Этап 1.
В ходе обследования системы управления информационной безопасностью проводилась оценка следующих защитных мер:
- Наличия политики информационной безопасности, политики управления рисками ИБ, политики управления уязвимостями ИБ, политика использования паролей и др.
- Проверка соответствия местным законодательным актам и лучшим международным практикам управления ИБ.
- Текущего уровня организации информационной безопасности, включая изучение инфраструктуры компании, распределение и управление ролями, ответственности и обязанностей в области информационной безопасности, взаимодействие с органами власти, использование мобильных устройств и организацию удалённой работы.
- Обеспечения информационной безопасности при приёме, увольнении сотрудников, а также во время работы.
- Уровня управления активами, связанными с информацией и средствами обработки информации, включая идентификацию активов, правила работы с документацией, классификацию информации по уровню конфиденциальности, использование различных носителей информации.
- Управления доступом, включая политики управления доступами, доступ к сетям и сетевым сервисам, процедуры регистрации пользователей, предоставления доступа и управления правами доступа.
- Криптографических методов защиты информации.
- Физической безопасности.
- Оценка операционной деятельности по обеспечению информационной безопасности, включая рабочие процедуры и ответственность, защиту от вредоносных программ, резервное копирование, регистрацию и мониторинг событий, управление операционным ПО, управление технической уязвимостью используемых информационных систем и управление аудитом информационных систем.
- Актуальности плана обеспечения непрерывности работоспособности и восстановления деятельности.
- Управления изменениями в системах.
- Управления сетевой безопасностью.
- Приобретения, разработки и сопровождения информационных систем.
- Управления безопасностью в отношениях с поставщиками.
- Управления инцидентами в сфере информационной безопасности.
- Аспектов информационной безопасности при управлении непрерывностью бизнеса.
- Соответствия законодательным и договорным требованиям.
Этап 2.
Разработка документации и процессов СУИБ в соответствии с законодательством Республики Узбекистан и требованиями регулятора (ЦБ РУз) с учетом актуальных рекомендаций от мировых организаций по обеспечению ИБ и КБ (NIST).
Перечень работ:
- Разработка Политики ИБ и ее приложений:
- Положение о корпоративной сети по организации защищенных сетевых соединений;
- Положение об обеспечении ИБ на уровне сетевой инфраструктуры и межсетевое экранирование;
- Положение по обновлению системного и прикладного программного обеспечения, а также резервному копированию и восстановлению данных;
- Правила работы в сети Интернет;
- Правила по организации доступа и разработке матрицы доступа к информационным ресурсам автоматизированной системы;
- Порядок обращения с информацией, подлежащей защите;
- Порядок управления информационными активами;
- Инструкция по парольной защите;
- Положение по антивирусной защите организации;
- План обеспечения непрерывной работы и восстановления работоспособности организации в нештатных ситуациях;
- Инструкция по обеспечению безопасности при работе со съемными носителями данных, мобильными устройствами.
- Разработка регламентов процессов:
- Управление рисками ИБ;
- Управление изменениями в ИТ;
- Обеспечения безопасности конечных точек;
- Управление уязвимостями ИБ;
- Управления пользователями и правами доступа;
- Управление инцидентами ИБ.
Разработаны и прочие документы СУИБ, которые не учтены в данном списке, но являются требованием законодательства Республики Узбекистан и регулятора (ЦБ РУз).
В рамках разработки управляющей документации:
- Проведены встречи с рабочей группой проекта;
- Разработаны и зафиксированы требования к содержимому документации;
- Разработана управляющая документация согласно перечню выше;
Проведены консультации Заказчика по вопросам СУИБ.
