Все клиенты ГлобалТраст имеют возможность получения бесплатных консультаций по вопросам применения, внедрения и доработки документов, приобретенных у ГлобалТраст, а также по соответствующим процессам управления информационной безопасностью в специализированном форуме http://forum.globaltrust.ru, либо обратиться за поддержкой по email: info@globaltrust.ru. Вы также можете обсудить интересующие вас вопросы в одном из форумов на портале ISO27000.ru: http://www.iso27000.ru/zforum.

Политика возврата денег

Мы уверены в том, что разработанная ГлобалТраст методология и документы по управлению рисками информационной безопасности, окажут неоценимую помощь любой компании, заинтересованной во внедрении СУИР. Несмотря на то, что мы сделали все возможное для того, чтобы разработанные ГлобалТраст документы полностью соответствовали текущей ситуации в области информационной безопасности и реальному опыту управления рисками в российских компаниях, условия ведения бизнеса и ситуация с рисками в организациях могут существенно различаться. В любом случае, представленные в настоящем Комплекте документы, потребуют определенной доработки, и ГлобалТраст окажет Вам в этом необходимую помощь.

Однако, если какой-то из представленных ГлобалТраст документов окажется неприменимым к Вашей организации, либо не будет соответствовать своему назначению, либо не будет соответствовать описанию, представленному на официальном сайте ГлобалТраст, то Вам необходимо обратиться в ГлобалТраст за поддержкой (см. предыдущий параграф) в течении двух недель. Мы обязуемся бесплатно предоставить Вам необходимые консультации, дополнительные данные, либо произвести доработку соответствующего документа в течение недели с момента обращения. В случае если мы не сможем решить проблему в установленный срок, Вам будет предоставлена компенсация в виде возврата денег уплаченных за соответствующие документы. Размер компенсации оговаривается с клиентом отдельно и зависит от относительного «веса» компенсируемых документов в приобретенном Комплекте.

Источники разработки

Источниками вдохновения (помимо собственного опыта) для разработки данного Комплекта документов послужили:

  • ISO/IEC 27001:2005 RU Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью – Требования http://www.shop.globaltrust.ru/show_good.php?idtov=1030
  • BS 7799-3:2006 RU Системы управления информационной безопасностью - Руководство по управлению рисками информационной безопасности http://www.shop.globaltrust.ru/show_good.php?idtov=1031
  • Information Security Risk Management for ISO 27001/ISO 17799, Alan Calder & Steve Watkins, IT Governance Publishing, 2007 http://shop.globaltrust.ru/show_good.php?idtov=1254
  • Методологии оценки рисков информационной безопасности CRAMM, OCTAVE и RA2.

Часто задаваемые вопросы

Для чего необходим данный Комплект документов?

В настоящее время в мире накоплен значительный опыт в области управления рисками информационной безопасности. Существуют сотни книг, руководств, методик и программных продуктов. Основные требования и общие принципы управления рисками ИБ были определены в международном стандарте ISO 27001 и получили свое развитие в ISO 27005 (BS 7799-3), представляющем собой практическое руководство по управлению рисками. Детальное описание конкретных методов оценки рисков можно найти в широко используемых на практике методологиях, таких как CRAMM или OCTAVE, которые нашли свое воплощение и в соответствующих программных инструментариях, позволяющих в максимальной степени автоматизировать процессы оценки и обработки рисков.

Таким образом, для управления рисками ИБ существует мощная теоретическая и технологическая база. В тоже время, во многих организациях до сих пор отсутствуют формализованные процессы управления рисками информационной безопасности. Такой разрыв между теорией и практикой объясняется тем, что для управления рисками в организации недостаточно приобрести какой-либо программный инструментарий, не удастся также напрямую воспользоваться существующими методологиями и стандартами. Ведь, в конечном итоге, каждая организация должна разработать и внедрить свои собственные процессы управления рисками, а на практике это означает создание соответствующей организационной структуры, разработку документации, проведения обучения и осуществление контроля.

Ключевым моментом является разработка документации для управления рисками. Без этого дальше разговоров дело не пойдет. Только грамотно написанная документация, адекватная текущему положению дел, культуре и потребностям бизнеса организации, позволит перейти к внедрению эффективных и измеримых процессов управления рисками.

