КР Основы управления информационной безопасностью
Задание 3
Формат сдачи:
Необходимо прислать на почту выполненное заданиев расширении doc. В теме письма И в названии документа необходимо указать ваше ФИО, группу и номер задания (1, 2 и т.д.). Неопознанные письма/документы проверяться НЕ будут.
Критерии оценки:
При оценивании полученного документа будут проверяться:
· Правильная работа с рекомендательным стандартом в процессе разработки документа.
· Оформление документа (данный пункт не будет оцениваться строго, но в качестве документа лист с требованиями не будет принят).
В случае невыполнения задания в срок при неуважительной причине, максимальная возможная оценка за работу будет снижаться на 1 балл каждую неделю.
Задание.Разработка документа в области ИБ
Материал для выполнения:
· Информация из лекции.
· Информация из семинара.
· Раздаточный материал (текст неофициального перевода ISO/IEC 27001:2013, текст неофициального перевода ISO/IEC 27002:2013).
· Формы/примеры документов
Текст задания
В Задании 2 мы с вами определили, что стандарт ISO/IEC 27001:2013 накладывает требования на наличие сравнительного большого списка документов в рамках СМИБ.
В приложении А также перечислены меры, реализация которых зависит от рисков ИБ. Реализация мер защиты осуществляется организационно-техническими мерами. Для регламентации любой меры необходимо разработать частную Политику ИБ.
В рамках этого задания мы с вами будем специалистами ИБ Компании, которым сообщили, что необходимо внедрить конкретные меры защиты, указанные в Приложении, на основе раннее проведенной оценки рисков. Также мы решили регламентировать процесс защиты с использованием рекомендаций ISO/IEC 27002:2013.
С использованием описания требований, указанных в Приложении А стандарта ISO/IEC 27001:2013, и рекомендаций к этим требованиям из стандарта ISO/IEC 27002:2013 необходимо разработать частную политику, регламентирующую все меры, перечисленные в вашем разделе.
В задании будет перечень вариантов. Каждый студент выбирает вариант в соответствии со своим номером в списке группы (1 – 1 вариант, 2- 2 вариант, 3- 3 вариант, 4 – 4 вариант, 5 -1 вариант и так далее)
Вариант 1А7. Безопасность, связанная с персоналом (А.7.1.1 – А.7.3.1) – «Частная политика работы с персоналом».
Вариант 2A.8 Управление активами (А.8.1.1 – А.8.3.3) – «Частная политика работы с активами».
Вариант 3A.11 Физическая безопасность и защита от природных угроз (А.11.1.1 – А.11.2.9) – «Частная политика физической безопасности»
Вариант 4A.14 Приобретение, разработка и обслуживание систем (А.14.1.1 – А.14.3.1) – «Частная политика разработки систем»
Частные Политики должны быть оформлены как документы, а не просто представлять набор требований. Замечание:Частная политика – это не просто копирование мер, указанных в рекомендательном стандарте, но и их адаптация под стилистику частной политики.
Рекомендуемая структура документа (Разделы могут называться по-другому, их количество может быть другим):
1. Титульный лист
2. Оглавление
3. Термины, сокращения и определения
4. Введение (Примечание: цель документа, для кого предназначен документ)
5. Требования (Необходимо сформулировать требования в рамках вашей главы требований. Требования рекомендуется разделить в соответствии с подразделами. Но также можно несколько подразделов объединить в случае необходимости).
