Какой из перечисленных стандартов является руководством по внедрению суиб

Что подразумевает экспертный менеджмент информационной безопасности?

Стандартом де-факто при построении СУИБ является международный стандарт ISO/IEC 27001. Следование требованием международного стандарта позволяет чётко понять, какая информация и какие активы организации имеют наибольшую ценность, насколько эффективны и достаточны существующие меры по информационной безопасности
и какие приоритеты должны быть установлены при долгосрочном планировании. ISO/IEC 27001 однозначно определяет
и разграничивает ответственность за процессы и подсистемы ИБ и выявляет необходимые финансовые и трудовые ресурсы.

Результаты внедрения СУИБ и ваши преимущества

Результаты внедрения – прозрачность  управления ИБ в организации, снижение величины связанных рисков, оптимизация и возможность обоснования расходов на информационную безопасность. Грамотная СУИБ повышает конкурентоспособность и уровень защищенности активов организации.

Сертификация СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001 с привлечением независимого международного органа по сертификации обеспечивает для клиентов и партнеров организации уверенность в защите их информации и демонстрирует приверженность организации международным стандартам
при выстраивании защищённых процессов производства продукции или оказания услуг.

Расширения международного стандарта
ISO/IEC 27001

Международный стандарт ISO/IEC 27001 является универсальным и применим к деятельности организации любого размера из любой отрасли. В дополнение к нему разработан ряд стандартов, содержащих дополнительные, специфические требования для определённых видов деятельности.

Компании Engineer оказывает услуги по подготовке к сертификации по указанным стандартам:

ISO/IEC 27017

дополнительные требования
по защите облачных сервисов

ISO/IEC 27018

дополнительные требования
при обработке персональных
данных с использованием
публичных облаков

ISO/IEC 27701

дополнительные требования
по организации системы защиты
персональных данных, этот стандарт в полной мере учитывает требования европейского законодательства
по защите перс. данных (GDPR)

ГОСТ Р ИСО/МЭК 27003-2012

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

Information technology. Security techniques. Information security management systems implementation guidance

Предисловие

1 ПОДГОТОВЛЕН Федеральным бюджетным учреждением «Консультационно-внедренческая фирма в области международной стандартизации и сертификации — «Фирма «Интерстандарт» (ФБУ «КВФ «Интерстандарт») совместно с Евро-Азиатской ассоциацией производителей товаров и услуг в области безопасности (Ассоциация ЕВРААС) и ООО «Научно-испытательный институт систем обеспечения комплексной безопасности» (ООО «НИИ СОКБ») на основе собственного аутентичного перевода на русский языкмеждународного стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27003:2010* «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности» (ISO/IEC 27003:2010 «Information technology — Security techniques — Information security management systems implementation guidance»

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. — Примечание изготовителя базы данных.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном указателе «Национальные стандарты», В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)

     1 Область применения

В настоящем стандарте рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения системы менеджмента информационной безопасности (СМИБ) в соответствии со стандартом ISO/IEC 27001:2005. В нем описывается процесс определения и разработки СМИБ от запуска до составления планов внедрения. В нем описывается процесс получения одобрения руководством внедрения СМИБ, определяется проект внедрения СМИБ (упоминается в данном международном стандарте как проект СМИБ) и представлены рекомендации по планированию проекта СМИБ, в результате которого получается окончательный план внедрения СМИБ.

Настоящий международный стандарт предназначен для использования организациями, применяющими СМИБ. Он применяется ко всем типам организаций (например, коммерческим предприятиям, правительственным органам, некоммерческим организациям) любых размеров. Сложность структуры и риски каждой организации уникальны, и на внедрение СМИБ будут влиять ее особые требования. Небольшие организации могут посчитать, что действия, указанные в данном международном стандарте, применимы к ним и могут быть упрощены. Крупным организациям или организациям со сложной структурой для эффективного выполнения действий, указанных в данном международном стандарте, может потребоваться многоуровневая система организации или управления.

Однако в обоих случаях соответствующие действия можно планировать, применяя настоящий стандарт.

Настоящий стандарт содержит рекомендации и разъяснения; в нем не указано никаких требований. Настоящий стандарт предназначен для использования в сочетании с ISO/IEC 27001:2005 и ISO/IEC 27002:2005, но не предназначен для изменения или сокращения требований, указанных в ISO/IEC 27001:2005, или рекомендаций, содержащихся в ISO/IEC 27001:2005.

Предъявление требований на соответствие настоящему стандарту не применяется.

     2 Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие международные стандарты (для недатированных ссылок следует использовать только последнее издание указанного стандарта, включая поправки).

_______________

* Таблицу соответствия национальных стандартов международным см. по ссылке. — Примечание изготовителя базы данных.

ISO/IEC 27000:2009 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология (ISO/IEC 2700:2009, Information technology — Security techniques — Information security management sustems — Overview and vocabulary)

ISO/IEC 27001:2005 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001:2005, Information technology — Security techniques — Information security management sustems — Requirements)

     3 Термины и определения

В настоящем стандарте применены термины и определения по ISO/IEC 27000:2009, ISO/IEC 27001:2005, а также следующий термин с соответствующим определением.

3.1 проект СМИБ (ISMS project) — Структурированные действия, предпринимаемые организацией для внедрения системы управления информационной безопасностью.

     4 Структура настоящего стандарта

     4.1 Общая структура разделов документа

Внедрение системы менеджмента информационной безопасности (СМИБ) является важным видом деятельности и обычно осуществляется в организации как проект. В настоящем стандарте объясняется внедрение СМИБ с подробным описанием запуска, планирования и определения проекта. Процесс планирования конечного внедрения СМИБ включает пять фаз, и каждая фаза представлена в отдельном пункте. Все разделы имеют одинаковую структуру, описываемую ниже. Эти пять фаз следующие:

a) получение одобрения руководства для запуска проекта СМИБ (раздел 5);

b) определения области действия и политики СМИБ (раздел 6);

c) проведение анализа организации (раздел 7);

d) проведение анализа рисков и планирование обработки рисков (раздел 8);

e) разработка СМИБ (раздел 9).

На рисунке 1 представлены пять фаз планирования проекта СМИБ с указанием стандартов ISO/IEC и основных выходных документов.

Рисунок 1 — Фазы проекта СМИБ

Дополнительная информация приведена в приложениях:

Приложение A.  Описание контрольного перечня.

Приложение B. Роли и сферы ответственности в области информационной безопасности.

Приложение C. Информация по внутреннему аудиту.

Приложение D. Структура политики.

Приложение E.  Мониторинг и измерения.

     4.2 Общая структура настоящего  стандарта

a) цель или цели (начиная с того, чего необходимо достичь), указанные в начале каждого раздела в текстовом окне;

b) действие или действия, необходимые для достижения цели или целей данной фазы.

Каждое действие описывается в соответствующем пункте.

Описания действий в каждом подпункте структурированы следующим образом:

Действие определяет, что необходимо сделать для выполнения данного действия, чтобы достичь всех целей или части целей данной фазы.

В исходных данных представлено описание отправной точки, например, наличие документированных решений или выходных данных других действий, описываемых в настоящем стандарте. Исходные данные могут упоминаться как полный набор исходных данных в начале соответствующего пункта или конкретная информация по какому либо действию, которая может добавляться после ссылки на соответствующий пункт.

В рекомендациях содержится подробная информация, позволяющая выполнить данное действие. Некоторые рекомендации могут не соответствовать для применения во всех случаях, и другие способы достижения результата могут быть более оптимальными.

В выходных данных описывается результат(ы) или документ(ы) для сдачи, получаемые после выполнения действия. Выходные данные являются одинаковыми независимо от размера организации и области действия СМИБ.

Дополнительная информация

В разделе дополнительной информации содержится дополнительная информация, которая может помочь в выполнении действия, например, ссылки на другие стандарты.

Примечание — Фазы и действия, описываемые в данном стандарте, включают предлагаемую последовательность выполнения действий на основе зависимостей, определяемых на основе описаний «исходных данных» и «выходных данных» для каждого действия. Однако в зависимости от множества различных факторов (например, эффективности существующей системы управления, понимания важности информационной безопасности, причин внедрения СМИБ) организация может выбирать в любом порядке любые действия, необходимые для подготовки к учреждению и внедрению СМИБ.

     4.3 Схемы

Проект часто изображается в графическом виде или в виде схем, показывающих выполняемые действия и их результаты.

На рисунке 2 показаны условные обозначения на схемах, указываемых в пункте обзора каждой фазы. Схемы обеспечивают обзор высокого уровня действий, входящих в каждую фазу.

Рисунок 2 — Условные обозначения на блок-схеме

В верхнем прямоугольнике показаны фазы планирования проекта СМИБ. Фаза, разъясняемая в конкретном пункте, затем указывается вместе с ключевыми выходными документами.

Нижняя схема (действия в фазе) показывает ключевые действия в указанной фазе верхнего прямоугольника и основные выходные документы каждой фазы.

Временная шкала на нижней схеме основывается на временной шкале верхней схемы.

Действия A и B могут выполняться одновременно. Действие C следует начинать после завершения действий A и B.

     5 Получение одобрения руководства для запуска проекта СМИБ

     5.1 Описание получения одобрения руководства для запуска проекта СМИБ

Существует несколько факторов, которые необходимо учитывать при принятии решения о внедрении СМИБ. Для того чтобы учесть эти факторы, руководство должно рассмотреть деловые аргументы в пользу внедрения проекта СМИБ и утвердить его. Следовательно, цель этой фазы — получить одобрение руководства для запуска проекта СМИБ посредством определения случая применения СМИБ для данного предприятия и плана проекта.

Чтобы получить одобрение руководства, организация должна составить описание случая применения СМИБ для данного предприятия, включающее приоритеты и цели внедрения СМИБ, а также структуру организации для СМИБ. Наряду с этим следует составить начальный план проекта СМИБ.

Работа, выполняемая в данной фазе, позволит организации понять важность СМИБ и определить роли и сферы ответственности в области информационной безопасности внутри организации, требуемые для проекта СМИБ.

Ожидаемым результатом этой фазы будет предварительное разрешение руководства и принятие им обязательства по внедрению СМИБ и выполнению действий, описываемых в данном международном стандарте. Выходные данные в этом пункте включают описание случая применения СМИБ для данного предприятия и предварительный план проекта СМИБ с описанием ключевых этапов.

На рисунке 3 показан процесс получения одобрения руководства для запуска проекта СМИБ.

Рисунок 3 — Описание получения одобрения руководства для запуска проекта СМИБ

Примечание — Выходные данные раздела 5 (документированное поручение руководства на планирование и внедрение СМИБ) и один из документов с выходными данными раздела 7 (документированное описание состояния информационной безопасности) не являются требованиями ISO/IEC 27001:2005. Однако выходные данные по этим действиям являются рекомендованными исходными данными для других действий, описываемых в данном документе.

     5.2 Определение приоритетов организации для разработки СМИБ

Цели внедрения СМИБ должны учитываться при рассмотрении приоритетов и требований организации к информационной безопасности.

a) стратегические цели организации;

b) обзор существующих систем управления;

c) перечень правовых, нормативных и договорных требований к информационной безопасности, применяемых в организации.

Для запуска проекта СМИБ обычно требуется одобрение руководства. Следовательно, первое действие, которое необходимо выполнить — сбор существенной информации, показывающей значение СМИБ для организации. Организация должна определить, зачем нужна система СМИБ, определить цели внедрения СМИБ и запустить проект СМИБ.

Цели внедрения СМИБ можно определить, ответив на следующие вопросы:

a) менеджмент риска — как может СМИБ улучшить управление рисками для информационной безопасности?

b) результативность — как может СМИБ улучшить управление информационной безопасностью?

c) преимущества для предприятия — как может СМИБ создать конкурентные преимущества для организации?

Чтобы ответить на приведенные выше вопросы, необходимо рассмотреть приоритеты и требования организации в области информационной безопасности на основе следующих факторов:

a) важнейшие сферы деятельности предприятия и организации:

1 Что является важнейшими сферами деятельности предприятия и организации?

2 Какие сферы деятельности организации обеспечивают ведение бизнеса и чему уделяется особое внимание?

3 Какие существуют взаимоотношения и соглашения с третьими сторонами?

4 Привлекаются ли сторонние организации для оказания каких-либо услуг?

b) засекреченная или ценная информация:

1 Какая информация является наиболее важной для организации?

2 Какими могли бы быть возможные последствия при разглашении определенной информации неуполномоченным сторонам (например, потеря конкурентных преимуществ, ущерб по отношению к бренду или репутации, судебный иск и т.д.)?

c) законы, делающие обаятельным принятие мер информационной безопасности:

1 Какие законы, относящиеся к обработке риска или информационной безопасности, применяются в организации?

2 Является ли организация публичной глобальной организацией, для которой требуется внешняя финансовая отчетность?

d) контрактные или организационные соглашения, относящиеся к информационной безопасности:

1 Какие требования предъявляются к хранению данных (включая сроки хранения)?

2 Существуют ли контрактные требования, связанные с секретностью или качеством (например, соглашение об уровне услуг — SLA)?

e) отраслевые требования, определяющие конкретные способы управления и меры информационной безопасности:

1 Какие требования, характерные для данной отрасли, применяются к организации?

1 Какие нужны виды защиты и от каких угроз?

2 Для каких отдельных категорий информации требуется защита?

3 Каковы отдельные типы информационной деятельности, требующие защиты?

g) Конкурентные движущие факторы:

1 Какие минимальные требования к информационной безопасности существуют на рынке?

2 Какие дополнительные способы менеджмента информационной безопасности могут быть стимулированы конкурентными преимуществами организации?

h) требования непрерывности бизнес-процессов

1 Каковы существуют важнейшие бизнес-процессы?

2 Как долго организация может выдерживать приостановки каждого из важнейших бизнес-процессов?

Предварительную область действия СМИБ можно определить, ответив на приведенные выше вопросы. Это также необходимо для того, чтобы определить случай применения СМИБ для данного предприятия и общий план проекта СМИБ для утверждения руководством. Подробная область действия СМИБ должна быть определена во время составления проекта СМИБ.

Требования, указанные в ISO/IEC 27001:2005, ссылка 4.2.1 a), определяют область действия на основе характеристик предприятия, организации, местонахождения, активов и технологий. Определению этих факторов способствует информация, полученная на основе вышеуказанных вопросов.

Перечень некоторых тем, которые необходимо рассмотреть при принятии первоначальных решений, касающихся области действия СМИБ:

a) каковы обязательные требования к менеджменту информационной безопасности, определенные руководством организации, и обязательства, накладываемые на организацию извне?

b) несут ли ответственность за предлагаемые системы в рамках области действия СМИБ руководящие группы (например, сотрудники разных филиалов и отделов)?

c) как будут передаваться документы, связанные с СМИБ, внутри организации (например, на бумаге или через корпоративную сеть)?

d) могут ли существующие системы управления удовлетворять потребности организации? Являются ли они полнофункциональными, поддерживаются ли в работоспособном состоянии и функционируют ли, как это необходимо?

Примеры целей управления, которые могут использоваться в качестве исходных данных для определения предварительной области действия СМИБ, включают:

a) содействие непрерывности бизнес-процессов и восстановлению их в чрезвычайных ситуациях;

b) повышение устойчивости к инцидентам;

c) внимание к соответствию законам (условиям) контракта и обязательствам;

d) обеспечение возможности сертификации по другим стандартам ISO/IEC;

e) обеспечение развития и положения организации;

f) снижение затрат на управление безопасностью;

g) защита стратегически важных активов;

h) создание благоприятной и эффективной среды внутреннего управления;

i) обеспечение уверенности заинтересованных сторон в том, что информационные активы соответствующим образом защищены.

Выходные данные после выполнения этого действия следующие:

a) документ, излагающий цели, приоритеты в области информационной безопасности и требования организации к СМИБ;

b) перечень законных, контрактных и отраслевых требований к информационной безопасности организации;

c) описание характеристик предприятия, организации, местонахождения, активов и технологий.

Дополнительная информация

ISO/IEC 9001:2008, ISO/IEC 14001:2004, ISO/IEC 20000-1:2005.

     5.3 Определение предварительной области действия СМИБ

5.3.1 Разработка предварительной области действия СМИБ

Цели, связанные с внедрением СМИБ, должны включать определение предварительной области действия СМИБ, которая необходима для проекта СМИБ.

Выходные данные действия 5.2, определение приоритетов организации для разработки СМИБ.

Чтобы осуществить проект внедрения СМИБ, необходимо определить структуру организации для реализации СМИБ. Предварительная область действия СМИБ должна быть определена, чтобы обеспечить для руководства рекомендации для принятия решений по внедрению системы и поддержать дальнейшие действия.

Предварительная область действия СМИБ нужна для того, чтобы определить случай применения СМИБ для данного предприятия и предложить план проекта для утверждения руководством.

Выходные данные на этом этапе должны представлять собой документ, определяющий предварительную область действия СМИБ, а именно:

a) изложение обязательных требований к менеджменту информационной безопасности, определяемых руководством организации, и обязательств, накладываемых на организацию извне;

b) описание того, как части области действия системы взаимодействуют с другими системами управления;

c) перечень целей предприятия в области менеджмента информационной безопасности (как определено в пункте 5.2);

d) перечень важнейших бизнес-процессов, информационных активов, организационных структур и регионов, где будет использоваться СМИБ;

e) соотношение существующих систем управления, регулирования, соответствия и целей организации;

f) характеристики предприятия, организация, местонахождение, активы и технологии.

Необходимо определить общие элементы и практические различия между существующими системами управления и предлагаемой СМИБ.

Выходные данные представляют собой документ, описывающий предварительную область действия СМИБ.

Дополнительная информация

Дополнительной специальной информации не требуется.

Примечание — Следует обратить особое внимание на то, что в случае сертификации должны быть выполнены особые требования к документации согласно ISC/IEC 27001:2005 в том, что касается области действия СМИБ, независимо от существующей в организации системы управления.

5.3.2 Определение ролей и сфер ответственности для предварительной области действия СМИБ

Необходимо определить общие роли и сферы ответственности для предварительной области действия СМИБ.

a) выходные данные действия 5.3.1, разработка предварительной области действия СМИБ;

b) список заинтересованных сторон, которые получат выгоду в результате реализации проекта СМИБ.

Для осуществления проекта СМИБ необходимо определить роль организации в реализации проекта. Эта роль обычно различается в разных организациях, что обусловлено количеством людей, имеющих дело с информационной безопасностью. Организационная структура и ресурсы для обеспечения информационной безопасности различаются в зависимости от размера, типа и структуры организации. Например, в небольших организациях несколько функций может выполнять один человек. Однако руководство организации должно однозначно определить его роль (обычно начальник отдела информационной безопасности, управляющий по информационной безопасности и т.п.) с полной ответственностью за менеджмент информационной безопасности, а для сотрудников должны быть определены роли и сферы ответственности на основе квалификации, требуемой для выполняемой работы. Это важно для обеспечения эффективного выполнения задач.

Наиболее важными соображениями при определении ролей в области менеджмента информационной безопасности являются следующие:

a) полная ответственность за выполнение задач остается на уровне руководства;

b) одно лицо (обычно начальник отдела информационной безопасности) назначается для содействия и координации процессов обеспечения информационной безопасности;

c) каждый работник несет равную ответственность за выполнение своей первоначальной задачи и обеспечение информационной безопасности на рабочем месте и в организации.

Должностные лица, занятые в менеджменте информационной безопасности, должны работать совместно; этому может содействовать создание форума по информационной безопасности или аналогичного органа.

