КР Основы управления информационной безопасностью

Задание 3

Формат сдачи:

Необходимо прислать на почту выполненное заданиев расширении doc. В теме письма И в названии документа необходимо указать ваше ФИО, группу и номер задания (1, 2 и т.д.). Неопознанные письма/документы проверяться НЕ будут.

Критерии оценки:

При оценивании полученного документа будут проверяться:

·       Правильная работа с рекомендательным стандартом в процессе разработки документа.

·       Оформление документа (данный пункт не будет оцениваться строго, но в качестве документа лист с требованиями не будет принят).

В случае невыполнения задания в срок при неуважительной причине, максимальная возможная оценка за работу будет снижаться на 1 балл каждую неделю.

Задание.Разработка документа в области ИБ

Материал для выполнения:

·       Информация из лекции.

·       Информация из семинара.

·       Раздаточный материал (текст неофициального перевода ISO/IEC 27001:2013, текст неофициального перевода ISO/IEC 27002:2013).

·       Формы/примеры документов

Текст задания

В Задании 2 мы с вами определили, что стандарт ISO/IEC 27001:2013 накладывает требования на наличие сравнительного большого списка документов в рамках СМИБ.

В приложении А также перечислены меры, реализация которых зависит от рисков ИБ. Реализация мер защиты осуществляется организационно-техническими мерами. Для регламентации любой меры необходимо разработать частную Политику ИБ.

В рамках этого задания мы с вами будем специалистами ИБ Компании, которым сообщили, что необходимо внедрить конкретные меры защиты, указанные в Приложении, на основе раннее проведенной оценки рисков. Также мы решили регламентировать процесс защиты с использованием рекомендаций ISO/IEC 27002:2013.

С использованием описания требований, указанных в Приложении А стандарта ISO/IEC 27001:2013, и рекомендаций к этим требованиям из стандарта ISO/IEC 27002:2013 необходимо разработать частную политику, регламентирующую все меры, перечисленные в вашем разделе.

В задании будет перечень вариантов. Каждый студент выбирает вариант в соответствии со своим номером в списке группы (1 – 1 вариант, 2- 2 вариант, 3- 3 вариант, 4 – 4 вариант, 5 -1 вариант и так далее)

Вариант 1А7. Безопасность, связанная с персоналом (А.7.1.1 – А.7.3.1) – «Частная политика работы с персоналом».

Вариант 2A.8 Управление активами (А.8.1.1 – А.8.3.3) – «Частная политика работы с активами».

Вариант 3A.11 Физическая безопасность и защита от природных угроз (А.11.1.1 – А.11.2.9) – «Частная политика физической безопасности»

Вариант 4A.14 Приобретение, разработка и обслуживание систем (А.14.1.1 – А.14.3.1) – «Частная политика разработки систем»

Частные Политики должны быть оформлены как документы, а не просто представлять набор требований. Замечание:Частная политика – это не просто копирование мер, указанных в рекомендательном стандарте, но и их адаптация под стилистику частной политики.

Рекомендуемая структура документа (Разделы могут называться по-другому, их количество может быть другим):

1. Титульный лист

2. Оглавление

3. Термины, сокращения и определения

4. Введение (Примечание: цель документа, для кого предназначен документ)

5. Требования (Необходимо сформулировать требования в рамках вашей главы требований. Требования рекомендуется разделить в соответствии с подразделами. Но также можно несколько подразделов объединить в случае необходимости).