Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вы здесь: Главная / Продукты / Комплекты документов по информационной безопасности / Комплект типовых документов для управления информационными рисками

Комплект типовых документов для управления рисками информационной безопасности

GTS 1056v3 - Комплект типовых документов для управления рисками информационной безопасности, содержащий более 20 документов необходимых и достаточных для внедрения в организации Системы Менеджмента Информационных Рисков в соответствии с требованиями стандартов ISO 27001, ISO 27005, ISO 31000, BS 7799-3.

Состав комплекта документов GTS 1056v3

В состав нового Комплекта входят все документы, необходимые для внедрения системы управления рисками информационной безопасности организации:

  1. Общее описание
  2. Инструкция по внедрению системы управления рисками информационной безопасности
  3. Политика управления рисками информационной безопасности
  4. Методология оценки рисков информационной безопасности
  5. Опросный лист 1. Оценка угроз
  6. Опросный лист 2. Оценка уязвимостей
  7. Приложение 1: Реестр информационных ресурсов
  8. Приложение 2: Реестр требований безопасности
  9. Приложение 3: Определение ценности активов
  10. Приложение 4: Определение приоритетов аварийного восстановления
  11. Приложение 5: Модель угроз информационной безопасности
  12. Приложение 6: Оценка уровней угроз и уязвимостей
  13. Приложение 7: Критерии оценки ущерба
  14. Приложение 8: Реестр информационных рисков
  15. Приложение 9: Декларация о применимости механизмов контроля
  16. Приложение 10: План обработки рисков
  17. Приложение 11. План аудита безопасности
  18. Приложение 12. План оценки рисков
  19. Приложение 13. Отчет об оценке рисков
  20. Приложение 14. Определение уровня соответствия требованиям ISO 27001

Система управления информационными рисками

Система управления рисками информационной безопасности является фундаментом, на котором должна строиться СУИБ организации. Это самая важная и, вместе с тем, самая сложная для внедрения из всех подсистем, входящих в состав СУИБ. Оценка рисков – это «ахиллесова пята» современных организаций, обычно вызывающая наибольшие затруднения.

Мы обобщили накопленный опыт проведения подобных работ и разработали законченный комплект документов, которые достаточно универсальны и в максимальной степени приближены к реальной практике. Используемая качественная методология оценки рисков находится в полном соответствии с требованиями стандартов ISO 27001 и ISO 27005 (BS 7799-3), а также опирается на известные методы оценки рисков CRAMM, OCTAVE и RA2.

Мы непрерывно совершенствуем разработанную нами методологию управления рисками информационной безопасности. По результатам проектов, выполненных GlobalTrust за 2007-2012 годы, наша методология и соответствующие документы были существенным образом доработаны и заполнены реальными данными. Вам не потребуется что-либо придумывать. Надо лишь дополнить и подкорректировать имеющие данные.

Иерархия документов маленькая

Приобретение комплектов документов

Приобрести комплект документов для управления рисками информационной безопасности GTS 1056, а также стандарты, руководства, книги, инструменты и методики, которые легли в основу его разработки, можно в интернет-магазине GTrust.ru. Поставка GTS 1056 осуществляется в электронном виде в формате MS Word на CD-ROM или по email.

Правила лицензирования

Лицензирование шаблонов типовых документов для управления рисками информационной безопасности производится по количеству систем управления информационной безопасностью (СУИБ), в рамках которых производится использование этих шаблонов. Одна лицензия дает право использования шаблонов в одной организации в рамках одной СУИБ.

Компаниям, предполагающим использование шаблонов документов для оказания услуг другим организациям, требуется приобрести специальную консалтинговую лицензию, либо отдельно приобретать лицензии для каждой организации с учетом скидки на количество приобретаемых лицензий.

Поддержка внедрения

GlobalTrust обеспечивает полную поддержку внедрения процессов управления рисками информационной безопасности и системы управления информационной безопасностью организации, предоставляя услуги по обучению, консалтингу, аудиту и аутсорсингу.

Все клиенты GlobalTrust имеют возможность получения бесплатных консультаций по вопросам применения, внедрения и доработки документов, приобретенных у GlobalTrust, а также по соответствующим процессам управления информационной безопасностью на специализированном портале ISO27000.ru либо по email info@globaltrust.ru.

Политика возврата денег

Мы уверены в том, что разработанные GlobalTrust методология и документы по управлению рисками информационной безопасности окажут неоценимую помощь любой компании, заинтересованной во внедрении СУИР. Несмотря на то, что мы сделали все возможное для того, чтобы разработанные нами документы полностью соответствовали текущей ситуации в области информационной безопасности и реальному опыту управления рисками в российских компаниях, условия ведения бизнеса и ситуация с рисками в организациях могут существенно различаться. В любом случае представленные в настоящем Комплекте документы потребуют определенной доработки, и GlobalTrust окажет Вам в этом необходимую помощь.

Однако, если какой-то из представленных GlobalTrust документов окажется неприменимым к Вашей организации, либо не будет соответствовать своему назначению, либо не будет соответствовать описанию, представленному на официальном сайте GlobalTrust, то Вам необходимо обратиться в GlobalTrust за поддержкой (см. предыдущий параграф) в течении двух недель. Мы обязуемся бесплатно предоставить Вам необходимые консультации, дополнительные данные, либо произвести доработку соответствующего документа в течение недели с момента обращения. В случае если мы не сможем решить проблему в установленный срок, Вам будет предоставлена компенсация в виде возврата денег, уплаченных за соответствующие документы. Размер компенсации оговаривается с клиентом отдельно и зависит от относительного «веса» компенсируемых документов в приобретенном Комплекте.