Необходимо осуществлять (и документировать) взаимодействие с соответствующими специалистами предприятия на всех этапах разработки, внедрения, использования и поддержания СМИБ.

Представители подразделений, входящих в определенную область действия системы (например, менеджмент риска), являются потенциальными членами группы по внедрению СМИБ. Эта группа должна иметь минимально необходимую с практической точки зрения численность для быстрого и эффективного использования ресурсов. В эту группу могут входить не только представители подразделений, выполняющих задачи в определенной области действия системы (например, в области менеджмента риска), которые являются потенциальными членами группы по внедрению СМИБ, но также и представители других подразделений, например юридического отдела, административного отдела. Эта группа должна иметь минимально необходимую с практической точки зрения численность для быстрого и эффективного использования ресурсов.

Выходные данные представляют собой документ или таблицу, описывающую роли и сферы ответственности с указанием имен и организацию, необходимую для успешного внедрения СМИБ.

Дополнительная информация

В Приложении B представлена подробная информация по ролям и сферам ответственности, необходимым в организации для успешного внедрения СМИБ.

     5.4 Разработка технического обоснования и плана проекта для получения санкции руководства

Одобрение руководства и выделение ресурсов для реализации проекта внедрения СМИБ должны быть получены путем определения случая применения СМИБ для данного предприятия и предложения проекта СМИБ.

a) выходные данные действия 5.2, определение приоритетов организации для разработки СМИБ;

b) выходные данные действия 5.3, определение предварительной области действия СМИБ — документы предварительные.

1 Область действия СМИБ и

2 Связанные с ней роли и сферы ответственности.

Информация по случаю применения СМИБ для данного предприятия и первоначальный план проекта СМИБ должны включать определенные временные шкалы, ресурсы и этапы, требуемые для выполнения основных действий, указанных в пунктах 6-9 данного национального стандарта.

Определение случая применения СМИБ для данного предприятия и первоначальный план проекта СМИБ служат основой проекта, но также обеспечивают выделение и утверждение руководством ресурсов, требуемых для внедрения СМИБ. То, как применяемая СМИБ будет подкреплять цели предприятия, способствует эффективности организационных процессов и повышает эффективность работы предприятия.

Информация по случаю применения СМИБ для данного предприятия должна включать короткие заявления, связанные с целями организации, и охватывать следующие вопросы:

a) цели и конкретные задачи;

b) выгоды для организации;

c) предварительная область действия СМИБ, включая затрагиваемые бизнес-процессы;

d) важнейшие процессы и факторы для достижения целей СМИБ;

e) описание проекта высокого уровня;

f) первоначальный план внедрения системы;

g) определенные роли и сферы ответственности;

h) требуемые ресурсы (технологические и людские);

i) соображения, касающиеся внедрения системы, включая существующую систему информационной безопасности;

j) временная шкала с ключевыми этапами;

k) предполагаемые затраты;

I) важнейшие факторы успеха;

m) количественное определение выгод для организации.

План проекта должен включать соответствующие действия из фаз, описываемых в пунктах 6-9 данного международного стандарта.

Лица, влияющие на СМИБ или находящиеся под ее влиянием, должны быть определены; им должно быть предоставлено необходимое время для того, чтобы изучить и прокомментировать описание случая применения СМИБ для данного предприятия и предложение по проекту СМИБ. Описание случая применения СМИБ для данного предприятия и предложение по проекту СМИБ должны при необходимости обновляться по мере появления исходных данных. При получении достаточной поддержки описание случая применения СМИБ для данного предприятия и предложение по проекту СМИБ должны быть представлены руководству для утверждения.

Руководство должно утвердить описание случая применения СМИБ для данного предприятия и первоначальный план проекта, чтобы составить поручения для всей организации и начать реализацию проекта СМИБ.

Предполагаемые выгоды от поручения руководства на внедрение СМИБ следующие:

a) знание и применение соответствующих законов, норм, договорных обязательств и стандартов, касающихся информационной безопасности, которое позволит избежать ответственности и взысканий в случае несоответствия;

b) эффективное использование множества процессов обеспечения информационной безопасности;

c) устойчивость и растущая уверенность в росте благодаря лучшему менеджменту риска информационной безопасности;

d) определение и защита важной для предприятия информации.

Выходные данные этого действия следующие:

a) документированное одобрение руководством выполнения проекта СМИБ с распределенными ресурсами;

b) документированное описание случая применения СМИБ для данного предприятия;

c) начальное предложение по проекту СМИБ с основными этапами, такими как выполнение оценки риска, реализация проекта, внутренний аудит и проверки, осуществляемые руководством.

Дополнительная информация

SO/IEC 27000:2009 в качестве примеров важнейших факторов успеха в подкрепление описания случая применения СМИБ для данного предприятия.

     6 Определение области действия СМИБ, границ и политики СМИБ

     6.1 Общее описание определения области действия СМИБ, границ и политики СМИБ

Одобрение руководства для внедрения СМИБ основывается на предварительном определении области действия СМИБ, случая применения СМИБ для данного предприятия и первоначальном плане проекта. Подробное определение области действия и границ СМИБ, определение политики СМИБ и ее принятие и поддержка руководством являются ключевыми первичными факторами для успешного внедрения СМИБ.

Следовательно, цели этой фазы следующие:

Цели: Детально определить область действия и границы СМИБ, разработать политику СМИБ и получить одобрение руководства.

ISO/IEC 27001:2005, ссылки: 4.2.1 a) и 4.2.1 b).

Чтобы достичь цели «детального определения области действия и границ СМИБ», необходимо выполнить следующие действия:

a) определить организационную область действия и границы:

b) область действия и границы информационных и коммуникационных технологий (ИКТ) и

c) физическую область действия и границы;

d) определенные характеристики в ISO/IEC 27001:2005, ссылки 4.2.1 a) и b), т.е. аспекты области действия и границ, связанные с предприятием, организацией, местонахождением, активами и технологиями, и политика формируются в процессе определения этой области действия и границ;

e) введение элементарной области действия и границ для получения области действия и границ СМИБ.

Для достижения определения политики СМИБ и получения одобрения руководства необходимо отдельное действие.

Чтобы построить эффективную систему управления для организации, необходимо детально определить область действия СМИБ с учетом важнейших информационных активов организации. Важно иметь общую терминологию и систематический подход для определения информационных активов и оценки жизнеспособных механизмов обеспечения безопасности. Это обеспечивает простоту коммуникации и способствует устойчивому пониманию всех фаз внедрения системы. Также важно обеспечить включение в область действия системы важнейших подразделений организации.

Можно определить область действия СМИБ, чтобы охватить всю организацию или ее часть, например подразделение или четко ограниченный вспомогательный элемент. Например, в случае оказания «услуг» клиентам областью действия СМИБ может быть система управления услугами или пересекающимися функциями (целое подразделение или часть подразделения). Требования ISO/IEC 27001:2005 должны быть выполнены для получения сертификации независимо от систем управления, существующих в организации.

Определение организационной области действия и границ, области действия и границ технологии передачи информации (6.3) и физической области действия и границ (6.4) не всегда должно выполняться последовательно. Однако полезно указать на уже полученные области действия и границы при определении других областей действия и границ.

     6.2 Определение организационной области действия и границ

Необходимо определить организационную область действия и границы.

a) выходные данные действия 5.3, определение предварительной области действия СМИБ — документированная предварительная область действия СМИБ, охватывающая:

1 Соотношения существующих систем управления, регулирования, соответствия и целей организации;

2 Характеристики предприятия, организации, его или ее местонахождения, активов и технологий.

b) выходные данные действия 5.2, определение приоритетов организации для разработки СМИБ — документированное утверждение руководством внедрения СМИБ и запуск проекта с необходимыми распределенными ресурсами.

На рисунке 4 представлено общее описание определения области действия, границ и политики СМИБ.

Рисунок 4 — Общее описание определения области действия, границ и политики СМИБ

Степень усилий, требуемых для внедрения СМИБ, зависит от величины области действия, к которой эти усилия прилагаются. Этот фактор также может повлиять на все действия, связанные с поддержанием информационной безопасности элементов, входящих в область действия системы (например, процессов, материальных объектов, информационных систем и людей), включая внедрение и содержание средств управления операциями и выполнение таких задач, как определение информационных активов и оценка риска. Если руководство решает исключить некоторые части организации и области действия СМИБ, причины такого решения также должны быть документированы.

Когда определена область действия СМИБ, важно, чтобы границы были достаточно ясными, чтобы объяснить их сотрудникам, участвующим в их определении.

Некоторые меры и средства контроля и управления, касающиеся информационной безопасности, могут уже существовать в организации в результате ввода в действие других систем управления. Их следует учитывать при планировании СМИБ, но они необязательно определяют границы области действия существующей системы СМИБ.

Одним из методов определения организационных границ является определение сфер ответственности, не перекрывающих друг друга, чтобы облегчить назначение подотчетности в организации.

Сферы ответственности, напрямую связанные с информационными активами или производственными процессами, включаемые в область действия СМИБ, должны выбираться как часть организации, находящейся под контролем СМИБ. При определении организационных границ следует учитывать следующие факторы:

a) форум по менеджменту СМИБ должен состоять из руководящих работников, непосредственно связанных с областью действия СМИБ;

b) членом руководства, ответственным за СМИБ, должен быть сотрудник, в конечном счете отвечающий за все затронутые сферы ответственности (т.е. его роль должна диктоваться его сферой контроля и ответственности в организации);

c) в случае, если сотрудник, отвечающий за управление СМИБ, не является членом высшего руководства, необходим поручитель высшего руководства, представляющий интересы информационной безопасности и действующий в качестве защитника СМИБ на высших уровнях организации;

d) область действия и границы необходимо определить для того, чтобы быть уверенным в том, что все связанные активы принимаются в расчет при оценке риска, и охватить риски, которые могут выйти за пределы этих границ.

На основе такого подхода анализируемые организационные границы должны определять всех сотрудников, попадающих под действие СМИБ, и эти границы должны быть включены в область действия системы. Определение сотрудников может быть связано с процессами и (или) функциями в зависимости от выбранного подхода. Если некоторые процессы в организации выполняются третьими сторонами, эти зависимости должны быть четко документированы. Такие зависимости подлежат дополнительному анализу в проекте внедрения СМИБ.

Выходные данные этого действия следующие:

a) описание организационных границ СМИБ, включая обоснования исключения каких-либо частей организации из области действия СМИБ;

b) функции и структура частей организации, находящихся в области действия СМИБ;

c) определение информации, подлежащей обмену в рамках области действия системы, и информации, обмен которой осуществляется через границы;

d) процессы в организации и сферы ответственности за информационные активы в области действия системы и за ее пределами;

e) процесс в иерархии принятия решений, а также ее структура в рамках СМИБ.

Дополнительная информация

Дополнительная специальная информация не требуется.

     6.3 Определение области действия и границ для информационных и коммуникационных технологий (ИКТ)

Необходимо определить область действия и границы элементов информационных и коммуникационных технологий (ИКТ) и другие технологические элементы, подпадающие под действие системы СМИБ.

a) выходные данные действия 5.3, определение предварительной области действия СМИБ — документ с описанием предварительной области действия СМИБ;

b) выходные данные действия 6.2, определение организационной области действия и границ.

Определение области действия и границ ИКТ может быть получено на основе анализа имеющихся информационных систем (вместо подхода на основе информационных технологий). Когда принимается решение руководства о включении процессов информационной системы в область действия СМИБ, необходимо также рассмотреть все связанные элементы ИКТ. Эти элементы включают все части организации, которые хранят, обрабатывают или передают важную информацию, активы или являются важными для других частей организации, входящих в область действия системы. Информационные системы могут охватывать границы организации или государства. В любом случае необходимо принять во внимание следующие факторы:

a) социально-культурная среда;

b) законные, обязательные или контрактные требования, применяемые к организациям;

c) подотчетность за ключевые сферы ответственности;

d) технические ограничения (например, доступная ширина полосы частот, наличие сервиса и т.д.).

Если принять во внимание вышесказанное, границы ИКТ, если это практически применимо, должны включать описание следующих элементов:

a) инфраструктура связи, в которой ответственность за ее управление входит в компетенцию организации, располагающей различными технологиями (например, беспроводные и проводные сети или сети передачи данных и телефонной связи);

b) программное обеспечение в рамках организационных границ, используемое и контролируемое организацией;

c) аппаратное обеспечение ИКТ, требуемое для сети или сетей, приложений или производственных систем;

d) роли и сферы ответственности, связанные с аппаратным обеспечением ИКТ, сетью и программным обеспечением.

Если один или более из вышеприведенных пунктов не контролируется организацией, необходимо документировать зависимости от третьих сторон. См. 6.2, рекомендации.

Выходные данные этого действия следующие:

a) информация, обмен которой осуществляется в рамках области действия системы, и информация, обмен которой осуществляется через границы;

b) границы ИКТ для СМИБ с обоснованием исключения каких-либо элементов ИКТ, находящихся под управлением организации, из области действия СМИБ;

c) информация об информационных системах и телекоммуникационных сетях, описывающая, какие из них находятся в пределах области действия системы СМИБ вместе с ролями и сферами ответственности для этих систем. Также необходимо кратко описать системы, не входящие в область действия СМИБ.

Дополнительная информация

Дополнительная специальная информация не требуется.

     6.4 Определение физической области действия и границ

Необходимо определить физическую область действия и границы, которые должны охватываться СМИБ.

a) выходные данные действия 5.3, определение предварительной области действия СМИБ — документ с описанием предварительной области действия СМИБ;

b)  выходные данные действия 6.2, определение организационной области действия и границ;

c) выходные данные действия 6.3, определение области действия и границ информационных и коммуникационных технологий (ИКТ).

Определение физической области действия и границ состоит в определении помещений, объектов и оборудования в организации, которые должны стать частью СМИБ. При этом сложнее работать с информационными системами, пересекающими физические границы, и для этого требуется:

a) периферийное оборудование;

b) средства связи с информационными системами клиентов и обслуживание, предоставляемое третьими сторонами;

c) применение соответствующих средств связи и уровней обслуживания.

Если принять во внимание вышесказанное, физические границы, если это практически применимо, должны включать описание следующих элементов:

a) описания функций или процессов с учетом их физического местонахождения и степени контроля их организацией;

b) специальное оборудование, используемое для хранения (размещения) аппаратного обеспечения ИКТ или данных, применяемых в системе СМИБ (например, на резервных пленках), на основе покрытия границ ИКТ.

Если один или более из вышеприведенных пунктов не контролируется организацией, необходимо документировать зависимости от третьих сторон (см. 6.2, Рекомендации).

Выходные данные этого действия следующие:

a) описание физических границ СМИБ с обоснованием для исключения каких-либо физических границ, находящихся под управлением организации, из области действия СМИБ;

b) описание организации и ее географических характеристик, относящихся к области действия СМИБ.

Дополнительная информация

Дополнительная специальная информация не требуется.

     6.5 Объединение всех областей действия и границ для получения области действия и границ СМИБ

Область действия и границы СМИБ должны быть получены путем объединения всех областей действия и границ.

a) выходные данные действия 5.3, определение предварительной области действия СМИБ — документ с описанием предварительной области действия СМИБ;

b) выходные данные действия 6.2, определение организационной области действия и границ;

c) выходные данные действия 6.3, определение области действия и границ информационных и коммуникационных технологий (ИКТ);

d) выходные данные действия 6.4, определение физической области действия и границ.

Область действия СМИБ можно описать и обосновать различными способами. Например, можно выбрать физический объект — центр обработки и хранения данных или офис и перечислить важнейшие процессы, каждый из которых охватывает области за пределами центра обработки и хранения данных, вводя эти элементы, находящиеся за пределами центра обработки и хранения данных, в область действия СМИБ. Одним из таких важнейших процессов может быть, например, мобильный доступ к центральной информационной системе.

Выходные данные этого действия представляют собой документ, описывающий область действия и границы СМИБ и содержащий следующую информацию:

a) ключевые характеристики организации (функция, структура, услуги, активы и область действия и границы ответственности для каждого актива);

b) процессы в организации, находящиеся в области действия СМИБ;

c) конфигурация оборудования и сетей, находящихся в области действия СМИБ;

d) предварительный перечень информационных активов, находящихся в области действия СМИБ;

e) перечень активов ИКТ, находящихся в области действия СМИБ (например, серверов);

f) схемы объектов, находящихся в области действия СМИБ, определяющие физические границы СМИБ;

g) описание ролей и сфер ответственности в рамках СМИБ и их связи со структурой организации;

h) подробное описание и обоснование исключений каких-либо элементов из области действия СМИБ.

Дополнительная информация

Дополнительная специальная информация не требуется.

     6.6 Разработка политики СМИБ и получение одобрения руководства

Необходимо разработать политику СМИБ и получить одобрение руководства.

a) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ СМИБ — документированная область действия и границы СМИБ;

b) выходные данные действия 5.2, определение приоритетов организации для разработки СМИБ — документированные цели внедрения СМИБ;

c) выходные данные действия 5.4, составление описания случая применения СМИБ для данного предприятия и проекта плана для утверждения руководством — документы:

1 Требования и приоритеты организации в области информационной безопасности;

2 Первоначальный проект плана внедрения СМИБ с основными этапами, такими как проведение оценки риска, внутренний аудит и проверка, осуществляемая руководством.

При определении политики СМИБ следует принять во внимание следующие аспекты:

a) установить цели СМИБ на основе требований и приоритетов организации в области информационной безопасности;

b) установить общие фокусные точки и руководства к действию для достижения целей СМИБ;

c) учесть законные обязательные требования организации и договорные обязательства, связанные с информационной безопасностью;

d) ситуация с управлением рисками в организации;

e) установить критерии для оценки рисков (см. ISO/IEC 27005:2008) и определения структуры оценки риска;

f) определить сферы ответственности руководителей высшего уровня в отношении СМИБ;

g) получить одобрение руководства.

Выходные данные представляют собой документ, описывающий и документирующий утвержденную руководством политику СМИБ. Этот документ должен быть повторно утвержден в следующей фазе проекта, поскольку зависит от результатов оценки риска.

Дополнительная информация

Стандарт ISO/IEC 27005:2008 содержит дополнительную информацию по критериям оценки риска.

     7 Проведение анализа требований к информационной безопасности

     7.1 Общее описание проведения анализа требований к информационной безопасности

Анализ текущего положения в организации важен, поскольку существуют требования и информационные активы, которые необходимо принять во внимание при внедрении СМИБ. Действия, описываемые в этой фазе, могут предприниматься в основном параллельно с действиями, описываемыми в разделе 6, из соображений эффективности и практичности.

Определить соответствующие требования, которым должна соответствовать система СМИБ, определить информационные активы и получить данные по текущему состоянию информационной безопасности в рамках области действия СМИБ

ISO/IEC 27001:2005, ссылки: 4.2.1. c) 1) частично, 4.2.1. d), 4.2.1. e)

Информация, собранная в процессе анализа информационной безопасности, должна:

a) стать основной для управления (т.е. должна иметь корректные базовые данные);

b) определять и документировать условия для внедрения СМИБ;

c) обеспечивать четкое и обоснованное понимание возможностей организации;

d) учитывать определенные обстоятельства и положение в организации;

e) определять требуемый уровень защиты информации;

f) определять сбор и обработку информации, требуемые для всего предприятия или его части, находящейся в рамках предложенной области действия СМИБ.

