3. 1. Контроль
Цель этапа - формулирование планов по
безопасности, их реализация, оценка
реализации и включение оценки в годовые
планы по безопасности (планы действий),
составление отчетов, предоставляемых
заказчику
через
процесс
управления
уровнем услуг.
5. 3. Реализация
Задачей этапа реализации
является
выполнение
всех
определенных в планах. Этот
поддерживаться
следующим
списком действий:
Классификация и управление
Безопасность персонала
Управление безопасностью
Контроль доступа
(внедрения)
мероприятий,
этап может
контрольным
ИТ-ресурсами
6. 4. Оценка
самостоятельная оценка: проводится
в
первую
очередь
линейными
подразделениями организации;
внутренний
аудит:
проводится
внутренними ИТ-аудиторами;
внешний аудит: проводится внешними
ИТ-аудиторами.
7. 5. Поддержка
Поддержка мер безопасности включает
поддержку соответствующих разделов по
безопасности соглашений SLA и поддержку
подробных планов по безопасности (на
уровне операционных соглашений об уровне
услуг).
8. 6. Составление отчетов
Этап планирования:
отчеты о степени соответствия соглашению SLA и согласованным
ключевым показателям качества по вопросам безопасности;
отчеты о внешних договорах и связанных с ними проблемах;
отчеты об операционных соглашениях об уровне услуг
(внутренние планы по безопасности) и собственных принципах
безопасности поставщика (например, по базовому уровню
безопасности);
отчеты о годовых планах по безопасности и планах действий.
Этап внедрения:
отчеты о состоянии дел в информационной безопасности. К этому
пункту относятся отчет о выполнении годового плана по
безопасности, перечень осуществленных или намеченных мер,
информация об обучении, результаты дополнительного анализа
рисков и т. д.;
перечень инцидентов, связанных с безопасностью и ответных мер,
возможно, в сравнении с предыдущим отчетным периодом;
определение тенденций возникновения инцидентов;
состояние программы оповещения.
9. 6. Составление отчетов
Этап оценки:
Отчеты об эффективности всех этапов;
результаты аудиторских проверок, анализа и внутренних оценок;
предупреждения, определение новых угроз.
10. Возможные проблемы при
внедрении процесса УИБ
Непонимание необходимости процесса
Человеческие отношения
Большое число изменений системы
Амбиции
Отсутствие систем обнаружения