Разработка документа, определяющего требования ИБ к системе (процессу менеджмента, услуге)
КОНСУЛЬТАЦИЯ
  • /
  • /
"Жизнь, как хороший ресторан. Что закажешь, то и получишь"
Изабелла Буйвицки
Отсутствие необходимых требований безопасности может привести к крайне негативным последствиям для отдельных бизнес-процессов или даже организации в целом, например, возврат некачественного товара, перепроектирование и переделка системы, потеря данных, судебные иски, невозможность доказать собственную невиновность или предоставить правоохранительным органам доказательства ответственности третьей стороны за вопросы обеспечения ИБ.
Разработка отдельных документов, определяющих требования к процессам, может быть продиктована как требованиями бизнеса, так и регуляторов
Разработка документа, определяющего требования ИБ
Разработка требований ИБ к товару, услуге, процессу является важнейшей задачей, определяющей как все последующие работы, бюджет, так и характеристики результата (товара, услуги, процесса).
Требования к товару
Разработанные требования к товару оформляются в виде технического задания, технических условий или профиля защиты. В таком документе кроме функциональных (прикладных характеристики) продукции (товара, системы), также приводятся требования безопасности продукции (требования к функциям безопасности и требования доверия).
Требования к процессу
Разработка требований к процессу обычно проводится в отношении процесса менеджмента информационной безопасности в соответствии с требованиями ISO 27001 (или его российского аналога ГОСТ Р ИСО/МЭК 27001). Кроме того, требования оформляются к процессам реализации мер защиты информации, таким как менеджмент уязвимостей, менеджмент обновлений, менеджмент конфигураций, выявление инцидентов и реагирование на них, а также к иным бизнес-процессам (например, требования безопасности определяются для процессов управления поставщиками, процесса обработки персональных данных, процесса разработки продукции, содержащей интеллектуальную собственность).
Требования к услугам
Разработанные требования к услугам различного рода (например, хостинга информационных систем в центре обработки данных или в облаке) оформляются в виде технического задания. В таком документе кроме прикладных требований (например, требований к объёму предоставляемого пространства в хранилищах данных), также приводятся требования безопасности оказания услуги (требования к реализуемым мерам защиты информации, требования к оценке соответствия и множество других требований).
Когда нужны требования ИБ?
Разработка отдельных документов, определяющих требования к заказываемым товарам, системам и услугам, обычно применяется в рамках подготовки к конкурсным процедурам по 44-ФЗ и 223-ФЗ.
Основные задачи:
 Определение полного перечня требований ИБ к товару, услуге, процессу.
Оформление перечня требований ИБ в виде документа в соответствии с применимыми требованиями Заказчика и федерального законодательства.
Кому нужна данная услуга?
Крупные и средние коммерческие организации
Органы государственной и муниципальной власти и их подведомственные организации
Подробная информация о функциональности решения, особенностях внедрения и использования
Подробная информация о функциональности решения, особенностях внедрения и использования
В общем случае, порядок оказываемых услуг следующий:
1
Заключение NDA
заключение соглашения о неразглашении конфиденциальной информации между Исполнителем и Заказчиком;
2
Определение Заказчиком ответственного лица, непосредственно с которым будет осуществляться взаимодействие
ориентировочно - руководитель подразделения ИБ или иное лицо, имеющее аналогичную квалификацию;
3
Получение предварительной информации о целях разработки и требованиях к документу
4
Формирование предложений по ожидаемому формату разрабатываемого документа и срокам его разработки
5
Разработка и согласование Плана выполнения работ
по требованию Заказчика;
6
Опрос специалистов Заказчика и третьих лиц
имеющих необходимые для разработки документа сведения, а также запрос предоставления локальных нормативных правовых актов и иных документов Заказчика, предъявляющих требования к разрабатываемому документу (при необходимости);
7
Разработка и согласование проекта документа
по договорённости, возможно согласование по разделам документа.