     7.2 Определение требований к информационной безопасности для процесса СМИБ

Необходимо проанализировать и определить подробные требования к информационной безопасности для процесса СМИБ.

a) выходные данные действия 5.2, определение приоритетов организации для разработки СМИБ — документы:

1 Краткое изложение целей, приоритетов в области информационной безопасности и требований организации к системе СМИБ;

2 Перечень регулирующих, контрактных и отраслевых ограничений, относящихся к информационной безопасности организации.

b) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ СМИБ — область действия и границы СМИБ;

c) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ.

Для первого этапа требуется собрать всю вспомогательную информацию для СМИБ. Для каждого процесса в организации и задачи для специалиста требуется принять решение в отношении того, насколько важной является информация, т.е. какой требуется уровень защиты. На информационную безопасность могут влиять множество внутренних условий, их необходимо определить. На данном этапе нет необходимости в подробном описании информационной технологии. Требуется базовое краткое описание проанализированной информации по процессам в организации и связанным приложениям и системам ИКТ.

На рисунке 5 представлено описание проведения фазы определения требований к информационной безопасности.

Рисунок 5 — Описание проведения фазы определения требований к информационной безопасности

Анализ процессов в организации дает информацию о влияниях инцидентов информационной безопасности на деятельность организации. Во многих случаях достаточно работы с базовым описанием процессов в организации. Процессы, функции, объекты, информационные системы и коммуникационные сети необходимо определить и документировать, если они еще не были включены как часть области действия СМИБ.

Для получения подробных требований к информационной безопасности для СМИБ следует рассмотреть следующие вопросы:

a) предварительное определение важных информационных активов и текущего состояния защиты информации;

b) определение представлений организации и влияния определенных представлений на будущие требования к информационной безопасности;

c) анализ существующих форм обработки информации, системного программного обеспечения, коммуникационных сетей, определения действий и ресурсов для информационных технологий и т.д.;

d) определение всех существенных требований (например, законных и обязательных требований, договорных обязательств, требований организации, отраслевых стандартов и соглашений с клиентами, условий страхования и т.д.);

e) определение уровня информированности в области информационной безопасности и определение требований к обучению и образованию в отношении каждого функционального и административного подразделения.

Выходные данные этого действия следующие:

a) определение основных процессов, функций, объектов, информационных систем и коммуникационных сетей;

b) информационные активы организации;

c) классификация важнейших процессов (активов);

d) требования к информационной безопасности, сформулированные на основе законных, обязательных и контрактных требований;

e) перечень известных уязвимостей, которые должны быть устранены в результате выполнения требований к информационной безопасности;

f) требования к обучению и образованию в области информационной безопасности в организации.

Дополнительная информация

Дополнительная специальная информация не требуется.

     7.3 Определение активов в рамках области действия СМИБ

Необходимо определить активы, которые должны поддерживаться системой СМИБ.

a) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ СМИБ — область действия и границы СМИБ;

b) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

c) выходные данные действия 7.2, определение требований к информационной безопасности для процесса СМИБ.

Для определения активов в рамках области действия СМИБ необходимо определить и указать следующую информацию:

a) уникальное наименование процесса;

b) описание процесса и связанные с ним действия (создание, хранение, передача, удаление);

c) важность процесса для организации (критический, важный, вспомогательный);

d) владелец процесса (подразделение организации);

e) процессы, обеспечивающие исходные и выходные данные этого процесса;

f) приложения ИТ, поддерживающие процесс;

g) классификация информации (конфиденциальность, сохранность, доступность, контроль доступа, неотказуемость и (или) другие важные для организации свойства, например, как долго может храниться информация).

Выходные данные этого действия следующие:

a) определенные информационные активы основных процессов в организации в рамках области действия СМИБ;

b) классификация важнейших процессов и информационных активов с точки зрения информационной безопасности.

Дополнительная информация

Дополнительная специальная информация не требуется.

     7.4 Проведение оценки информационной безопасности

Необходимо провести оценку информационной безопасности путем сравнения текущего состояния информационной безопасности в организации с целями организации.

a) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ СМИБ — область действия и границы СМИБ;

b) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

c) выходные данные действия 7.2, определение требований к информационной безопасности для процесса СМИБ;

d) выходные данные действия 7.3, определение активов в рамках области действия СМИБ.

Оценка информационной безопасности — это действия по определению существующего уровня информационной безопасности (т.е. процедур по защите информации, применяемых в организации в настоящее время). Фундаментальной целью оценки информационной безопасности является предоставление информации, подкрепляющей описание, требуемое для системы управления, в форме политики и рекомендаций. Необходимо обеспечить, чтобы выявленные недостатки устранялись параллельно, с помощью плана приоритетных действий. Все вовлеченные стороны должны быть ознакомлены с результатами анализа организации, стандартными документами и иметь доступ к соответствующим руководящим работникам.

При оценке информационной безопасности анализируется текущая ситуация в организации путем использования следующей информации и определяется текущее состояние информационной безопасности и недостатки в документации:

a) изучение предпосылок на основе важнейших процессов;

b) классификация информационных активов;

c) требования организации к информационной безопасности.

Результаты оценки информационной безопасности вместе с целями организации часто являются важной частью стимуляции будущей работы в области информационной безопасности. Оценка информационной безопасности должна проводиться внутренним или внешним проверяющим, независимым по отношению к организации.

Участвовать в оценке информационной безопасности должны лица, хорошо знающие существующую среду, условия и ясно представляющие, что является важным в отношении информационной безопасности. Эти лица должны выбираться таким образом, чтобы представлять широкий круг работников организации. Круг таких лиц должен включать:

a) линейных руководителей (например, начальников подразделений организации);

b) владельцев процессов (т.е. представителей важных подразделений организации);

c) других лиц, хорошо знающих существующую среду, условия и то, что является важным в отношении информационной безопасности. Например, пользователи бизнес-процессов, а также сотрудники, выполняющие оперативные, административные и юридические функции.

Для успешной оценки информационной безопасности важными являются следующие действия:

a) определение и перечисление соответствующих стандартов организации (например, ISO/IEC 27002:2005);

b) определение известных требований к управлению, установленных на основе политики, законных и обязательных требований, договорных обязательств, результатов прошедших проверок или оценок рисков;

c) использование этих документов в качестве справочных для приблизительной оценки существующих требований организации, касающихся уровня информационной безопасности.

Назначение приоритетов в сочетании с анализом организации создает основу, для которой должны рассматриваться предупредительные мероприятия по безопасности и проверки (контроль).

Подход к проведению оценки информационной безопасности следующий:

a) выбрать важные бизнес-процессы в организации и этапы процессов, касающиеся требований к информационной безопасности;

b) составить подробную блок-схему, охватывающую основные процессы в организации, включая инфраструктуру (логическую и техническую), если она еще не была составления во время анализа организации;

c) обсудить и проанализировать с ключевыми сотрудниками существующую ситуацию в организации в отношении требований к информационной безопасности. Например, какие процессы являются критическими, насколько хорошо они в настоящее время работают? (Полученные результаты в дальнейшем используются при оценке риска);

d) определить недостатки в управлении путем сравнения существующих средств управления с ранее определенными требованиями к управлению;

e) определить и документировать текущее состояние организации.

Выходные данные этого действия представляют собой документ, описывающий состояние безопасности в организации и обнаруженные уязвимости.

Дополнительная информация

Оценка информационной безопасности, проводимая на данном этапе, дает только предварительную информацию о состоянии информационной безопасности в организации и уязвимостях, поскольку полный набор политики и стандартов информационной безопасности разрабатывается на следующем этапе (см. раздел 9), а оценка риска еще не проведена.

     8 Проведение оценки риска и планирование обработки риска

     8.1 Описание проведения оценки риска и планирования обработки риска

При внедрении СМИБ необходимо учитывать связанные с этим риски для информационной безопасности. Определение, оценка и планируемые действия в случае возникновения риска, а также выбор целей и средств управления являются важными этапами внедрения СМИБ и должны быть проработаны на данном этапе.

Стандарт ISO/IEC 27005:2008 содержит специальные рекомендации по менеджменту риска для информационной безопасности и должен упоминаться в разделе 8.

Предполагается, что руководство дало поручение на внедрение СМИБ и область действия и политика СМИБ определены, а также известны информационные активы и результаты оценки информационной безопасности.

Определить методологию оценки риска, определить, проанализировать и оценить риски для информационной безопасности, чтобы выбрать варианты обработки риска и цели, а также меры и средства контроля и управления.

ISO/IEC 27001, ссылки с 4.2.1 c) по 4.2.1 j)

Необходимо провести оценку риска.

a) выходные данные раздела 7, проведение анализа требований к информационной безопасности — информация, касающаяся:

1 Обобщенного состояния информационной безопасности;

2 Определенных информационных активов.

b) выходные данные действий раздела 6, определение области действия, границ и политики СМИБ — документы:

На рисунке 6 представлено описание фазы оценки риска.

Рисунок 6 — Описание фазы оценки риска

Оценка риска безопасности на предприятии для подкрепления области действия СМИБ необходима для успешного внедрения СМИБ в соответствии ISO/IEC 27001:2005. В результате оценки риска необходимо:

a) определить угрозы и их источники;

b) определить существующие и планируемые меры и средства контроля и управления;

c) определить уязвимости, которые могут в случае угрозы нанести ущерб активам или организации;

d) определить последствия потери конфиденциальности, сохранности, доступности, неотказуемости или нарушения других требований к безопасности для активов;

e) оценить влияние на предприятие, которое может возникнуть в результате предполагаемых или фактических инцидентов информационной безопасности;

f) оценить вероятность чрезвычайных сценариев;

g) оценить уровень риска;

h) сравнить уровни риска с критериями оценки и приемлемости рисков.

Участвовать в оценке риска должны лица, хорошо знающие цели организации и понимающие проблемы безопасности (например, хорошо представляющие, что в настоящее время важно с точки зрения угроз по отношению к целям организации). Эти лица должны выбираться таким образом, чтобы представлять широкий круг сотрудников организации (справочную информацию см. в Приложении B ).

Организация может использовать методологию оценки риска, которая является стандартной по отношению к проекту, компании или отрасли.

Выходные данные этого действия следующие:

a) описание методологий оценки риска;

b) результаты оценки риска.

Дополнительная информация

Приложение B — информация по ролям и сферам ответственности.

Примечание — Чрезвычайный сценарий — это описание угрозы, оказывающей влияние на определенную уязвимость или несколько уязвимостей во время инцидента с информационной безопасностью. В стандарте ISO/IEC 27001 описываются чрезвычайные сценарии, такие как «нарушения безопасности» (см. ISO/IEC 27005:2008).

     8.2 Выбор целей и средств управления

Необходимо определить варианты действий в случае возникновения риска, а также выбор соответствующих средств управления, в соответствии с определенными вариантами действий в случае возникновения риска.

a) выходные данные действия 8.2, проведение оценки риска — результаты оценки риска;

Важно определить соотношение меду рисками и выбранными вариантами обработки риска (например, план обработки риска), поскольку эти соотношения дают обобщение обработки риска. Возможные варианты обработки рисков перечисляются в стандарте ISO/IEC 27001:2005, 4.2.1 f).

Приложение A к стандарту ISO/IEC 27001:2005 (нормативное) «Цели и меры (средства контроля)» используется для выбора целей и средств управления действиями в случае возникновения риска. Если в Приложении A нет подходящих целей и средств управления, следует определить и использовать дополнительные цели, и меры, и средства контроля и управления. Важно продемонстрировать, как выбранные меры и средства контроля и управления могут снизить риск, что требуется в соответствии с планом обработки риска.

Данные, приведенные в стандарте ISO/IEC 27001:2005, Приложение A, не являются исчерпывающими. Для подкрепления потребностей конкретного предприятия, а также СМИБ можно определить меру и средство контроля и управления, характерные для данной отрасли.

В случае снижения риска установление соотношения между каждым риском и выбранными целями и средствами управления является полезным для разработки внедрения СМИБ. Это соотношение можно добавить в список соотношений между рисками и вариантами обработки рисков.

Для облегчения аудита организация должна составить перечень средств управления, выбранных как подходящие и применимые для СМИБ организации. Это дает дополнительные преимущества, связанные с улучшением деловых отношений, например, электронный аутсорсинг, путем предоставления описания средств управления на месте.

Важно знать о том, что описание средств управления с большой вероятностью может содержать секретную информацию. Следовательно, соблюдать осторожность при предоставлении доступа к описанию средств управления как внутренним, так и внешним получателям. Фактически может возникнуть необходимость учета информации, появляющейся в результате создания СМИБ, во время определения активов.

Выходные данные этого действия следующие:

a) перечень выбранных целей и средств управления;

b) план обработки риска, включающий:

1 Описание соотношения между рисками и выбранным вариантом обработки риска;

2 Описание соотношения между рисками и выбранными целями и средствами управления (особенно в случае снижения риска).

Дополнительная информация

     8.3 Получение санкции руководства на внедрение и использование СМИБ

Необходимо получить санкцию руководства на внедрение СМИБ, а также документировать принятие остаточных рисков.

a) выходные данные действий в 5.4, составление описания случая применения СМИБ для данного предприятия и плана проекта для утверждения руководством — первоначальное утверждение руководством проекта СМИБ;

b) выходные данные действий в пункте 6, определение области действия, границ и политики СМИБ — документы:

c) выходные данные действия 8.2, проведение оценки риска — документы:

1 Описание методологий оценки риска;

2 Результаты оценки риска.

d) выходные данные действия 8.3, выбор целей и средств управления — план обработки риска.

Для получения одобрения руководства необходимо подготовить документы, описываемые как исходные данные для данного подпункта, и представить их на рассмотрение руководства для оценки и принятия решения.

Подготовка декларации о применимости (SoA) должна быть включена как часть работ по менеджменту информационной безопасности. Уровень детализации, с которым определяются меры и средства контроля и управления, должен соответствовать требованиям, подкрепляющим утверждение СМИБ руководством организации.

Необходимо получить одобрение высшего руководства для принятия решения о принятии остаточных рисков, а также санкцию на фактическое использование СМИБ. Эти решения должны основываться на оценке рисков и вероятности их возникновения в результате внедрения СМИБ, в сравнении с рисками, возникающими в случае, когда система не применяется.

Выходные данные этого действия следующие:

a) письменное уведомление об одобрении руководством внедрения СМИБ;

b) принятие руководством остаточных рисков;

c) декларация о применимости, включая цели и выбранные меры и средства контроля и управления.

Дополнительная информация

Дополнительная специальная информация не требуется.

     9 Разработка СМИБ

     9.1 Описание разработки СМИБ

На данном этапе должны быть разработаны рабочий проект СМИБ и планируемые действия по внедрению системы. Конечный проект СМИБ должен быть уникальным в деталях для конкретной организации в зависимости от результатов предыдущих действий, а также результатов конкретных действий в фазе разработки, описываемых в данном пункте.

Результатом выполнения данного пункта является конкретный конечный план проекта СМИБ. На основе этого плана может быть запущен проект СМИБ в организации как самая первая фаза осуществления («DO») цикла PDCA (Plan, Do, Check & Act — план, осуществление, проверка, действие), описываемого в стандарте ISO/IEC 27001:2005.

Предполагается, что руководство дало поручение на внедрение СМИБ, которое определено в области действия и политике СМИБ. Предполагается, что информационные активы, а также результаты оценки информационной безопасности доступны. Кроме того, должен быть доступен план обработки риска, описывающий риски, варианты обработки риска и определенные выбранные цели, а также меры и средства контроля и управления.

Описываемая здесь разработка СМИБ сосредоточена на внутренней структуре и требованиях СМИБ. Следует отметить, что в определенных случаях разработка СМИБ может прямо или косвенно влиять на разработку бизнес-процессов. Также следует отметить, что обычно требуется объединение компонентов СМИБ с существовавшими ранее планами управления и инфраструктурой.

Составить конечный план внедрения СМИБ посредством разработки системы безопасности организации на основе выбранных вариантов обработки риска, а также требований, касающихся записей и документов и разработки средств управления, объединяющих меры безопасности ИКТ, физические и организационные процессы и разработку специальных требований для СМИБ

ISO/IEC 27001:2005, ссылка: 4.2.2 a)-e), h)

При разработке СМИБ следует принять во внимание следующие вопросы:

a) безопасность организации — охватывает административные аспекты информационной безопасности, включая ответственность, возникающую при выполнении процессов в организации, за обработку риска. Эти аспекты следует оформить в группу действий, в результате которых формируется политика, цели, процессы и процедуры проработки и повышения информационной безопасности в отношении потребностей и рисков организации;

b) безопасность ИКТ — охватывает аспекты информационной безопасности, связанные с ответственностью за снижение рисков при выполнении операций с ИКТ. Эти аспекты должны обеспечивать выполнение требований, установленных организацией, и техническое внедрение средств управления для снижения рисков;

c) безопасность физических объектов — охватывает аспекты информационной безопасности, связанные, в частности, с ответственностью, возникающей при проработке физического окружения, например зданий и их инфраструктуры, за снижение риска. Эти аспекты должны обеспечивать выполнение требований, установленных организацией, и техническое внедрение средств управления для снижения рисков;

d) особые требования к СМИБ — охватывают аспекты, связанные с различными особыми требованиями к СМИБ в соответствии с ISO/IEC 27001:2005, в отличие от аспектов, охватываемых в трех других областях. Основное внимание уделяется определенным действиям, которые должны выполняться при внедрении СМИБ для получения работоспособной системы, включая:

4 Обучение и информирование;

5 Управление в чрезвычайных ситуациях;

6 Проверки, осуществляемые руководством;

7 Усовершенствование СМИБ, включая корректирующие и предупреждающие действия.

При разработке проекта СМИБ и связанного с ним планируемого внедрения средств управления должны использоваться квалификация и опыт работников тех частей организации, которые находятся в области действия СМИБ или несут административную ответственность, связанную с системой СМИБ. Аспекты, связанные с системой СМИБ, требуют диалога с руководством.

Для разработки выбранных средств управления, применяемых для обработки риска, важно разработать среду безопасности ИКТ и безопасности физических объектов, а также среду безопасности организации. Безопасность ИКТ связана не только с информационными системами и сетями, но также и с техническими требованиями. Безопасность физических объектов связана со всеми аспектами контроля доступа, неотказуемости, физической защиты информационных активов и хранимой информации, а также сама является средством защиты для управления безопасностью.

Меры и средства контроля и управления, выбранные в действиях, описываемых в пункте 8.3, должны применяться в соответствии с особым структурированным и детализированным планом внедрения, являющимся частью плана проекта СМИБ. Эта особая часть плана проекта СМИБ должна описывать действия в случае возникновения каждого вида риска для достижения целей управления. Эта особая часть плана проекта СМИБ является важной, если необходимо правильно и эффективно применить выбранные меры и средства контроля и управления. Группа управления информационной безопасностью отвечает за составление этой особой части плана внедрения СМИБ, которая затем образует конечный план проекта СМИБ.

     9.2 Разработка информационной безопасности организации

9.2.1 Разработка конечной структуры организации для информационной безопасности

Необходимо сопоставить функции, роли и сферы ответственности в организации, связанные с информационной безопасностью, с обработкой рисков.

a) выходные данные действия 5.3.2, определение ролей и сфер ответственности для предварительной области действия СМИБ — таблица ролей и сфер ответственности;

b) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ СМИБ — область действия и границы СМИБ;

На рисунке 7 представлено описание фазы разработки СМИБ.

