четверг, 24 марта 2011 г.

Откуда ноги растут у уровней соответствия ИБ требованиям СТО БР ИББС-1.0

Согласно СТО БР ИББС-1.2-2010 итоговый уровень соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 (R) выражается в числовом виде значением от 0 до 1.
При этом выделяются 6 уровней соответствия ИБ организации требованиям стандарта, исходя из значения R:
  • нулевой - значение R лежит в интервале от 0 до 0,25;
  • первый - значение R лежит в интервале от 0,25 до 0,5;
  • второй - значение R лежит в интервале от 0,5 до 0,7;
  • третий - значение R лежит в интервале от 0,7 до 0,85;
  • четвертый - значение R лежит в интервале от 0,85 до 0,95;
  • пятый - значение R лежит в интервале от 0,95 до 1 включительно.  
А теперь вопрос: а откуда же взялись эти самые шесть уровней соответствия? Все знают? 

Чтобы ответить на этот вопрос достаточно открыть версии стандарта СТО БР ИББС-1.0 2004 и 2006 годов, в разделе 10 которых ("Модель зрелости процессов управления информационной безопасностью организаций БС РФ") мы и находим ответ: 

"Модель зрелости процессов управления ИБ организации в настоящем стандарте основывается на модели зрелости, определенной стандартом COBIT, которая определяет шесть уровней зрелости организации — с нулевого по пятый".

Далее идет описание этих уровней:
  • Нулевой уровень характеризует полное отсутствие каких либо процессов менеджмента ИБ в рамках деятельности организации. Организация не осознает существования проблем ИБ.
  • Первый уровень (“начальный”) характеризует наличие документально зафиксированных свидетельств осознания организацией существования проблем обеспечения ИБ. Однако используемые процессы управления ИБ не стандартизованы, применяются эпизодически и бессистемно. Общий подход к управлению ИБ не выработан. 
  • Второй уровень (“повторяемый”) характеризует проработанность процессов управления ИБ до уровня, когда их выполнение обеспечивается различными людьми, решающими одну и туже задачу. Однако отсутствуют регулярное обучение и тренировки по стандартным процедурам, а ответственность возложена на исполнителя. Руководство организации в значительной степени полагается на знания исполнителей, что влечет за собой высокую вероятность возможных ошибок.
  • Третий уровень (“определенный”) характеризует то, что процессы стандартизованы, документированы и доведены до персонала посредством обучения. Однако порядок использования данных процессов оставлен на усмотрение самого персонала. Это определяет вероятность отклонений от стандартных процедур, которые могут быть не выявлены. Применяемые процедуры не оптимальны и недостаточно современны, но являются отражением практики, используемой в организации.
  • Четвертый уровень (“управляемый”) характеризует то, что обеспечиваются мониторинг и оценка соответствия используемых в организации процессов. При выявлении низкой эффективности реализуемых процессов управления ИБ обеспечивается их оптимизация. Процессы управления ИБ находятся в стадии непрерывного совершенствования и основываются на хорошей практике. Средства автоматизации управления ИБ используются частично и в ограничен ном объеме.
  • Пятый уровень (“оптимизированный”) характеризует проработанность процессов управления ИБ до уровня лучшей практики, основанной на результатах непрерывного совершенствования и сравнения уровня зрелости относительно других организаций. Защитные меры в организации используются комплексно, обеспечивая основу совершенствования процессов управления ИБ. Организация способна к быстрой адаптации при изменениях в окружении и бизнесе.

В дальнейшем эти уровни зрелости процессов менеджмента ИБ были преобразованы в уровни соответствия СТО БР ИББС-1.2, применяемые ко всему СОИБ (как СИБ, так и СМИБ).

Вот такой вот интересный факт.

Комментариев нет:

Отправить комментарий