Источники разработки

Источниками вдохновения (помимо собственного опыта) для разработки данного Комплекта документов послужили:

Часто задаваемые вопросы

Для чего необходим данный Комплект документов?

В настоящее время в мире накоплен значительный опыт в области управления рисками информационной безопасности. Существуют сотни книг, руководств, методик и программных продуктов. Основные требования и общие принципы управления рисками ИБ были определены в международном стандарте ISO 27001 и получили свое развитие в ISO 27005 (BS 7799-3), представляющем собой практическое руководство по управлению рисками. Детальное описание конкретных методов оценки рисков можно найти в широко используемых на практике методологиях, таких как CRAMM или OCTAVE, которые нашли свое воплощение и в соответствующих программных инструментариях, позволяющих в максимальной степени автоматизировать процессы оценки и обработки рисков.

Таким образом, для управления рисками ИБ существует мощная теоретическая и технологическая база. В тоже время, во многих организациях до сих пор отсутствуют формализованные процессы управления рисками информационной безопасности. Такой разрыв между теорией и практикой объясняется тем, что для управления рисками в организации недостаточно приобрести какой-либо программный инструментарий, не удастся также напрямую воспользоваться существующими методологиями и стандартами. Ведь, в конечном итоге, каждая организация должна разработать и внедрить свои собственные процессы управления рисками, а на практике это означает создание соответствующей организационной структуры, разработку документации, проведения обучения и осуществление контроля.

Ключевым моментом является разработка документации для управления рисками. Без этого дальше разговоров дело не пойдет. Только грамотно написанная документация, адекватная текущему положению дел, культуре и потребностям бизнеса организации, позволит перейти к внедрению эффективных и измеримых процессов управления рисками.

Документацию, которая необходима для управления рисками, условно можно разделить на два уровня: нормативный и операционный. Внутренняя нормативная база организации в области управления рисками ИБ представлена «Политикой управления рисками» и «Методологией оценки рисков», которые устанавливают необходимые требования и правила. Эти документы пересматриваются на регулярной основе по мере накопления организацией собственного опыта, изменения ситуации с рисками и развития бизнеса организации.

На более низком, операционном, уровне находятся рабочие документы, которые на каждодневной основе используются для отображения текущей ситуации, анализа рисков, принятия решений по обработки рисков, планирования контрмер, оценки соответствия, измерения эффективности и т.п. В число таких документов входят «Реестр информационных рисков», «Декларация о применимости», «План обработки рисков» и т.д.

Структура документации, необходимая организации для управления рисками показана на рисунке.

Structura

Комплект типовых документов, представленный GlobalTrust, позволяет организации разработать и внедрить собственную систему документации в области управления рисками и, таким образом, соединить существующую теоретическую базу с реальной практикой управления бизнесом.

Что еще, помимо данного Комплекта, необходимо для внедрения процессов управления рисками информационной безопасности?

Комплект типовых документов - это не учебник по управлению рисками. Прежде чем переходить к внедрению системы управления рисками, необходимо как минимум изучить материалы, на базе которых разрабатывались эти документы (два верхних уровня документов, показанных на рисунке). Стандарты, руководства, книги и инструменты для управления рисками можно приобрести в интернет-магазине GTrust.ru.

Универсальных политик и методологий не существует. В Комплекте представлены типовые шаблоны документов в максимальной степени приближенные к практике, которые послужат точкой отсчета для разработки и внедрения системы управления рисками в организации. Их использование позволят сэкономить многие недели и даже месяцы высококвалифицированного труда, но не избавляет от необходимости принимать и воплощать самостоятельные решения относительно управления рисками в конкретной организации.

Комплект документов предназначен для специалистов, обладающих определенным уровнем квалификации, хорошо ориентирующихся в стандартах и методах оценки рисков ИБ. Рекомендуется, как минимум, пройти обучение по внедрению СУИБ и управлению рисками ИБ на организуемых GlobalTrust учебных курсах и семинарах.

Нужен ли для управления рисками специальный программный инструментарий?

Замкнутый круг, связанный с выбором программного инструментария для оценки рисков, заключается в том, что профессионалу он не очень нужен, а новичку он все равно не поможет.

Разработку и внедрение системы управления рисками неправильно начинать с выбора программного инструментария, т.к. на этой стадии вы еще не в состоянии адекватно сформулировать требования и определить потребность вашей организации в таком инструментарии. В последующем, намного проще будет адаптировать вашу методику для использования специализированного инструментария, нежели адаптировать инструментарий под вашу методику. Последнюю задачу решить практически невозможно. Заметим, что ни международные стандарты, ни существующий передовой опыт в области управления рисками не требуют применения программного инструментария. Поэтому лучше будет отложить это задачу на потом.

Разработанная GlobalTrust методология оценки рисков ИБ не требует применения какого-либо специализированного программного инструментария, хотя при ее разработке и учитывался опыт работы с CRAMM, vsRisk и RA2.

Рекомендуется сначала внедрить в организации политику управления рисками и методологию оценки рисков и провести первоначальную оценку рисков вручную, в соответствии с принятой методологией. Только после этого имеет смысл переходить к выбору инструментария, который бы соответствовал выработанному вами подходу и облегчал бы выполнение основных операций по оценке рисков. Вполне возможно, что специализированный программный инструментарий для оценки рисков вам не понадобится.