Рисунок 7 — Описание фазы разработки СМИБ

c) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

d) выходные данные действия 7.2, определение требований к информационной безопасности для процесса СМИБ;

e) выходные данные действия 7.3, определение активов в рамках области действия СМИБ;

f) выходные данные действия 7.4, проведение оценки информационной безопасности;

g) выходные данные действия 8.2, проведение оценки риска — результаты оценки риска;

h) выходные данные действия 8.3, выбор целей и средств управления;

При разработке структуры организации и процессов для внутренних операций СМИБ следует попытаться создать их и объединить с уже существующими, если это практически применимо. Точно так же объединение СМИБ с более широкими ранее существовавшими системами управления (например, внутренний аудит) следует учитывать в процессе разработки СМИБ.

Структура организации, разрабатываемая для СМИБ, должна отражать действия по внедрению и использованию СМИБ, а также, например, проработку методов мониторинга и записи как часть операции СМИБ.

Соответственно структура операций СМИБ должна разрабатываться на основе планируемого применения СМИБ с учетом следующего:

a) нужна ли каждая роль по внедрению СМИБ для выполнения операций СМИБ?

b) отличаются ли определенные роли от ролей по внедрению СМИБ?

c) какие роли должны быть добавлены для внедрения СМИБ?

Например, можно добавить следующие роли для выполнения операций СМИБ:

a) лицо, ответственное за операции по информационной безопасности в каждом подразделении;

b) лицо, ответственное за измерение СМИБ в каждом подразделении.

Рассмотрение пунктов, указанных в Приложении B «Роли и сферы ответственности в области информационной безопасности», способствует принятию решения по структуре и ролям по выполнению операций СМИБ путем пересмотра структуры и ролей по внедрению СМИБ.

Выходные данные этого действия представляют собой документ, описывающий структуру организации, роли и сферы ответственности.

Дополнительная информация

Приложение B — Роли и сферы ответственности в области информационной безопасности.

Приложение C — Информация по внутреннему аудиту.

9.2.2 Разработка основы для документирования СМИБ

Необходимо проконтролировать записи и документы в системе СМИБ путем определения требований и основы, позволяющей выполнить требования по текущему контролю записей и документов в системе СМИБ.

a) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ СМИБ — область действия и границы СМИБ;

b) область действия и границ СМИБ;

c) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

d) выходные данные действия 8.4, получение санкции руководства на внедрение и использование СМИБ;

e) выходные данные действия 9.2.1, разработка конечной организационной структуры для информационной безопасности;

Разработка записей СМИБ включает следующие действия:

a) основа, описывающая принципы документирования СМИБ, структура процедур документирования СМИБ, связанные роли, форматы данных и каналы передачи данных для отчетности перед руководством;

b) разработка требований к документации;

c) разработка требований к записям.

Документация по СМИБ должна включать записи решений руководства, обеспечивать возможность отслеживания действий для принятия решений и разработки политики руководством и воспроизводимость записанных результатов.

Документы по СМИБ должны содержать признаки того, что меры и средства контроля и управления выбраны на основе результатов оценки риска и обработки риска и что такие процессы применяются в сочетании с политикой и целями СМИБ.

Документация важна для воспроизводимости результатов и процедур. В том, что касается выбранных средств управления, установка и документирование процедур должны содержать ссылку на лицо, ответственное за фактическую часть документации.

Документация по СМИБ должна включать документацию, указанную в ISO/IEC 27001:2005, ссылка: 4.3.1.

Необходимо осуществлять управление документами по СМИБ и сделать их доступными персоналу при необходимости. Эти действия включают:

a) учреждение административной процедуры управления документами по СМИБ;

b) подтверждение соответствия формата документов перед изданием;

c) обеспечение определения изменений и текущего состояния редакций документов;

d) защита и контроль документов как информационных активов организации.

Важно, чтобы соответствующие версии применяемых документов были доступны в пунктах использования, чтобы документы были удобочитаемыми, легко идентифицируемыми, передавались, хранились или, в конечном счете, отклонялись в соответствии с процедурами, применяемыми к их классификации.

Кроме того, важно обеспечить, чтобы документы из внешних источников легко идентифицировались, чтобы контролировалось распространение документов, предотвращая непредусмотренное использование устаревших документов и применяя к ним соответствующие процедуры отслеживания, если они сохраняются с какой-либо целью.

Записи должны создаваться, сохраняться и контролироваться как свидетельство того, что СМИБ организации соответствует стандарту ISO/IEC 27001:2005 и что операции эффективны.

Также требуется сохранять записи состояния внедрения системы для всей фазы PDCA, а также записи об инцидентах и событиях, связанных с информационной безопасностью, записи об образовании, обучении, навыках, опыте и квалификации, внутреннем аудите СМИБ, корректирующих и предупреждающих действиях и организационные записи.

Для контроля записей необходимо выполнить следующие задачи:

a) документировать меры и средства контроля и управления, требуемые для идентификации, хранения, защиты, поиска и удаления данных, и документировать продолжительность хранения;

b) определить, что и в какой степени должно записываться в процессах управления организацией;

c) если соответствующим законодательством определен какой-либо период хранения, он должен быть установлен в соответствии с этими законными требованиями.

Выходные данные этого действия следующие:

a) документ, описывающий требования к записям СМИБ и контролю документации;

b) хранилища и шаблоны требуемых записей СМИБ.

Дополнительная информация

Дополнительная специальная информация не требуется.

9.2.3 Разработка политики информационной безопасности

Необходимо документировать стратегическую позицию руководства и администрации, связанную с целями информационной безопасности в отношении использования СМИБ.

a) выходные данные действия 5.2, определить приоритеты организации для разработки СМИБ — обобщенные цели и перечень требований;

b) выходные данные действия 5.4, составление описания случая применения СМИБ для данного предприятия и плана проекта для утверждения руководством — первоначальное утверждение руководством проекта СМИБ;

c) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ — область действия и границы СМИБ;

d) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

e) выходные данные действия 7.2, определение требований к информационной безопасности для процесса СМИБ;

f) выходные данные действия 7.3, определение активов в рамках области действия СМИБ;

g) выходные данные действия 7.4, проведение оценки информационной безопасности;

h) выходные данные действия 8.2, проведение оценки риска — результаты оценки риска, выходные данные действия 8.3, выбор целей и средств управления;

i) выходные данные действия 9.2.1, разработка конечной структуры организации для информационной безопасности;

j) выходные данные действия 9.2.2, разработка основы для документирования СМИБ;

k) ISO/IEC 27002:2005, ссылка: 5.1.1.

Политика информационной безопасности документирует стратегическую позицию организации в отношении информационной безопасности во всей организации.

Политика строится на основе информации и знания. Моменты, признанные руководством важными во время ранее проведенного анализа, должны быть сделаны наглядными, им должно быть уделено особое внимание в политике, чтобы обеспечить стимуляцию и мотивацию в организации. Также важно отметить, что происходит, если не следовать выбранной политике, и подчеркнуть влияния законов и регулирующих положений на рассматриваемую организацию.

Примеры политики информационной безопасности можно взять из справочной литературы, сети Интернет, в сообществах по интересам и отраслевых объединениях. Формулировки и подсказки можно найти в годовых отчетах, других документах по политике или документах, сохраняемых руководством.

Относительно фактического объема документации по политике могут существовать различные интерпретации и требования. Эта документация должна быть в достаточной степени суммирована, чтобы работники организации понимали значение политики. Кроме того, она должна достаточно четко показывать, каких целей необходимо достичь, чтобы установить набор правил и целей организации.

Объем и структура политики информационной безопасности должны подкреплять документы, которые используются на следующем этапе процесса, для введения системы управления информационной безопасностью (см. также приложение D — Структура политики).

Для больших организаций со сложной структурой (например, с широким спектром различных областей деятельности) может возникнуть необходимость создания общей политики и множества политик более низкого уровня, адаптированных к конкретным областям деятельности.

Рекомендации по содержанию документов по политике информационной безопасности представлены в стандарте ISO/IEC 27002:2005, пункт 5.1.1.

Предлагаемая политика (с номером версии и датой) должна быть подвергнута перекрестной проверке и учреждена в организации оперативным руководителем. После учреждения в группе управления или аналогичном органе оперативный руководитель утверждает политику информационной безопасности. Затем она доводится до сведения каждого работника организации надлежащим способом, чтобы стать доступной и понятной для читателей.

Выходными данными этого действия является документ по политике информационной безопасности.

Дополнительная информация

Приложение B — Роли и сфера ответственности.

Приложение D — Структура политики.

9.2.4 Разработка стандартов и процедур обеспечения информационной безопасности

Необходимо разработать стандарты и процедуры обеспечения информационной безопасности, касающиеся всей организации или ее отдельных частей.

a) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ — область действия и границы СМИБ;

b) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

c) выходные данные действия 8.2, проведение оценки риска;

d) выходные данные действия 8.3, выбор целей и средств управления;

e) выходные данные действия 8.4, получение санкции руководства на внедрение и использование СМИБ — декларация о применимости, включая цели и выбранные меры и средства контроля и управления;

f) выходные данные действия 9.2.1, разработка конечной структуры организации для информационной безопасности;

g) выходные данные действия 9.2.2, разработка основы для документирования СМИБ;

h) выходные данные действия 9.2.3, разработка политики информационной безопасности;

Чтобы обеспечить основу для работы в области информационной безопасности в организации, стандарты по информационной безопасности, а также набор применяемых законных и обязательных требований должны быть доступны всем, кому нужно их знать.

В процессе разработки стандартов и процедур должны участвовать представители разных частей организации, попадающих в область действия СМИБ. Участники процесса должны иметь полномочия и являться представителями организации. Например, могут быть включены следующие роли:

a) менеджеры по информационной безопасности;

b) представители по вопросам безопасности физических объектов;

c) владельцы информационных систем;

d) владельцы процессов в стратегических и оперативных подразделениях.

Рекомендуется, чтобы редакторская группа была как можно меньше по численности с возможностью назначения специалистов в группу на временной основе по мере необходимости. Каждый представитель должен активно поддерживать связь со своим подразделением в организации для обеспечения непрерывной оперативной поддержки. Впоследствии это должно способствовать дальнейшему совершенствованию в виде процедур и действий на оперативном уровне.

Стандарты и процедуры по информационной безопасности должны впоследствии использоваться в качестве основы для разработки подробных технических и оперативных процедур.

Действенным способом разработки стандартов и процедур по информационной безопасности является учет каждого пункта руководства по внедрению системы менеджмента информационной безопасности в стандартах ISO/IEC 27001:2005 и ISO/IEC 27002:2005, который считается применимым (на основе результатов оценки риска), и точное описание того, как он должен применяться.

Оценка любых существующих стандартов и процедур по информационной безопасности должна рассматриваться. Например, могут ли они усовершенствоваться и развиваться, нет ли необходимости в их полной замене?

Уместная и актуальная документация должна предоставляться каждому сотруднику организации, попадающему в область действия системы. Стандарты и процедуры по информационной безопасности должны применяться ко всей организации или точно указывать, какие роли, системы и подразделения попадают под их действие. Первая версия должна быть выпущена своевременно.

Процесс редактирования и проверки должен быть определен на ранней стадии. Необходимо составить стратегию, касающуюся того, как должна распространяться информация об изменениях политики.

a) выходные данные этого действия представляют собой структурированный подробный план внедрения средств управления, относящихся к информационной безопасности как часть конечного плана проекта СМИБ, включая документированную основу набора стандартов по информационной безопасности;

b) стандарты по информационной безопасности, включая исходные данные организации;

c) процедуры обеспечения информационной безопасности для получения стандартов по информационной безопасности.

Дополнительная информация

Приложение D — Структура политики.

     9.3 Разработка информационной безопасности ИКТ и физических объектов

Необходимо разработать меры и средства контроля и управления средой безопасности ИКТ и физических объектов.

a) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ — область действия и границы СМИБ;

b) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

c) выходные данные действия 7.2, определение требований к информационной безопасности для процесса СМИБ;

d) выходные данные действия 7.3, определение активов в рамках области действия СМИБ;

e) выходные данные действия 7.4, проведение оценки информационной безопасности;

f) выходные данные действия 8.3, выбор целей и средств управления;

g) выходные данные действия 8.4, получение санкции руководства на внедрение и использование СМИБ — декларация о применимости, включая цели, выбранные меры, средства контроля и управления;

В этом действии, которое должно стать частью плана проекта СМИБ, необходимо документировать следующую информацию для каждых мер и средств контроля и управления:

a) имя лица, ответственного за внедрение мер и средств контроля и управления;

b) приоритет внедряемых мер и средств контроля и управления;

c) задачи или действия по внедрению;

d) установление времени, в течение которого должно быть внедрено средство управления;

e) лицо, перед которым нужно отчитываться о внедрении мер и средств контроля и управления по его завершению;

f) ресурсы для внедрения (рабочая сила, требуемое пространство, затраты);

Первоначально безопасность ИКТ и физических объектов должна быть разработана на концептуальном уровне. Необходимо учитывать, что сферы ответственности за процесс первоначального внедрения обычно включают:

a) задание целей управления с описанием предполагаемого планируемого состояния;

b) распределение ресурсов (объем работ, финансовые ресурсы);

c) реальное заданное время внедрения мер и средств контроля и управления;

d) варианты объединения с системами безопасности ИКТ, физических объектов и организации.

После разработки концепции необходимо фактически разработать, например, систему, чтобы получить и внедрить лучшие практические методы для организации. Необходимо учитывать следующее:

Сферы ответственности за процесс фактического внедрения включают:

a) разработку каждого из средств управления для области безопасности ИКТ, физических объектов и организации на оперативном уровне рабочего места;

b) конкретизацию каждой меры и каждого средства контроля и управления в соответствии с согласованным проектом;

c) предоставление процедур и информации для органов управления и учебных курсов, способствующих информированию в сфере безопасности;

d) оказание помощи и внедрение средств управления на рабочем месте.

В зависимости от средств управления (ИКТ, физические объекты или организация) проведение отчетливой границы между начальной и конечной частями процесса внедрения не всегда является уместным или необходимым.

Для внедрения средств управления часто требуется взаимодействие между сотрудниками, занимающими различные должности в организации. Таким образом, например, лица, ответственные за системы, могут быть задействованы для приобретения, установки и обслуживания технического оборудования. Других сотрудников целесообразно привлечь для разработки и документирования процедур, контролирующих использование систем.

Информационная безопасность должна быть объединена в процедуры и процессы, применяемые во всей организации. Если для части организации или третьей стороны окажется трудным внедрение этих процедур и процессов, соответствующие стороны должны сообщить об этом немедленно, чтобы согласовать решение проблемы. Решение по подобным вопросам включает изменение процедур или процессов, перераспределение должностей и сфер ответственности и адаптацию технических процедур.

Результаты внедрения средств управления СМИБ должны быть следующими:

a) план внедрения, в котором подробно описывается внедрение средств управления, например, график, структура группы по внедрению и т.д.;

b) записи и документация по результатам внедрения.

Выходные данные этого процесса представляют собой структурированный подробный план внедрения средств управления, связанных с безопасностью ИКТ и физических объектов, как часть плана проекта СМИБ для каждой меры и средства контроля и управления:

b) сферы ответственности за разработку и внедрение;

c) предполагаемые временные шкалы;

f) собственность (линии отчетности).

Дополнительная информация

Дополнительная специальная информация не требуется.

     9.4 Создание условий для обеспечения надежного функционирования СМИБ

9.4.1 План проверок, проводимых руководством

Необходимо разработать план, обеспечивающий участие руководства и выдачу поручений на проверку работы СМИБ и проводимых усовершенствований.

a) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ — область действия и границы СМИБ;

b) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

c) выходные данные действия 8.4, получение санкции руководства на внедрение и использование СМИБ — декларация о применимости, включая цели, выбранные меры, средства контроля и управления;

d) выходные данные действия 9.2.3, разработка политики информационной безопасности;

Проверка руководством действия по внедрению СМИБ должна начинаться на самых ранних стадиях задания условий для СМИБ и составления описания случая применения СМИБ для данного предприятия и продолжаться вплоть до регулярных проверок операций СМИБ. Это непосредственное участие является средством подтверждения соответствия СМИБ потребностям предприятия и поддержания связи предприятия с системой СМИБ.

Планирование проверок, проводимых руководством, включает установление времени и способа проведения проверок. Подробная информация, касающаяся предварительных условий для проверок, проводимых руководством, содержится в подпункте 7.2 стандарта ISO/IEC 27001:2005.

Чтобы запланировать проверку, необходимо определить, какие должностные лица должны в ней участвовать. Назначенные должностные лица должны быть утверждены руководством и проинформированы об этом как можно раньше. Рекомендуется предоставлять руководству соответствующие данные, касающиеся необходимости и цели проведения процесса проверки (более подробную информацию о ролях и сферах ответственности см. в Приложении В).

Проверки, проводимые руководством, должны основываться на результатах измерений СМИБ и другой информации, накопленной за время использования СМИБ. Эта информация используется для выполнения действий руководством СМИБ для определения готовности и эффективности СМИБ. Требуемые исходные и выходные данные для измерений СМИБ приведены в ISO/IEC 27001:2005, а дополнительная информация по измерениям СМИБ — в Приложении E и ISO/IEC 27004:2009.

Также следует отметить, что эти проверки должны включать проверки методологии и результатов оценки риска. Проверки должны проводиться с запланированным интервалом с учетом изменения среды, например, организации и технологии.

Планирование внутреннего аудита СМИБ должно выполняться для того, чтобы иметь возможность регулярно оценивать систему СМИБ по мере ее внедрения. Результаты внутреннего аудита СМИБ являются важными исходными данными для проверок СМИБ, проводимых руководством. Следовательно, до проведения проверки руководством необходимо запланировать внутренний аудит. Внутренний аудит СМИБ должен включать проверку того, эффективно ли внедряются и сохраняются цели, меры и средства контроля и управления, процессы и процедуры СМИБ и соответствуют ли они:

a) требованиям ISO/IEC 27001:2005;

b) действующему законодательству и правилам;

c) определенным требованиям к информационной безопасности.

(Дополнительную информацию по планированию аудита см. в Приложении C).

Предварительным условием для проведения проверок руководством является информация, собранная на основе внедренной и используемой СМИБ. Информация, предоставляемая группе руководителей, проводящих проверку, может включать следующее:

a) отчеты об инцидентах за последний период использования системы;

b) подтверждение эффективности управления и обнаруженные несоответствия;

c) результаты других регулярных проверок (более подробные, если во время проверки были обнаружены несоответствия с политикой информационной безопасности);

d) рекомендации по усовершенствованию СМИБ.

В плане мониторинга должны документироваться его результаты, которые должны записываться и сообщаться руководству (дополнительную информацию по мониторингу см. в Приложении E).

Выходные данные этого действия представляют собой документ, содержащий план, необходимый для организации проверок, проводимых руководством:

a) исходные данные, требуемые для проверки СМИБ руководством;

b) процедуры проверок, проводимых руководством и касающихся аспектов аудита, мониторинга и измерения.

Дополнительная информация

Приложение B — Роли и сферы ответственности в области информационной безопасности.

Приложение C — Информация по внутреннему аудиту.

Приложение E — Мониторинг и измерения.