Документацию, которая необходима для управления рисками, условно можно разделить на два уровня: нормативный и операционный. Внутренняя нормативная база организации в области управления рисками ИБ представлена «Политикой управления рисками» и «Методологией оценки рисков», которые устанавливают необходимые требования и правила. Эти документы пересматриваются на регулярной основе по мере накопления организацией собственного опыта, изменения ситуации с рисками и развития бизнеса организации.

На более низком, операционном, уровне находятся рабочие документы, которые на каждодневной основе используются для отображения текущей ситуации, анализа рисков, принятия решений по обработки рисков, планирования контрмер, оценки соответствия, измерения эффективности и т.п. В число таких документов входят «Реестр информационных рисков», «Декларация о применимости», «План обработки рисков» и т.д.

Структура документации, необходимая организации для управления рисками показана на рисунке.

Комплект типовых документов, представленный GlobalTrust, позволяет организации разработать и внедрить собственную систему документации в области управления рисками (на рисунке выделена зеленым цветом) и, таким образом, соединить существующую теоретическую базу с реальной практикой управления бизнесом.

Что еще, помимо данного Комплекта, необходимо для внедрения процессов управления рисками информационной безопасности?

Комплект типовых документов - это не учебник по управлению рисками. Прежде чем переходить к внедрению системы управления рисками, необходимо как минимум изучить материалы, на базе которых разрабатывались эти документы (два верхних уровня документов, показанных на рисунке). Стандарты, руководства, книги и инструменты для управления рисками можно приобрести в интернет-магазине GlobalTrust.ru:

http://gtrust.ru

Универсальных политик и методологий не существует. В Комплекте представлены типовые шаблоны документов в максимальной степени приближенные к практике, которые послужат точкой отсчета для разработки и внедрения системы управления рисками в организации. Их использование позволят сэкономить многие недели и даже месяцы высококвалифицированного труда, но не избавляет от необходимости принимать и воплощать самостоятельные решения относительно управления рисками в конкретной организации.

Комплект документов предназначен для специалистов, обладающих определенным уровнем квалификации, хорошо ориентирующихся в стандартах и методах оценки рисков ИБ. Рекомендуется, как минимум, пройти обучение по внедрению СУИБ и управлению рисками ИБ на организуемых GlobalTrust учебных курсах и семинарах.

http://www.globaltrust.ru/obuchenie/

Нужен ли для управления рисками специальный программный инструментарий?

Замкнутый круг, связанный с выбором программного инструментария для оценки рисков, заключается в том, что профессионалу он не очень нужен, а новичку он все равно не поможет.

Разработку и внедрение системы управления рисками неправильно начинать с выбора программного инструментария, т.к. на этой стадии вы еще не в состоянии адекватно сформулировать требования и определить потребность вашей организации в таком инструментарии. В последующем, намного проще будет адаптировать вашу методику для использования специализированного инструментария, нежели адаптировать инструментарий под вашу методику. Последнюю задачу решить практически невозможно. Заметим, что ни международные стандарты, ни существующий передовой опыт в области управления рисками не требуют применения программного инструментария. Поэтому лучше будет отложить это задачу на потом.

Разработанная GlobalTrust методология оценки рисков ИБ не требует применения какого-либо специализированного программного инструментария, хотя при ее разработке и учитывался опыт работы с CRAMM, vsRisk и RA2.

Рекомендуется сначала внедрить в организации политику управления рисками и методологию оценки рисков и провести первоначальную оценку рисков вручную, в соответствии с принятой методологией. Только после этого имеет смысл переходить к выбору инструментария, который бы соответствовал выработанному вами подходу и облегчал бы выполнение основных операций по оценке рисков. Вполне возможно, что специализированный программный инструментарий для оценки рисков вам не понадобится.


Поделись ссылочкой:


©   ООО «Инфосекьюрити»
Тел.: +7 (495) 231-4831   +7 (495) 778-4675Адрес:  Москва, Б.Семеновская, 49


PROFLINE - сайты на Битрикс