9.4.2 Разработка программы информирования, обучения и образования в области информационной безопасности

Необходимо разработать программу информирования, обучения и образования в области информационной безопасности.

a) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ — область действия и границы СМИБ;

b) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

c) выходные данные действия 7.2, определение требований к информационной безопасности для процесса СМИБ;

d) выходные данные действия 8.4, получение санкции руководства на внедрение и использование СМИБ — декларация о применимости, включая цели и выбранные меры и средства контроля и управления;

e) выходные данные действия 8.3, выбор целей и средств управления — План обработки риска;

f) выходные данные действия 9.2.3, разработка политики информационной безопасности;

g) выходные данные действия 9.2.4, разработка стандартов и процедур обеспечения информационной безопасности;

h) обзор общей программы образования и обучения в организации.

Руководство отвечает за образование и обучение, чтобы сотрудники, назначенные на определенные должности, имели необходимые знания для выполнения требуемых операций. В идеале содержание программы образования и обучения должно помогать всем сотрудникам знать и понимать значение и важность операций по обеспечению информационной безопасности, в которых они участвуют, и то, как они могут способствовать достижению целей.

На этом этапе важно обеспечить, чтобы каждый работник в рамках области действия СМИБ получил необходимое обучение и (или) образование. В больших организациях одного набора материалов по обучению, как правило, недостаточно, поскольку он должен содержать слишком много данных, относящихся только к отдельным типам работ, и, следовательно, будет большим, сложным и трудным в использовании. В таких случаях обычно рекомендуется иметь разные наборы материалов по обучению, разработанных для разных групп ролей, например, офисных работников, обслуживающих работников или руководителей в области информационных технологий, которые обеспечивают конкретные нужды этих работников.

Программа обучения и образования с целью информирования по вопросам информационной безопасности должна обеспечивать составление записей по обучению и образованию в области информационной безопасности. Эти записи должны регулярно проверяться для обеспечения получения требуемою обучения всеми сотрудниками. Необходимо назначить должностное лицо, ответственное за этот процесс.

Материалы по обучению в области информационной безопасности должны быть разработаны таким образом, чтобы они были связаны с другими обучающими материалами, используемыми в организации, особенно учебные курсы для пользователей информационных систем. Обучение по существенным аспектам информационной безопасности в идеале должно включаться в каждый учебный курс для пользователей информационных технологий.

Обучающие материалы по информационной безопасности должны включать как минимум следующие пункты в зависимости от целевой аудитории:

a) риски и угрозы, связанные с информационной безопасностью;

b) основные термины по информационной безопасности;

c) четкое определение инцидента безопасности: рекомендации по обнаружению инцидента, его устранению и отчетности;

d) политики информационной безопасности, стандарты и процедуры организации;

e) сферы ответственности и каналы отчетности, связанные с информационной безопасностью в организации;

f) рекомендации по оказанию помощи в повышении информационной безопасности;

g) рекомендации, связанные с нарушениями информационной безопасности и отчетностью;

h) где получить дополнительную информацию.

Необходимо определить группу по обучению информационной безопасности, которая может выполнять следующие задачи:

a) создание и управление записями по информационной безопасности;

b) составление и управления материалами по обучению;

Эти задачи могут ставиться с учетом использования существующего обучающего персонала. Но для существующего персонала может потребоваться обучение концепциям информационной безопасности, чтобы обеспечить их эффективное и точное представление.

Программа информирования, образования и обучения в области информационной безопасности должна включать процедуру, обеспечивающую регулярную проверку и обновление обучающих материалов. Для проверки и обновления обучающих материалов можно назначить специальное должностное лицо.

Выходные данные этого действия следующие:

a) материалы по информированию, обучению и образованию в области информационной безопасности;

b) формирование программ информирования, образования и обучения в области информационной безопасности, включая роли и сферы ответственности;

c) планы информирования, образования и обучения в области информационной безопасности;

d) актуальные записи, показывающие результаты информирования, образования и обучения работников в области информационной безопасности.

Дополнительная информация

Дополнительная специальная информация не требуется.

     9.5 Составление окончательного плана проекта СМИБ

Необходимо составить конечный план проекта СМИБ, включая действия, необходимые для внедрения выбранных средств управления.

a) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ — область действия и границы СМИБ;

b) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

c) выходные данные действия 9.2 — разработка информационной безопасности организации;

d) выходные данные действия 9.3 — разработка информационной безопасности ИКТ и физических объектов;

e) выходные данные действия 9.4 — разработка информационной безопасности, связанной с системой СМИБ;

Действия, требуемые для внедрения выбранных средств управления и выполнения других действий, связанных с системой СМИБ, должны быть оформлены в виде подробного плана внедрения как части конечного проекта СМИБ. Подробный план внедрения системы также может подкрепляться описаниями предложенных инструментов и методов внедрения. Поскольку проект СМИБ включает множество различных ролей в организации, важно, чтобы действия были четко определены для ответственных сторон и план был распространен на ранних стадиях проекта во всей организации.

В отношении других проектов необходимо, чтобы лицо, ответственное за проект, обеспечило выделение достаточных ресурсов для проекта.

Выходные данные этого действия представляют собой конечный план проекта внедрения СМИБ.

Дополнительная информация

Дополнительная специальная информация не требуется.

Приложение A
(справочное)

Описание контрольного перечня

— представить контрольную таблицу с описанием действий, требуемых для учреждения и внедрения СМИБ;

— способствовать мониторингу процесса выполнения работ по внедрению СМИБ;

— связать определенные действия по внедрению СМИБ с соответствующими требованиями ISO/IEC 27001.

Таблица A.1

Приложение B
(справочное)

Роли и сферы ответственности в области информационной безопасности

Данное приложение содержит дополнительные рекомендации по ролям и сферам ответственности в организации, связанным с информационной безопасностью. Роли сначала указаны с точки зрения организации для внедрения СМИБ. В таблице B.1 изложена эта информация и представлены общие примеры ролей и сфер ответственности.

Таблица B.1 — Перечень примерных ролей и сфер ответственности, связанных с информационной безопасностью

1. Роль комитета по информационной безопасности

Комитет по информационной безопасности должен играть ведущую роль в СМИБ в организации. Комитет по информационной безопасности должен отвечать за управление информационными активами организации и обладать достаточным пониманием информационной безопасности в отношении управления, мониторинга и выполнения необходимых задач.

Далее приведены примеры возможных ролей комитета по информационной безопасности:

a) управление рисками, составление плана работы с документами по СМИБ, ответственность за определение содержания этих документов и получение одобрения руководства;

b) планирование приобретения нового оборудования и (или) принятие решений о повторном использовании существующего оборудования, которым уже располагает организация;

c) решение любых проблем при их возникновении;

d) рассмотрение усовершенствований, которые могут быть достигнуты в результате дальнейшего внедрения и измерения СМИБ;

e) стратегическое управление СМИБ (при выполнении проекта внедрения и использовании системы);

f) обеспечение связи между высшим руководством, группой по внедрению проекта и работниками, занятыми в сфере информационной безопасности.

2. Роли группы по планированию информационной безопасности

Проектная группа, ответственная за СМИБ при планировании проекта, должна получать поддержку от членов, хорошо понимающих важные информационные активы в рамках области действия СМИБ и обладающих достаточными знаниями, чтобы обсуждать, как распорядиться этой информацией. Например, при определении того, как распорядиться информационными активами, могут иметь место разные мнения среди подразделений, находящихся в области действия СМИБ, поэтому может возникнуть необходимость согласовать положительные и отрицательные последствия выполнения плана. Проектная группа должна координировать противоречия, возникающие между разными подразделениями. Для этого членам группы потребуются навыки общения, накопленные по опыту работы, и возможности координации, а также высокий уровень знаний в области безопасности.

3. Специалисты и внешние консультанты

Организации необходимо выбрать сотрудников для выполнения вышеуказанных задач (желательно сотрудников с одной исключительной ролью), прежде чем учредить СМИБ. Однако этим сотрудникам потребуются обширные знания и опыт в области информационной безопасности, например «ИТ», «управленческих решений» и «понимания организации». Лица, ответственные за выполнение данных операций в организации, могут лучше знать свои специфические сферы деятельности. Многие специалисты, являющиеся экспертами в отдельных областях в своей организации, должны привлекаться к работе над СМИБ, если она имеет отношение к использованию системы в их областях деятельности. Также важен баланс их профессиональных и обширных знаний, необходимых для того, чтобы достичь целей организации. Внешние консультанты могут давать рекомендации на основе своих макроскопических точек зрения на организацию и опыта действий в подобных случаях, даже несмотря на то, что они не обязательно обладают глубокими знаниями специфики организации и знают подробности ее работы. Термины, используемые в вышеприведенных примерах, например, «комитет по информационной безопасности» и «группа по планированию информационной безопасности» не так важны. Необходимо понимать только функцию каждой структуры.

В идеальном варианте это должны быть внутренние структуры, координирующие информационную безопасность организации, поддерживающие связь и работающие в тесном сотрудничестве с каждым техническим отделом.

4. Владельцы информационных активов

Необходимо назначить сотрудника для каждого процесса в организации и области применения специальных знаний; этот сотрудник действует в качестве так называемого «владельца информационного актива» по всем вопросам информационной безопасности, связанным с обработкой данных в рамках конкретного процесса в организации. Контактное лицо или владелец процесса отвечает, например, за постановку задач и обработку информации в рамках процессов в организации, для которых они назначены.

В случае распределения риска, предотвращения риска и удержания риска должны быть приняты необходимые действия с точки зрения безопасности организации. Если было принято решение о переносе рисков, необходимо предпринять соответствующие действия с использованием контрактов, гарантий и структуры организации, например партнерства или совместных предприятий.

На рисунке В.1 показан пример структуры организации для учреждения СМИБ. Основные роли и сферы ответственности в организации, приведенные ниже, основаны на этом примере.

Рисунок В.1 — Пример структуры организации для учреждения СМИБ

Взаимодействие в рамках организации

Все вовлеченные стороны должны изучить и очень хорошо знать существующие требования по защите активов организации. Участвовать в анализе организации должны сотрудники, обладающие хорошим знанием организации и среды, в которой она функционирует. Эти сотрудники должны быть выбраны таким образом, чтобы представлять широкий круг работников организации и должны включать:

a) высшее руководство (например, главный управляющий и финансовый директор);

b) членов комитета по информационной безопасности;

c) членов группы по планированию информационной безопасности;

d) линейных руководителей (например, руководителей подразделений организации);

e) владельцев процессов (т.е. представителей важных оперативных подразделений);

f) специалистов и внешних консультантов.

Примеры общих ролей и сфер ответственности, связанных с информационной безопасностью

Информационная безопасность является обширной областью, влияющей на всю организацию. По существу четко определенные сферы ответственности в области информационной безопасности являются важными для успешного внедрения СМИБ. Поскольку роли и сферы ответственности, связанные с информационной безопасностью, могут различаться, понимание различных ролей является крайне важным для понимания некоторых действий, описываемых далее в данном международном стандарте. В таблице ниже изложены роли и сферы ответственности, связанные с безопасностью. Следует отметить, что эти роли являются общими, и для каждого отдельного случая внедрения СМИБ требуются конкретные описания.

Приложение C
(справочное)

Информация по внутреннему аудиту

В данном приложении содержатся дополнительные рекомендации по планированию аудита.

Внедрение СМИБ должно оцениваться с постоянным интервалом путем внутреннего и независимого аудита. Аудит также служит для упорядочения и оценки опыта, накапливаемого в ходе повседневной практики. Для внедрения СМИБ необходимо планировать формы аудита.

При аудите СМИБ результаты аудита должны определяться на основе конкретных признаков. Следовательно, необходимо назначать подходящие периоды времени для выполнения операций, связанных со СМИБ, для сбора необходимых доказательств.

Внутренний аудит СМИБ должен внедряться и осуществляться регулярно для оценки того, соответствуют ли цели и меры и средства контроля и управления, процессы и процедуры СМИБ требованиям ISO/IEC 27001 и соответствующим законам или нормам, соответствуют ли они определенным требованиям к информационной безопасности, и эффективно ли они внедряются и поддерживаются.

Однако выбор аудиторов для внутреннего аудита СМИБ может оказаться сложным для небольших компаний. Если у организации недостаточно ресурсов для проведения таких видов аудита, выполняемых опытными сотрудниками организации, следует привлекать для выполнения аудита внешних экспертов. Когда организация привлекает внешних аудиторов, следует принять во внимание следующее: внешние аудиторы хорошо знакомы с процедурой внутреннего аудита СМИБ, однако не обладают достаточными знаниями об организационной среде организации. Эта информация должна быть им предоставлена сотрудниками организации. С другой стороны, внутренние аудиторы могут иметь возможность проводить подробный аудит, принимая по внимание организационную среду организации, но могут не обладать достаточными знаниями о выполнении аудита СМИБ. Организации должны учитывать характеристики и потенциальные недостатки внутреннего аудита по сравнению с внешним при проведении внутреннего аудита СМИБ.

Эффективность и результативность применяемых средств управления (см. ISO/IEC 27004:2009) следует проверять в рамках внутреннего аудита.

Важно отметить, что аудит не проводится сотрудниками, которые были заняты в планировании и разработке целей безопасности, поскольку сложно найти свои собственные ошибки. Следовательно, в качестве аудиторов руководство должно привлекать подразделения организации или сотрудников, находящихся вне области действия внутреннего аудита СМИБ. Эти аудиторы должны планировать и проводить внутренний аудит СМИБ и составлять отчеты для получения дальнейших распоряжений руководства. В зависимости от размера организации может быть полезным отзыв внешних аудиторов, чтобы избежать ситуации, в которой сотрудники ограничены в своей работе.

При проведении внутреннего аудита СМИБ следует проверить, чтобы система эффективно работала, поддерживалась и оправдывала все ожидания. При планировании программы аудита аудиторы должны учитывать состояние и важность целей руководства, средств управления, процессов и процедур, подлежащих аудиту, а также результаты предыдущего аудита.

При проведении аудита необходимо документировать критерии, применяемую область действия, частоту проведения и метод аудита.

При выборе аудиторов необходимо обеспечить объективность и честность процесса аудита. При проведении серии процессов аудита аудиторы должны быть компетентны в следующих областях:

a) планирование и проведение аудита;

b) отчетность по результатам;

c) предложение корректирующих и предупреждающих действий и т.д.

Кроме того, организация должна определить сферы ответственности аудиторов и серию процессов аудита в процедурной документации.

Руководитель, отвечающий за процесс подвергаемый аудиту, должен обеспечить, чтобы несоответствия и их причины должным образом устранялись без задержки. Однако это не означает, что несоответствие обязательно нужно устранить немедленно. Кроме того, выполняемые корректирующие действия должны включать проверку выполняемого действия и отчет по результатам проверки.

С точки зрения управления внутренний аудит СМИБ может проводиться эффективно, как часть других видов внутреннего аудита организации или в сочетании с ними. При проведении аудита следует обращаться к документу «Требования к организациям, проводящим аудит и сертификацию СМИБ ISO/IEC 27006:2007».

Приложение D
(справочное)

Структура политики

В данном приложении содержатся дополнительные рекомендации по структуре политики, включая политику информационной безопасности.

Политика — это общие намерения и указания, официально выраженные руководством (см. FCD 27000 и ISO/IEC 27002). Содержание политики управляет действиями и решениями, касающимися предмета политики. Организация может иметь несколько политик, по одной для каждой сферы деятельности, важной для организации. Некоторые политики независимы одна от другой, в то время как другие политики находятся в иерархическом соотношении. В области безопасности политики, как правило, иерархически организованы. Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику информационной безопасности и политику системы менеджмента информационной безопасности. В свою очередь, политика информационной безопасности может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам информационной безопасности. Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика информационной безопасности подкрепляется политиками, касающимися контроля доступа, политики «чистого стола» и «чистого экрана», использования сетевых служб и криптографического контроля. В некоторых случаях возможно включение дополнительных уровней политики. Эта классификация показана на рисунке D1.

Рисунок D.1 — Иерархия политики

Согласно стандарту ISO/IЕС 27001 требуется, чтобы организации имели политику СМИБ и политику информационной безопасности. Однако это не подразумевает каких-либо конкретных соотношений между этими политиками. Требования к политике СМИБ приведены в пункте 4.2.1 стандарта ISO/IEC 27001. Рекомендации по политике информационной безопасности приведены в пункте 5.1.1 стандарта ISO/IEC 27002. Эти политики могут разрабатываться как равноправные политики: политика СМИБ может подчиняться политике информационной безопасности, или, наоборот, политика информационной безопасности может подчиняться политике СМИБ.

Содержание политики основано на контексте, в котором работает организация. В частности, при разработке любой политики в рамках основ политики нужно учитывать следующее:

1) цели и задачи организации;

2) стратегии, адаптированные для достижения этих целей;

3) структуру и процессы, адаптированные организацией;

4) цели и задачи, связанные с предметом политики;

5) требования связанных политик более высокого уровня.

Этот процесс показан на рисунке D.2.

Рисунок D.2 — Исходные данные для разработки политики

Политики могут иметь следующую структуру:

Примечание — Содержание политики может быть организовано различными способами. Например, организации, которые делают акцент на ролях и сферах ответственности, могут упростить описание целей и применять принципы конкретно к ролям и сферам ответственности.

Далее приведен пример политики информационной безопасности, показывающий ее структуру и пример содержания.

Политика информационной безопасности (пример)

Краткое изложение политики

Информация всегда должна быть защищена независимо от ее формы и способа ее распространения, передачи и хранения.

Информация может существовать во многих различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных устройств, показываться на пленках или передаваться устно в процессе общения.

Информационная безопасность — это защита информации от различных угроз, призванная обеспечить непрерывность бизнес-процессов, минимизировать риск для бизнеса и максимизировать возвращение вложений и обеспечить возможности деловой деятельности.

Данная политика подкрепляет общую политику безопасности организации.

Данная политика применяется ко всем сотрудникам организации.

Цели информационной безопасности

1) Понимание и обработка стратегических и оперативных рисков для информационной безопасности, чтобы они были приемлемы для организации.

2) Защита конфиденциальности информации клиентов, разработок продукции и планов маркетинга.

3) Сохранение целостности материалов бухгалтерского учета.

4) Соответствие общих веб-сервисов и внутренних сетей соответствующим стандартам доступности.

Принципы информационной безопасности

1) Данная организация способствует принятию рисков и преодолевает риски, которые не могут преодолеть организации с консервативным управлением, при условии понимания, мониторинга и обработки рисков для информации при необходимости. Подробное описание подходов, применяемых для оценки и обработки рисков, можно найти в политике СМИБ.

2) Весь персонал должен быть осведомлен и подотчетен за информационную безопасность в отношении своих должностных обязанностей.

3) Необходимо принять меры для финансирования средств управления информационной безопасностью и процессов управления проектами.

4) Возможности мошенничества и злоупотреблений в области информационных систем должны быть приняты в расчет при общем управлении информационными системами.

5) Отчеты о состоянии информационной безопасности должны быть доступны.

6) Необходимо отслеживать риски для информационной безопасности и предпринимать действия, когда изменения приводят к возникновению непредвиденных рисков.

7) Критерии классификации рисков и приемлемости рисков можно найти в политике СМИБ.

Ситуации, которые могут привести организацию к нарушению законов и установленных норм, не должны допускаться.

1) Группа руководителей высшего эвена отвечает за обеспечение соответствующей проработки информации во всей организации.

2) Каждый руководитель высшего звена отвечает за то, чтобы сотрудники, работающие под его руководством, осуществляли защиту информации в соответствии со стандартами организации.

3) Начальник отела безопасности консультирует группу руководителей высшего звена, оказывает экспертную помощь сотрудникам организации и обеспечивает доступность отчетов о состоянии информационной безопасности.

4) Каждый сотрудник организации отвечает за информационную безопасность как часть выполнения своих должностных обязанностей.

1) Инциденты информационной безопасности не должны приводить к серьезным непредвиденным затратам или серьезным срывам работы служб и деятельности предприятия.

2) Потери из-за мошенничества должны быть известны и находиться в рамках приемлемых ограничений.

3) Вопросы информационной безопасности не должны оказывать неблагоприятного влияния на прием заказчиками продукции и услуг.

Следующие детальные политики содержат принципы и рекомендации по отдельным аспектам информационной безопасности:

1) Политика системы менеджмента информационной безопасности (СМИБ);

2) Политика контроля доступа;

3) Политика чистого стола и чистого экрана;

4) Политика неразрешенного программного обеспечения;

5) Политика, касающаяся получения файлов программного обеспечения из внешних сетей или через них;

6) Политика, касающаяся мобильного кода;

7) Политика резервного копирования;

Политика, касающаяся обмена информацией между организациями;

9) Политика, касающаяся допустимого использования электронных средств связи;

10) Политика сохранения записей;

11) Политика использования сетевых служб;

12) Политика, касающаяся мобильных вычислений и связи;

13) Политика дистанционной работы;

14) Политика использования криптографического контроля;

15) Политика соответствия;

16) Политика лицензирования программного обеспечения;

17) Политика удаления программного обеспечения;

18) Политика защиты и секретности данных.

Все эти политики подкрепляют:

идентификацию риска путем предоставления основы средств управления, которые могут использоваться для обнаружения недостатков в проектировании и внедрении систем;

обработку риска путем оказания помощи в определении способов обработки для определенных уязвимостей и угроз.

Идентификация риска и обработка риска — это процессы, определенные в разделе политики «Принципы». Подробности см. в политике СМИБ.

Приложение E
(справочное)

Мониторинг и измерения

В данном приложении представлены дополнительные рекомендации по поддержке планирования и разработки мониторинга и измерений.

Информация о назначении мониторинга и измерений

Разработка особых требований к СМИБ включает программу мониторинга и измерения безопасности для СМИБ, поддерживающую проверки, осуществляемые руководством.

На рисунке E.1 представлена последовательность процесса мониторинга.

Рисунок E.1 — Последовательность процесса мониторинга

Подготовка и координация: Определение соответствующих активов для мониторинга

Следует отметить, что мониторинг является непрерывным процессом, и при его разработке следует учитывать наладку процесса мониторинга, а также разработку фактических потребностей и действий по мониторингу. Эти действия необходимо координировать, что является частью процесса разработки.

На основе предыдущей информации, установленной на основе определенной области действия и активов, в сочетании с результатами анализа риска и выбора средств управления можно определить цели мониторинга. Эти цели должны включать:

С практической точки зрения ранее установленные действия (процессы) в организации и связанные с ними активы являются основной областью действия для мониторинга (пункт «против чего» выше). Для разработки мониторинга может потребоваться выбор, чтобы охватить активы, важные с точки зрения информационной безопасности. Также следует принять во внимание обработку риска и выбор средств управления, чтобы определить, что нужно отслеживать в активах и связанных с ними действиях (процессах) в организации. (При этом устанавливаются пункты «что нужно определить» и «когда»).

Поскольку мониторинг может включать юридические аспекты, разработку мониторинга необходимо проверять, чтобы он не имел юридических последствий.

Для обеспечения реальной эффективности мониторинга важно координировать и проводить конечную разработку всех действий по мониторингу.

Для поддержания уровня информационной безопасности меры и средства контроля и управления информационной безопасностью, определенные как подходящие, должны правильно применяться; обнаружение инцидентов безопасности и реагирование на них должны производиться своевременно, а функционирование системы менеджмента информационной безопасности должно регулярно отслеживаться. Необходимо проводить регулярные проверки, чтобы определить, все ли меры и средства контроля и управления применяются и внедряются, как запланировано в концепции информационной безопасности. В число этих проверок должны входить проверки соответствия технических средств управления (например, в отношении конфигурации) и организационных средств управления (например, процессов, процедур и операций). Проверки, прежде всего, должны быть направлены на устранение недостатков. Если проверки подлежат принятию, важно, чтобы эта мотивация осознавалась всеми вовлеченными сотрудниками как цель проверки. Необходимо обсуждать возможные решения проблем с участниками во время проверок и заранее готовить соответствующие средства для устранения недостатков.

Проверки должны тщательно подготавливаться для обеспечения как можно более эффективного достижения их целей, вызывая как можно меньше нарушений в обычной работе организации. Общее осуществление проверок должно заранее координироваться с руководством. Действия по разработке можно заключить в три различных основных формы:

— подтверждение соответствия или несоответствия функциональности средств управления;

— другие регулярные проверки.

Кроме того, необходимо разработать представление результатов действия в отношении того, как выполняется запись и как информация передается руководству. Необходимо составлять официальную документацию для описания разработки, принципа действий и их цели, а также различных сфер ответственности.

Требования к результатам мониторинга

Результаты должны быть следующими:

a) записи действий по мониторингу с требуемой степенью детализации

По результатам действий по мониторингу руководству должен быть представлен отчет. Вся информация, которая требуется руководству для выполнения своих надзорных и управленческих функций, должна быть записана в отчете с требуемой степенью детализации.

b) информация, необходимая руководству для принятия решений, когда это требуется для принятия срочных мер.

Отчет для руководства всегда заканчиваются перечнем рекомендуемых действий с четко определенными приоритетами вместе с реальной оценкой предполагаемых затрат на выполнение каждого из этих действий. Это обеспечивает возможность принятия руководством решений без лишних задержек.

Планирование программы измерений, связанных с информационной безопасностью. Обзор разработки программы измерений, связанных с информационной безопасностью

Процесс измерения должен быть плавно введен в цикл СМИБ проекта или организации и использоваться для непрерывного усовершенствования процессов, связанных с безопасностью, и результатов в рамках этого процесса или организации. Это называется программой измерения информационной безопасности (ISO/IEC 27004:2009). Разработку программы необходимо рассматривать в отношении цикла СМИБ. На рисунке E.2 показано, как процесс измерения вписывается в цикл СМИБ.

Рисунок E.2 — Два аспекта измерения эффективности СМИБ с помощью процесса PDCA и примеры процессов внутри организации

Следующие функции систем управления требуются для обеспечения выполнения требований и ожиданий, таких как структурирование необходимых PDCA, измерение и подтверждение выходных данных и их эффективности, и обеспечение передачи результатов измерений руководителю процесса.

Чтобы провести правильные измерения, необходима ранее полученная информация, особенно:

a) политика СМИБ, включая область действия и границы;

b) результаты оценки риска;

c) выбор средств управления;

e) конкретные цели информационной безопасности;

f) заданные процессы и ресурсы и их классификация.

Руководство должно назначить и сохранять обязательства по всему процессу измерения. При осуществлении процесса измерения руководство должно:

a) принять требования к измерениям; подробности см. в стандарте ISO/IEC 27004:2009;

b) уделить внимание потребностям в информации, подробности см. в стандарте ISO/IEC 27004:2009;

c) установить обязательства персонала по следующим критериям:

— организация должна продемонстрировать свои обязательства, например, посредством политики измерений для организации, распределения ответственности и обязанностей, обучения и распределения бюджета и других ресурсов;

— должно быть назначено лицо или подразделение организации, отвечающее за программу измерения;

— должно быть назначено лицо или подразделение организации, отвечающее за обмен информацией по значимости и результатам измерений СМИБ во всей организации для обеспечения их принятия и использования, и это лицо или подразделение должно получать поддержку руководства;

— необходимо обеспечить сбор и анализ данных по измерениям СМИБ и их передачу директору по информационным технологиям и другим заинтересованным сторонам;

— необходимо обучить линейных руководителей программы использованию результатов измерений СМИБ для учреждения политики, распределения ресурсов и принятия решений, касающихся бюджета.

Программа измерения информационной безопасности и ее разработка подразумевают следующие роли:

b) пользователи программных продуктов, связанных с безопасностью;

c) лица, отвечающие за информационные системы;

d) лица, отвечающие за информационную безопасность.

Программа измерения информационной безопасности учреждается для того, чтобы получить показатели эффективности СМИБ, целей и средств управления. Программа описывается в стандарте ISO/IEC 27004:2009.

Для выполнения этих целей необходимо провести соответствующие измерения в фазе планирования.

Подходящие программы измерения информационной безопасности могут различаться в зависимости от структуры организации, а именно:

— общего профиля риска в информационной безопасности.

Чем больше организация и чем сложнее ее структура, тем более обширная программа измерений ей требуется. Но уровень общего риска также влияет на объем программы. Если влияние слабой информационной безопасности серьезно, сравнительно небольшим организациям может потребоваться более обширная программа измерения, чтобы охватить риск, чем для более крупных организаций, не испытывающих такого влияния. Объем программы измерения можно оценить на основе выбора средств управления, которые необходимо охватить, и результатов анализа риска.

Разработка программы измерения информационной безопасности

Лицо, ответственное за программу измерения информационной безопасности, должно принять во внимание следующее:

Область действия программы измерения должна охватывать область действия, цели управления и меры и средства контроля и управления СМИБ. В частности, цели и границы измерения СМИБ должны устанавливаться в отношении характеристики организации, самой организации, ее местонахождения, активов и технологий и включать детализацию и обоснование любых исключений из области действия СМИБ. Это может быть одно из средств управления безопасностью, процесс, система, область деятельности, целое предприятие, одно подразделение или организация, состоящая из нескольких подразделений.

При выборе одиночного измерения стандарт ISO/IEC 27004:2009 требует, чтобы начальной точкой выступал объект измерения. Для учреждения программы измерений необходимо определить эти объекты. Этими объектами могут быть процессы или ресурсы. (Дополнительные подробности см. в стандарте ISO/IEC 27004:2009). При разработке программы измерений объекты, определенные областью действия СМИБ, часто расчленяются для выявления конкретных объектов, подлежащих измерению. Этот процесс определения можно проиллюстрировать в виде следующего примера: Организация — это весь объект — процесс в организации A/или система информационных технологий X — это часть объекта, которая сама образует объект — объекты в рамках этого процесса, влияющие на информационную безопасность (люди, правила, сети, программные приложения, оборудование и т.д.), обычно являются объектами измерения, помогающими увидеть эффективность защиты информации.

При выполнении программы измерения информационной безопасности необходимо учитывать, что объекты измерения могут служить для выполнения многих процессов в организации в рамках области СМИБ и, следовательно, могут оказывать более сильное влияние на эффективность СМИБ и цели управления. Обычно в рамках области действия программы следует уделять особое внимание таким объектам, например безопасности организации и связанным с ней процессам, компьютерному залу, коллегам, имеющим отношение к информационной безопасности, и т.д.

Интервалы измерений могут различаться, но желательно, чтобы измерения проводились или суммировались с определенными интервалами для включения их в проверки, проводимые руководством в процессе непрерывного усовершенствования СМИБ. Это условие должно быть учтено при разработке программы.

Отчетность по результатам должна быть организована таким образом, чтобы обеспечить передачу информации в соответствии с ISO/IEC 27004:2009.

Разработка программы измерения информационной безопасности должна быть отражена в документе, определяющем процедуру, который должен быть утвержден руководством. Этот документ должен охватывать следующие аспекты:

a) сферы ответственности за программу измерения информационной безопасности;

b) сферы ответственности за осуществление связи;

c) область действия измерений;

d) как должна выполняться программа (основной используемый метод, внешнее и внутреннее выполнение и т.д.);

e) когда должна выполняться программа;

f) как должна осуществляться отчетность.

Если организация разрабатывает собственные цели измерения, они должны быть документированы как часть фразы разработки; дополнительную справочную информацию см. в стандарте ISO/IEC 27004:2009. Этот документ может быть достаточно обширным и не обязательно должен подписываться руководством, поскольку детали могут изменяться при выполнении программы.

Измерение эффективности СМИБ

При установлении области действия программы измерения информационной безопасности, подлежащей выполнению, необходимо обеспечить, чтобы объектов не было слишком много. Если объектов много, имеет смысл разделить программу на разные части. Область действия этих частей может быть представлена как отдельные измерения для сравнения, но преобладает их основная цель: сочетание измерений обеспечивает показания для оценки эффективности СМИБ. Эти вспомогательные области действия обычно представляют собой подразделения организации, которые могут быть определены с четкими границами. Сочетание объектов, которые служат многим процессам в организации и измерениям объектов в рамках этих вспомогательных областей действия, вместе могут образовывать необходимую область действия для программы измерения информационной безопасности. Это сочетание также можно представить в виде серии действий по СМИБ, которые могут рассматриваться как состоящие из двух или более процессов (объектов). Следовательно, эффективность всей системы СМИБ можно измерить на основе измерения результатов этих двух или более процессов (объектов).

Поскольку целью является измерение эффективности СМИБ, важно измерить цели, определить меры и средства контроля и управления. Один аспект — это количество средств управления, а другой аспект — это достаточность этих средств управления для оценки эффективности СМИБ. Эти аспекты измерения эффективности СМИБ с помощью процесса PDCA и примеры процессов внутри организации приведены на рис.E.2 (Могут быть и другие причины для ограничения области действия программы измерения информационной безопасности, которые упоминаются в ISO/IEC 27004:2009).

При использовании результатов измерения для оценки эффективности СМИБ, целей управления и средств управления необходимо, чтобы руководство было проинформировано об области действия программы измерения информационной безопасности. Лицо, ответственное за программу измерений, должно получить от руководства утверждение области действия программы измерения информационной безопасности перед запуском программы.

1 Требование, относящееся к измерению эффективности, в стандарте ISO/IEC 27001:2005 — это «измерение мер и средств контроля и управления или серии средств управления» (см. 4.2.2, d) в ISO/IEC 27001:2005).

2 Требование, относящееся к эффективности всей системы СМИБ, в стандарте ISO/IEC 27001:2005 — это только «проверка эффективности всей системы СМИБ», и «измерение всей системы СМИБ» не требуется (см. 0.2.2 в ISO/IEC 27001:2005).

Фактически проведение измерений может осуществляться работниками организации, специалистами со стороны или теми и другими вместе. Размеры, структура и культура организации — это факторы, которые необходимо принимать во внимание при оценке внутренних или внешних ресурсов. Малые и средние компании имеют больше выгоды от использования поддержки со стороны, чем большие организации. Результаты использования внешних ресурсов могут также обеспечить более надежные результаты в зависимости от культуры организации. Если в организации постоянно проводится внутренний аудит, внутренняя проверка может принести более надежные результаты.

Приложение ДА
(справочное)

Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации

Таблица ДА.1

Библиография

[1] ISO 9001:2008, Quality management systems — Requirements

[2] ISO 14001:2004, Environmental management systems — Requirements with guidance for use

[3] ISO/I EC 15026 (all parts), Systems and software engineering — Systems and software assurance

________________

Будет опубликован.

[4] ISO/IEC 15408-1:2009, Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model

[5] ISO/IEC 15408-2:2008, Information technology — Security techniques — Evaluation criteria for IT security — Part 2: Security functional components

[6] ISO/IEC 15408-3:2008, Information technology — Security techniques — Evaluation criteria for IT security — Part 3: Security assurance components

[7] ISO/IEC TR 15443-1:2005, Information technology — Security techniques — A framework for IT security assurance — Part 1: Overview and framework

[8] ISO/IEC TR 15443-2:2005, Information technology — Security techniques — A framework for IT security assurance — Part 2: Assurance methods

[9] ISO/IEC TR 15443-3:2007, Information technology — Security techniques — A framework for IT security assurance — Part 3: Analysis of assurance methods

[10] ISO/IEC 15939:2007, Systems and software engineering — Measurement process

[11] ISO/IEC 16085:2006, Systems and software engineering — Life cycle processes — Risk management

[12] ISO/IEC 16326:2009, Systems and software engineering — Life cycle processes — Project management

[13] ISO/IEC 18045:2008, Information technology — Security techniques — Methodology for IT security evaluation

[14] ISO/IEC TR 19791:2006, Information technology — Security techniques — Security assessment of operational systems

[15] ISO/IEC 20000-1:2005, Information technology — Service management — Part 1: Specification

[16] ISO/IEC 27001:2005, Information technology — Security techniques — Information security management systems — Requirements

[17] ISO/IEC 27004:2009, Information technology — Security techniques — Information security management — Measurement

[18] ISO/IEC 27005:2008, Information technology — Security techniques — Information security risk management

[19] ISO 21500, Project management — Guide to project management

________________

В процессе подготовки.

[20] ISO/IEC 27006:2007 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems

1.1. История развития стандартов управления информационной безопасностью

Сегодня безопасность цифрового пространства показывает новый путь национальной безопасности каждой страны. В соответствии с ролью информации как ценного товара в бизнесе, её защита, безусловно, необходима. Для достижения этой цели, каждой организации, в зависимости от уровня информации (с точки зрения экономической ценности), требуется разработка системы управления информационной безопасностью (далее — СУИБ), пока существует возможность, защиты своих информационных активов.

В организациях, существование которых значительно зависит от информационных технологий (далее — ИТ), могут быть использованы все инструменты для защиты данных. Тем не менее, безопасность информации необходима для потребителей, партнеров по сотрудничеству, других организаций и правительства. В связи с этим, для защиты ценной информации, необходимо что бы каждая организация стремилась к той или иной стратегии и реализации системы безопасности на её основе.

СУИБ является частью комплексной системы управления, основанной на оценке и анализов рисков, для разработки, реализации, администрирования, мониторинга, анализа, поддержания и повышения информационной безопасности (далее — ИБ) и ее реализации, полученных из целей организации и требования, требования безопасности, используемых процедур и размерах и структуре ее организации.

Зарождение принципов и правил управления ИБ началось в Великобритании в 1980-х годах. В те годы Министерство торговли и промышленности Великобритании (англ. Department of Trade and Industry, DTI) организовало рабочую группу для разработки свода лучших практик по обеспечению ИБ.

В 1989 году «DTI» опубликовало первый стандарт в этой области, который назывался PD 0003 «Практические правила управления ИБ». Он представлял собой перечень средств управления безопасностью, которые в то время считались адекватными, нормальными и хорошими, применимыми как к технологиям, так и средам того времени. Документ «DTI» был опубликован как руководящий документ британской системы стандартов (англ. British Standard, BS).

В 1995 году Британский институт стандартов (англ. British Standards Institution, BSI) принял национальный стандарт BS 7799—1 «Практические правила управления ИБ». Она описывал 10 областей и 127 механизмов контроля, необходимых для построения СУИБ (англ. Information Security Management System, ISMS), определенных на основе лучших примеров из мировой практики.

Этот стандарт и стал прародителем всех международных стандартов СУИБ. Как и любой национальный стандарт BS 7799 в период 1995—2000 годов пользовался, скажем так, умеренной популярностью только в рамках стран британского содружества.

В 1998 году появилась вторая часть этого стандарта — BS 7799—2 «СУИБ. Спецификация и руководство по применению», определившая общую модель построения СУИБ и набор обязательных требований, на соответствие которым должна производиться сертификация. С появлением второй части BS 7799, определившей, что должна из себя представлять СУИБ, началось активное развитие системы сертификации в области управления безопасностью.

В конце 1999 года эксперты Международной организации по стандартизации (англ. International Organization for Standardization, ISO) и Международной электротехнической комиссии (англ. International Electrotechnical Commission, IEC) пришли к выводу, что в рамках существующих стандартов отсутствует специализированный стандарт управления ИБ. Соответственно, было принято решение не заниматься разработкой нового стандарта, а по согласованию с «BSI», взяв за базу BS 7799—1, принять соответствующий международный стандарт ISO/IEC.

В конце 1999 года обе части BS 7799 были пересмотрены и гармонизированы с международными стандартами систем управления качеством ISO/IEC 9001 и экологией ISO/IEC 14001, а год спустя без изменений BS 7799—1 был принят в качестве международного стандарта ISO/IEC 17799:2000 «Информационные технологии (далее — ИТ). Практические правила управления ИБ».

В 2002 году была обновлена и первая часть стандарта BS 7799—1 (ISO/IEC 17799), и вторая часть BS 7799—2.

Что же касается официальной сертификации по ISO/IEC 17799, то она изначально не была предусмотрена (полная аналогия с BS 7799). Была предусмотрена только сертификация по BS 7799—2, который представлял собой ряд обязательных требований (не вошедших в BS 7799—1) и в приложении перечень условно обязательных (на усмотрение сертификатора) наиболее важных требований BS 7799—1 (ISO/IEC 17799).

На территории СНГ первой страной, которая в ноябре 2004 года приняла стандарт ISO/IEC 17799:2000 в качестве национального, была Беларусь. Россия ввела этот стандарт только в 2007 году. Центральный Банк РФ на его базе создал стандарт управления ИБ для банковской сферы РФ.

В составе ISO/IEC за разработку семейства международных стандартов по управлению ИБ отвечает подкомитет №27, поэтому была принята схема нумерации данного семейства стандартов с использованием серии последовательных номеров, начиная с 27000 (27k).

В 2005 году подкомитет SC 27 «Методы защиты ИТ» Объединенного технического комитета JTC 1 «ИТ» ISO/IEC разработал сертификационный стандарт ISO/IEC 27001 «ИТ. Методы защиты. СУИБ. Требования», пришедший на смену BS 7799—2, и теперь сертификация проводится уже по ISO 27001.

В 2005 году на основе ISO/IEC 17799:2000 был разработан ISO/IEC 27002:2005 «ИТ. Методы защиты. Свод норм и правил управления ИБ».

В начале 2006 года был принят новый британский национальный стандарт BS 7799—3 «СУИБ. Руководство по управлению рисками ИБ», который в 2008 году получил статус международного стандарта ISO/IEC 27005 «ИТ. Методы защиты. Управление рисками ИБ».

В 2004 году Британским институтом стандартов был опубликован стандарт ISO/IEC TR 18044 «ИТ. Методы защиты. Управление инцидентами ИБ». В 2011 году на его базе был разработан стандарт ISO/IEC 27035 «ИТ. Методы защиты. Управление инцидентами ИБ».

В 2009 году был принят стандарт ISO/IEC 27000 «ИТ. СУИБ. Общий обзор и терминология». Он предоставляет обзор систем управления ИБ и определяет соответствующие термины. Словарь тщательно сформулированных формальных определений охватывает большинство специализированных терминов, связанных с ИБ и используемых в стандартах группы ISO/IEC 27.

25 сентября 2013 года были опубликованы новые версии стандартов ISO/IEC 27001 и 27002. С этого момента стандарты серии ISO/IEC 27k (управление ИБ) полностью интегрированы со стандартами серии ISO/IEC 20k (управление ИТ-сервисами). Вся терминология из ISO/IEC 27001 перенесена в ISO/IEC 27000, который определяет общий терминологический аппарат для всего семейства стандартов ISO/IEC 27k.

1.2. Стандарт ISO/IEC 27000—2014

Последнее обновление стандарта ISO/IEC 27000 «ИТ. СУИБ. Общий обзор и терминология» состоялось 14 января 2014 года.

Стандарт состоит из следующих разделов:

— введение;

— сфера применения;

— термины и определения;

— системы управления ИБ;

— семейство стандартов СУИБ.

Введение

Обзор

Международные стандарты системы управления представляют модель для налаживания и функционирования системы управления. Эта модель включает в себя функции, по которым эксперты достигли согласия на основании международного опыта, накопленного в этой области.

При использовании семейства стандартов СУИБ организации могут реализовывать и совершенствовать СУИБ и подготовиться к ее независимой оценке, применяемой для защиты информации, такой как финансовая информация, интеллектуальная собственность, информация о персонале, а также информация, доверенная клиентами или третьей стороной. Эти стандарты могут использоваться организацией для подготовки независимой оценки своей СУИБ, применяемой для защиты информации.

Семейство стандартов СУИБ

Семейство стандартов СУИБ, имеющее общее название «Information technology. Security techniques» (Информационная технология. Методы защиты), предназначено для помощи организациям любого типа и размера в реализации и функционировании СУИБ и состоит из следующих международных стандартов:

— ISO/IEC 27000 СУИБ. Общий обзор и терминология;

— ISO/IЕС 27001 СУИБ. Требования;

— ISO/IEC 27002 Свод правил по управлению ИБ;

— ISO/IEC 27003 Руководство по реализации СУИБ;

— ISO/IEC 27004 УИБ. Измерения;

— ISO/IEC 27005 Управление рисками ИБ;

— ISO/IЕС 27006 Требования для органов, обеспечивающих аудит и сертификацию СУИБ;

— ISO/IEС 27007 Руководство по проведению аудита СУИБ;

— ISO/IEС TR 27008 Руководство по аудиту механизмов контроля ИБ;

— ISO/IEС 27010 УИБ для межсекторных и межорганизационных коммуникаций;

— ISO/IЕС 27011 Руководство пo УИБ для телекоммуникационных организаций на основе ISО/IEC 27002;

— ISO/IEС 27013 Руководство пo интегрированной реализации стандартов ISO/IEC 27001 и ISO/IEC 20000—1;

— ISO/IEС 27014 Управление ИБ высшим руководством;

— ISO/IEС TR 27015 Руководство пo УИБ для финансовых сервисов;

— ISO/IEС TR 27016 УИБ. Организационная экономика;

— ISO/IEС 27035 Управление инцидентами ИБ (в стандарте не указан).

Международный стандарт, не имеющие этого общего названия:

— ISO 27799 Информатика в здравоохранении. УИБ по стандарту ISO/IEC 27002.

Цель стандарта

Стандарт предоставляет обзор СУИБ и определяет соответствующие условия.

Семейство стандартов СУИБ содержит стандарты, которые:

— определяют требования к СУИБ и сертификации таких систем;

— содержат прямую поддержку, детальное руководство и разъяснение целого процесса создания, внедрения, сопровождения и улучшения СУИБ;

— включают в себя отраслевые руководящие принципы для СУИБ;

— руководят проведением оценки соответствия СУИБ.

1. Сфера применения

Стандарт предосталяет обзор СУИБ, а также условий и определений, широко использующихся в семействе стандартов СУИБ. Стандарт применим ко всем типам и размерам организаций (например, коммерческие предприятия, правительственные учреждения, неприбыльные организации).

2. Термины и определения

Раздел содержит определение 89 терминов, например:

— информационная система — приложения, сервисы, ИТ активы и другие компоненты обработки информации;

— информационная безопасность (ИБ) — сохранение конфиденциальности, целостности и доступности информации;

— доступность — свойство быть доступным и готовым к использованию по запросу уполномоченного лица;

— конфиденциальность — свойство информации быть недоступной или закрытой для неуполномоченных лиц;

— целостность — свойство точности и полноты;

— неотказуемость — способность удостоверять наступление события или действие и их создающих субьектов;

— событие ИБ — выявленное состояние системы (сервиса или сети), указывающее на возможное нарушение политики или мер ИБ, или прежде неизвестная ситуация, которая может касаться безопасности;

— инцидент ИБ — одно или несколько событий ИБ, которые со значительной степенью вероятности приводят к компрометации бизнес-операций и создают угрозы для ИБ;

— управление инцидентами ИБ — процессы обнаружения, оповещения, оценки, реагирования, рассмотрения и изучения инцидентов ИБ;

— система управления — набор взаимосвязанных элементов организации для установления политик, целей и процессов для достижения этих целей;

— мониторинг — определение статуса системы, процесса или действия;

— политика — общее намерение и направление, официально выраженное руководством;

— риск — эффект неопределенности в целях;

— угроза — возможная причина нежелательного инцидента, который может нанести ущерб;

— уязвимость — недостаток актива или меры защиты, которое может быть использовано одной или несколькими угрозами.

3. Системы управления ИБ

Раздел «СУИБ» состоит из следующих основных пунктов:

— описание СУИБ;

— внедрение, контроль, сопровождение и улучшение СУИБ;

— преимущества внедрения стандартов семейства СУИБ.

3.1. Введение

Организации всех типов и размеров:

— собирают, обрабатывают, хранят и передают информацию;

— осознают, что информация и связанные процессы, системы, сети и люди являются важными активами для достижения целей организации;

— сталкиваются с целым рядом рисков, которые могут повлиять на функционирование активов;

— устраняют предполагаемый риск посредством внедрения мер и средств ИБ.

Вся информация, хранимая и обрабатываемая организацией, является объектом для угроз атаки, ошибки, природы (например, пожар или наводнение) и т. п. и объектом уязвимостей, свойственных ее использованию.

Обычно понятие ИБ базируется на информации, которая рассматиривается как имеющий ценность актив и требует соответствующей защиты (например, от потери доступности, конфиденциальности и целостности). Возможность получить своевременный доступ уполномоченных лиц к точной и полной информации является катализатором бизнес-эффективности.

Эффективная защита информационных активов путем определения, создания, сопровождения и улучшения ИБ является необходимым условием для достижения организацией своих целей, а также поддержания и улучшения правового соответствия и репутации. Эти координированные действия, направленные на внедрение надлежащих мер защиты и обработку неприемлемых рисков ИБ, общеизвестны как элементы управления ИБ.

По мере изменения рисков ИБ и эффективности мер защиты в зависимости от меняющихся обстоятельств организации следует:

— контролировать и оценивать эффективность внедренных мер и процедур защиты;

— идентифицировать возникающие риски для обработки;

— выбирать, внедрять и улучшать соответствующие меры защиты надлежащим образом.

Для взаимосвязи и координации действий ИБ каждой организации следует сформировать политику и цели ИБ и эффективно достигать этих целей, используя систему управления.

3.2. Описание СУИБ

Описание СУИБ предусматривает следующие составляющие:

— положения и принципы;

— информация;

— информационная безопасность;

— управление;

— система управления;

— процессный подход;

— важность СУИБ.

Положения и принципы

СУИБ состоит из политик, процедур, руководств и соответствующих ресурсов и действий, коллективно управляемых организацией, для достижения защиты своих информационных активов. СУИБ определяет систематический подход к созданию, внедрению, обработке, контролю, пересмотру, сопровождению и улучшению ИБ организации для достижения бизнес-целей.

Она базируется на оценке риска и приемлемых уровнях риска организации, разработанных для эффективной обработки и управления рисками. Анализ требований защиты информационных активов и применение соответствующих мер защиты, чтобы обеспечить необходимую защиту этих активов, способствует успешной реализации СУИБ.

Следующие основные принципы способствуют успешной реализации СУИБ:

— понимание необходимости системы ИБ;

— назначение ответственности за ИБ;

— объединение обязательств руководства и интересов заинтересованных лиц;

— возрастание социальных ценностей;

— оценки риска, определяющие соответствующие меры защиты для достижения допустимых уровней риска;

— безопасность как неотъемлемый элемент ИС и сетей;

— активное предупреждение и выявление инцидентов ИБ;

— обеспечение комплексного подхода к УИБ;

— непрерывная переоценка и соответствующее улучшение ИБ.

Информация

Информация — это актив, который наряду с другими важными бизнес-активами важен для бизнеса организации и, следовательно, должен быть соответственно защищен. Информация может храниться в различных формах, включая такие как цифровая форма (например, файлы с данными, сохраненные на электронных или оптических носителях), материальная форма (например, на бумаге), а также в нематериальном виде в форме знаний сотрудников.

Информация может быть передана различными способами, включая курьера, электронную или голосовую коммуникацию. Независимо от того, в какой форме представлена информация и каким способом передается, она должна быть должным образом защищена.

Во многих организациях информация зависит от информационной и коммуникационной технологии. Эта технология является существенным элементом в любой организации и облегчает создание, обработку, хранение, передачу, защиту и уничтожение информации.

Информационная безопасность

ИБ включает в себя три основных измерения (свойства): конфиденциальность, доступность и целостность. ИБ предусматривает применение и управление соответствующими мерами безопасности, которые включают в себя рассмотрение широкого диапазона угроз, с целью обеспечения длительного успеха и непрерывности бизнеса и минимизации влияний инцидентов ИБ.

ИБ достигается применением соответствующего набора мер защиты, определенного с помощью процесса управления рисками и управляемого с использованием СУИБ, включая политики, процессы, процедуры, организационные структуры, программные и аппаратные средства, чтобы защитить идентифицированные информационные активы.

Эти меры защиты должны быть определены, реализованы, проконтролированы, проверены и при необходимости улучшены, чтобы гарантировать, что уровень ИБ соответствует бизнес-целям организации. Соответствующие меры и средства ИБ следует органично интегрировать в бизнес-процессы организации.

Управление

Управление включает в себя действия по руководству, контролю и непрерывному совершенствованию организации в рамках соответствующих структур. Управленческая деятельность включает в себя действия, методы или практику формирования, обработки, направления, наблюдения и контроля ресурсов. Величина управленческой структуры может варьироваться от одного человека в небольших организациях до управленческой иерархии в крупных организациях, состоящих из многих людей.

Относительно СУИБ управление включает в себя наблюдение и выработку решений, необходимых для достижения бизнес-целей посредством защиты информационных активов. Управление ИБ выражается через формулирование и использование политик ИБ, процедур и рекомендаций, которые затем применяются повсеместно в организации всеми лицами, связанными с ней.

Система управления

Система управления использует совокупность ресурсов для достижения целей организации. Система управления организации включает в себя структуру, политики, планирование, обязательства, методы, процедуры, процессы и ресурсы.

В части ИБ система управления позволяет организации:

— удовлетворять требования безопасности клиентов и других заинтересованных лиц;

— улучшать планы и деятельность организации;

— соответствовать целям ИБ организации;

— выполнять нормативы, законодательство и отраслевые приказы;

— организованно управлять информационными активами для содействия постоянному улучшению и коррекции текущих целей организации.

3.3. Процессный подход

Организации нужно вести разные виды деятельности и управлять ими для того, чтобы функционировать эффективно и результативно. Любой вид деятельности, использующий ресурсы, нуждается в управлении для того, чтобы обеспечить возможность преобразования входов в выходы посредством совокупности взаимосвязанных действий, — это также называется процессом.

Выход одного процесса может непосредственно формировать вход следующего процесса, и обычно такая трансформация происходит в планируемых и управляемых условиях. Применение системы процессов в рамках организации вместе с идентификацией и взаимодействием этих процессов, а также их управлением может быть определено как «процессный подход».

Дополнительная информация (в стандарте отсутствует)

Родоначальником процессного подхода к управлению качеством принято считать американского ученого Уолтера Шухарта. Его книга начинается с выделения 3-х стадий в управлении качеством результатов деятельности организации:

1) разработка спецификации (техническое задание, технические условия, критерии достижения целей) того, что требуется;

2) производство продукции, удовлетворяющей спецификации;

3) проверка (контроль) произведенной продукции для оценки ее соответствия спецификации.

Шухарт одним из первых предложил линейное восприятие указанных стадий замкнуть в цикл, который он отождествил с «динамическим процессом приобретения знаний».

После первого цикла результаты проверки должны являться основой совершенствования спецификации на продукцию. Далее производственный процесс корректируется на основе уточненной спецификации, а новый результат производственного процесса опять же подвергается проверке и т. д.

Американский ученый Эдвардс Деминг трансформировал цикл Шухарта в форму, наиболее часто встречаемую сегодня. Он, чтобы перейти от контроля качества к управлению качеством, дал более общие названия каждому из этапов, и, кроме того, добавил еще один, 4-й этап, с помощью которого он хотел обратить внимание американских менеджеров на то, что они недостаточно анализируют полученную на третьем этапе информацию и не улучшают процесс. Именно поэтому этот этап называется «воздействуй» (Act), и соответственно цикл Шухарта-Деминга называют моделью «PDCA» или «PDSA»:

— Plan — Планирование — идентификация и анализ проблем; оценка возможностей, постановка целей и разработка планов;

— Do — Реализация — поиск решения проблем и реализация планов;

— Check (Study) — Оценка результативности — оценка результатов реализации и выводы в соответствии с поставленной задачей;

— Act — Улучшение — принятие решений на основе полученных выводов, коррекция и улучшение работы.

Модель «PDCA» для СУИБ

Планирование — Реализация — Контроль — Улучшение

1. Планирование (разработка и проектирование): установление целей, политик, элементов управления, процессов и процедур СУИБ для достижения результатов, соответствующих общей политике и целям организации.

2. Реализация (внедрение и обеспечение функционирования): внедрение и применение политик ИБ, элементов управления, процессов и процедур СУИБ по оценке и обработке рисков и инцидентов ИБ.

3. Контроль (мониторинг и анализ функционирования): оценка результативности выполнения требований политик, целей ИБ и эффективности функционирования СУИБ и оповещение высшего руководства о результатах.

4. Улучшение (сопровождение и усовершенствование): проведение корректирующих и предупреждающих действий, основанных на результатах аудита и анализа со стороны руководства для достижения улучшения СУИБ

Метод и цикл Шухарта-Деминга, который чаще называют циклом Деминга, обычно иллюстрируют схему управления любым процессом деятельности. Он с необходимыми уточнениями к настоящему времени получил широкое применение в международных стандартах управления:

— качеством продукции ISO 9000;

— охраной окружающей среды ISO 14000;

— техникой безопасности и охраной труда OHSAS 18000;

— информационными сервисами ISO/IEC 20000;

— безопасностью пищевой продукции ISO 22000;

— информационной безопасностью ISO/IEC 27000;

— безопасностью ISO 28000;

— непрерывностью бизнеса ISO 22300;

— рисками ISO 31000;

— энергетикой ISO 50000.

3.4. Важность СУИБ

Организации следует определить риски, связанные с информационными активами. Достижение ИБ требует управления риском и охватывает риски физические, человеческие и технологические, относящиеся к угрозам, касающимся всех форм информации внутри организации или используемой организацией.

Принятие СУИБ является стратегическим решением для организации, и необходимо, чтобы это решение постоянно интегрировалось, оценивалось и обновлялось в соответствии с потребностями организации.

На разработку и реализацию СУИБ организации влияют потребности и цели организации, требования безопасности, используемые бизнес-процессы, а также размер и структура организации. Разработка и функционирование СУИБ должны отражать интересы и требования ИБ всех заинтересованных лиц организации, включая клиентов, поставщиков, бизнес-партнеров, акционеров и других третьих сторон.

Во взаимосвязанном мире информация и относящиеся к ней процессы, системы и сети составляют критичные активы. Организации и их ИС и сети сталкиваются с угрозами безопасности из широкого диапазона источников, включая компьютерное мошенничество, шпионаж, саботаж, вандализм, а также пожар и наводнение. Повреждения ИС и систем, вызванные вредоносным ПО, действиями хакеров и DoS-атаками, стали более распространенными, более масштабными и более изощренными.

СУИБ важна для предприятий как государственного, так приватного сектора. В любой отрасли СУИБ является необходимым инструментом для поддержания электронного бизнеса и важна для действий по управлению риском. Взаимосвязь общедоступных и приватных сетей и обмен информационными активами усложняют управления доступом к информации и ее обработку.

Кроме того, распространение мобильных устройств хранения данных, содержащих информационные активы, может ослабить эффективность традиционных мер защиты. Когда организации принимают семейство стандартов СУИБ, способность применения последовательных и взаимоузнаваемых принципов ИБ можно продемонстрировать бизнес-партнерам и другим заинтересованным сторонам.

ИБ не всегда учитывается при создании и разработке ИС. Кроме того, часто считается, что ИБ — это техническая проблема. Однако ИБ, которая может быть достигнута с помощью технических средств, ограничена и может быть неэффективной, не будучи поддержанной соответствующим управлением и процедурами в контексте СУИБ. Встраивание системы безопасности в функционально завершенную ИС может быть сложным и дорогостоящим.

СУИБ включает в себя идентификацию имеющихся мер защиты и требует тщательного планирования и внимания к деталям. Например, меры разграничения доступа, которые могут быть техническими (логическими), физическими, административными (управленческими), или их комбинацией, гарантируют, что доступ к информационным активам санкционируется и ограничивается на основании требований бизнеса и ИБ.

Успешное применение СУИБ важно для защиты информационных активов, поскольку позволяет:

— повысить гарантии того, что информационные активы адекватно защищены на непрерывной основе от угроз ИБ;

— поддерживать структурированную и всестороннюю систему оценки угроз ИБ, выбора и применения соответствующих мер защиты, измерения и улучшения их эффективности;

— постоянно улучшать среду управления организации;

— эффективно соответствовать правовым и нормативным требованиям.

3.5. Внедрение, контроль, сопровождение и улучшение СУИБ

Внедрение, контроль, сопровождение и улучшение СУИБ являются оперативными этапами развития СУИБ.

Оперативные этапы СУИБ определяют следующие составляющие:

— общие положения;

— требования ИБ;

— решающие факторы успеха СУИБ.

Оперативные этапы СУИБ обеспечивают следующие мероприятия:

— оценка рисков ИБ;

— обработка рисков ИБ;

— выбор и внедрение мер защиты;

— контроль и сопровождение СУИБ;

— постоянное улучшение.

Общие положения

Организация должна предпринимать следующие шаги по внедрению, контролю, сопровождению и улучшению ее СУИБ:

— определение информационных активов и связанных с ними требований ИБ;

— оценка и обработка рисков ИБ;

— выбор и внедрение соответствующих мер защиты для управления неприемлемыми рисками;

— контроль, сопровождение и повышение эффективности мер защиты, связанных с информационными активами организации.

Для гарантии того, что СУИБ эффективно защищает информационные активы организации на постоянной основе, необходимо постоянно повторять все шаги, чтобы выявлять изменения рисков или стратегии организации или бизнес-целей.

Требования ИБ

В пределах общей стратегии и бизнес-целей организации, ее размера и географического распространения требования ИБ могут быть определены в результате понимания:

— информационных активов и их ценности;

— бизнес-потребностей в работе с информацией;

— правовых, нормативных и договорных требований.

Проведение методической оценки рисков, связанных с информационными активами организации, включает в себя анализ:

— угроз активам;

— уязвимостей активов;

— вероятности материализации угрозы;

— возможного влияния инцидента ИБ на активы.

Расходы на соответствующие меры защиты должны быть пропорциональны предполагаемому бизнес-влиянию от материализации риска.

Оценка рисков ИБ

Управление рисками ИБ требует соответствующего метода оценки и обработки риска, который может включать оценку затрат и преимуществ, правовых требований, проблем заинтересованных сторон, и других входных и переменных данных.

Оценки риска должны идентифицировать, измерить и установить приоритеты для рисков с учетом критерия принятия риска и целей организации. Результаты помогут выработать и принять соответствующие управленческие решения для действия и установления приоритетов по управлению рисками ИБ и внедрению мер защиты, выбранных для защиты от этих рисков.

Оценка риска должна включать систематический подход к оценке масштаба рисков (анализ риска) и процесс сравнения оцененных рисков с критерием риска для определения серьезности рисков (оценивание риска).

Оценки риска должны осуществляться периодически, чтобы вносить изменения в требования ИБ и ситуации риска, например, в активы, угрозы, уязвимости, влияния, оценивание риска, и в случае значительных изменений. Эти оценки риска должны осуществляться методично, чтобы обеспечить сопоставимые и воспроизводимые результаты.

Оценка риска ИБ должна четко определять сферу применения, чтобы быть эффективной, и содержать взаимодействия с оценками риска в других сферах, по возможности.

Стандарт ISO/IEC 27005 представляет руководство по управлению рисками ИБ, включая рекомендации по оценке, обработке, принятию, оповещению, мониторингу и анализу риска.

Обработка рисков ИБ

Перед рассмотрением обработки риска организации следует установить критерий для определения, можно принять риски или нет. Риски можно принять, если риск низкий или цена обработки не рентабельна для организации. Такие решения должны быть записаны.

Для каждого риска, определенного оценкой риска, следует принять решение о его обработке. Возможные варианты обработки риска включают:

— применение соответствующих мер защиты для снижения рисков;

— осознанное и объективное принятие рисков в строгом соответствии с политикой организации и критерием принятия риска;

— предотвращение рисков путем исключения действий, приводящих к появлению рисков;

— обмен связанными рисками с другими сторонами, например, страховщиками или поставщиками.

Соответствующие меры защиты от тех рисков, для которых принято решение об их применении с целью обработки рисков, дожны быть выбраны и внедрены.

Выбор и внедрение мер защиты

После определения требований к ИБ, определения и оценки рисков ИБ для информационных активов и принятия решений по обработке рисков ИБ должны быть выбраны и внедрены соответствующие меры защиты для снижения рисков.

Меры и средства ИБ должны гарантировать снижение рисков до приемлемого уровня с учетом:

— требований и ограничений национального и международного законодательства и нормативов;

— целей организации;

— операционных требований и ограничений;

— цены их внедрения и функционирования для снижения рисков, пропорциональной требованиям и ограничениям организации;

— их внедрения для контроля, оценки и улучшения результативности и эффективности мер и средств ИБ для поддержки целей организации;

— необходимости сбалансировать инвестиции на внедрение и функционирование мер защиты от вероятных потерь в результате инцидентов ИБ.

Меры защиты, изложенные в ISO/IEC 27002, общепризнаны как лучшие методы, применимые к большинству организаций и легко приспосабливаемые для организаций разной величины и структуры. Другие стандарты семейства стандартов СУИБ рекомендуют выбор и применение мер защиты, изложенных в стандарте ISO/IEC 27002, для СУИБ.

Меры и средства ИБ при разработке ИС следует рассматривать на стадии формирования системных и проектных требований и технического задания. Невыполнение этого может привести к дополнительным затратам и менее эффективным решениям и, может быть, в худшем случае, к невозможности достичь адекватной безопасности.

Меры защиты следует выбирать из стандарта ISO/IEC 27002 или других перечней, или создавать новые при особой необходимости. Следует осознавать, что некоторые меры защиты могут не подойти для каждой ИС или среды или быть неприемлемыми для всех организаций.

Иногда требуется время для внедрения набора мер защиты и в течение этого времени риск может быть выше приемлемого уровня долгое время. Критерий риска должен предусматривать приемлемость риска на короткое время, пока меры защиты внедряются. Заинтересованные стороны должны быть информированы об уровнях риска, которые оцениваются и прогнозируются в разные моменты времени, по мере последовательного внедрения средств защиты.

Надо понимать, что существующих мер защиты может быть недостаточно для достижения полноценной ИБ. Следует предпринять дополнительные управленческие действия для контроля, оценки и улучшения результативности и эффективности мер и средств ИБ для поддержки целей организации.

Выбор мер и средств ИБ должен быть задокументирован в Положении о применимости для соблюдения требований ИБ.

Контроль и сопровождение СУИБ

Организация должна контролировать и сопровождать СУИБ путем мониторинга и оценки деятельности на предмет соответствия политикам и целям организации и предоставления руководству результатов для анализа. Этот анализ СУИБ позволит наглядно показать, что СУИБ содержит специальные меры защиты, способные обрабатывать риски в сфере применения СУИБ. Кроме того, на основе записей этих контролируемых сфер СУИБ предоставляет данные проверки и корректирующих, профилактических и улучшающих действий.

Постоянное улучшение

Целью постоянного улучшения СУИБ является увеличение вероятностей достижения целей ИБ. Постоянное улучшение следует сфокусировать на поиске возможностей для улучшения и предоположении, что управленческая деятельность не так хороша, как могла бы быть.

Действия по улучшению содержат следующее:

— анализ и оценка существующей ситуации для определения сфер улучшения;

— формирование целей улучшения;

— поиск возможных решений для достижения целей;

— оценка этих решений и осуществление выбора;

— реализация выбранного решения;

— измерение, проверка, анализ и оценка результатов реализации для определения того, что цели достигнуты;

— формализованные изменения.

Результаты следует пересматривать, при необходимости, для определения дальнейших возможностей улучшения. В этом случае, улучшение является непрерывным действием, т.е. действия часто повторяются. Отзывы клиентов и других заинтересованных сторон, аудиты и анализ СУИБ могут также использоваться для определения возможностей улучшения.

3.6. Решающие факторы успеха СУИБ

Для успешной реализации СУИБ, позволяющей организации достичь своих бизнес-целей, имеет значение большое количество факторов. Примеры решающих факторов успеха включают в себя следующие:

— политика ИБ, цели и деятельность, ориентированная на цели;

— подход и структура для разработки, внедрения, контроля, сопровождения и улучшения ИБ, соответствующие корпоративной культуре;

— видимая поддержка и обязательства со стороны всех уровней управления, особенно высшего руководства:

— понимание требований защиты информационных активов, достигаемое применением управления рисками ИБ (см. ISO/IEC 27005);

— эффективное информирование, обучение и образовательная программа по ИБ, доводящая до сведения всех сотрудников и других причастных сторон их обязательства по ИБ, сформулированные в политиках ИБ, стандартах и т. д., а также их мотивирование к соответствующим действиям;

— эффективный процесс управления инцидентами ИБ:

— эффективный подход к управлению непрерывностью бизнеса;

— система измерения, используемая для оценки управления ИБ, и предложения по улучшению, взятые из отзывов.

СУИБ увеличивает вероятность того, что организация будет последовательно достигать решающих факторов успеха, необходимых для защиты ее информационных активов.

3.7. Преимущества внедрения стандартов семейства СУИБ

Преимущества реализации СУИБ проистекают, прежде всего, из сокращения рисков ИБ (т.е. снижения вероятности инцидентов ИБ и/или вызванного ими влияния). В частности, преимущества, полученные от принятия семейства стандартов СУИБ, содержат:

— структурированную базу для поддержания процесса определения, внедрения, функционирования и сопровождения комплексной, рентабельной, значимой, интегрированной и ориентированной СУИБ для удовлетворения разных потребностей организации;

— помощь руководству для стабильного управляющего и операционного подхода к управлению ИБ ответственным образом в контексте государственного и корпоративного управления рисками, включая обучение и тренинг владельцев систем и бизнеса по комплексному управлению ИБ;

— продвижение общепринятых лучших методов ИБ в необязывающей форме, предоставляющей организациям свободу принятия и улучшения мер защиты, соответствующих их особенностям и поддерживающих в случаях внутренних и внешних изменений;

— предоставление общего языка и концептуальной базы для ИБ, что облегчает взаимопонимание бизнес-партнеров с похожими СУИБ, особенно, если они требуют сертификат соответствия ISO/IEC 27001 от аккредитованного органа сертификации;

— повышение доверия заинтересованных сторон к организации;

— удовлетворение социальных нужд и ожиданий;

— более эффективное экономическое управление инвестициями в ИБ.

На этом рассмотрение стандарта ISO/IEC 27000 заканчиваем.

Сертификация СУИБ

Для подтверждения соответствия существующей в организации СУИБ требованиям стандарта, а также ее адекватности существующим бизнес рискам необходима процедура добровольной сертификации. Хотя без этого можно и обойтись, в большинстве случаев сертификация полностью оправдывает вложенные средства и время.

Во-первых, официальная регистрация СУИБ организации в реестре авторитетных органов, таких как служба аккредитации Великобритании (UKAS), укрепляет репутацию фирмы, повышает интерес со стороны потенциальных клиентов, инвесторов и кредиторов.

Во-вторых, в результате успешной сертификации расширяется сфера деятельности компании за счет получения возможности участия в тендерах и развития бизнеса на международном уровне. В наиболее чувствительных к уровню ИБ областях, такой, например, как финансы, наличие сертификата соответствия ISO/IEC 27001 начинает выступать как обязательное требование для осуществления деятельности.

Также очень важно, что процедура сертификации оказывает серьезное мотивирующее и мобилизующее воздействие на персонал компании: повышается уровень осведомленности сотрудников, эффективнее выявляются и устраняются недостатки и несоответствия в СУИБ, что в перспективе означает для организации снижение среднестатистического ущерба от инцидентов ИБ, а также сокращение накладных расходов на эксплуатацию информационных систем. Вполне возможно, наличие сертификата позволит застраховать информационные риски организации на более выгодных условиях.

Следует подчеркнуть, что все перечисленные преимущества организация получает только в том случае, если речь идет о системе сертификации, имеющей международное признание, в рамках которой обеспечивается надлежащее качество проведения работ и достоверность результатов.

Подготовка к сертификации

Подготовка организации к сертификации по ISO/IEC 27001 — процесс довольно длительный и трудоемкий. В общем случае, он включает в себя 6 последовательных этапов, которые выполняются организацией, как правило, при помощи внешних консультантов.

1. Предварительный аудит СУИБ, в ходе которого оценивается текущее состояние, осуществляется инвентаризация и документирование всех основных составляющих СУИБ, определяются область и границы сертификации и выполняется еще целый ряд необходимых подготовительных действий. По результатам аудита разрабатывается детальный план мероприятий по подготовке к сертификации.

2. Оценка информационных рисков, основной целью которой является определение применимости описанных в стандарте механизмов контроля в данной конкретной организации, подготовка декларации о применимости и плана обработки рисков.

3. Анализ расхождений с требованиями стандарта, в результате которого оценивается текущее состояние механизмов контроля в организации и идентифицируются расхождения с декларацией о применимости.

4. Планирование и подготовка программы внедрения недостающих механизмов контроля, по каждому из которых разрабатывается соответствующая стратегия и план.

5. Работы по внедрению недостающих механизмов контроля, которые включают в себя 3 основные составляющие:

— подготовка и повышение осведомленности сотрудников (обучение и тренинги);

— подготовка документации СУИБ (политики, стандарты, процедуры, регламенты, инструкции, планы);

— подготовка свидетельств функционирования СУИБ (отчеты, протоколы, приказы, записи, журналы событий и т.п).

6. Подготовка к сертификационному аудиту: анализируется состояние СУИБ, оценивается степень ее готовности к сертификации, уточняется область и границы сертификации, проводятся соответствующие переговоры с аудиторами органа по сертификации.

Точки преткновения

В процессе внедрения СУИБ возникает много точек преткновения. Часть из них связаны с нарушением описанных выше фундаментальных принципов управления безопасностью. Серьезные затруднения для украинских организаций лежат в законодательной области.

Использование ISO/IEC 27001—2005 как национального стандарта, в то время как уже введен в действие ISO/IEC 27001—2013, а также неотрегулированность системы сертификации средств защиты информации серьезно затрудняет выполнение одного из главных требований стандарта — соответствие действующему законодательству.

Источником затруднений нередко служит неправильное определение области действия и границ СУИБ. Слишком широкая трактовка области действия СУИБ, например, включение в эту область всех бизнес-процессов организации, значительно снижает вероятность успешного завершения проекта по внедрению и сертификации СУИБ.

Столь же важно правильно представлять, где проходят границы СУИБ и каким образом она связана с другими системами управления и процессами организации. Например, СУИБ и система управления непрерывностью бизнеса (СУНБ) организации тесно пересекаются. Последняя является одной из 14 определяемых стандартом областей контроля ИБ. Однако СУИБ включает в себя только ту часть СУНБ, которая связана с ИБ — это защита критичных бизнес процессов организации от крупных сбоев и аварий информационных систем. Другие аспекты СУНБ выходят за рамки СУИБ.

Стандарт — гарантия безопасности

Сегодня организация работы серьезной и эффективной компании, претендующей на успешное развитие, обязательно базируется на современных информационных технологиях. Поэтому обратить внимание на стандарты управления ИБ стоит компаниям любого масштаба. Как правило, вопросы управления ИБ тем актуальнее, чем крупнее компания, чем шире масштаб ее деятельности и претензии на развитие, и, как следствие, выше ее зависимость от информационных технологий.

Использование семейства международных стандартов ISO/IEC 27k позволяет существенно упростить создание, эксплуатацию и развитие СУИБ. Требования нормативной базы и рыночные условия вынуждают организации применять международные стандарты при разработке планов и политик обеспечения ИБ и демонстрировать свою приверженность путем проведения аудитов и сертификаций ИБ. Соответствие требованиям стандарта представляет определенные гарантии наличия в организации базового уровня ИБ, что оказывает положительное влияние на имидж компании.

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

ГОСТ Р исо/мэк 27003—

2012

Информационная технология

Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

ISO/IEC 27003:2010 Information technology — Security techniques — Information security management systems implementation guidance (IDT)

Издание официальное

Москва Стандарт* нформ

2014

ГОСТ Р ИСО/МЭК 27003—2012

Предисловие

1    ПОДГОТОВЛЕН Федеральным бюджетным учреждением «Консультационно-внедренческая фирма в области международной стандартизации и сертификации — «Фирма «Интерстандарт» (ФБУ «КВФ «Интерстандарт») совместно с Евро-Азиатской ассоциацией производителей товаров и услуг в области безопасности (Ассоциация ЕВРААС) и ООО «Научно-испытательный институт систем обеспечения комплексной безопасности» (ООО «НИИ СОКБ») на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 ноября 2012 г. № 812-ст

4    Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27003:2010 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности» (ISO/IEC 27003:2010 «Information technology— Security techniques—Information security management systems implementation guidance»).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном указателе «Национальнью стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования—на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)

©Стандартинформ, 2014

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

и

ГОСТ Р ИСО/МЭК 27003—2012

Содержание

1    Область применения………………………………… 1

2    Нормативные ссылки………………………………… 1

3    Термины и определения……………………………….. 2

4    Структура настоящего стандарта…………………………… 2

4.1    Общая структура разделов настоящего стандарта………………….. 2

4.2 Общая структура раздела настоящего стандарта………………….. 3

4.3 Схемы……………………………………… 3

5    Получение одобрения руководства для запуска проекта СМИБ……………… 5

5.1    Описание получения одобрения руководства для запуска проекта СМИБ……….. 5

5.2    Определение приоритетов организации для разработки СМИБ…………….. 5

5.3    Определение предварительной области действия СМИБ………………. 8

5.4    Разработка технического обоснования и плана проекта для получения санкции руководства . .    9

6    Определение области действия СМИБ. границ и политики СМИБ…………….. 11

6.1 Общее описание определения области действия СМИБ. границ и политики СМИБ……. 11

6.2    Определение организационной области действия и границ………………. 11

6.3    Определение области действия и границ для информационных и коммуникационных технологий

(ИКТ)……………………………………… 13

6.4    Определение физической области действия и границ…………………. 14

6.5 Объединение всех областей действия и границ для получения области действия и границ СМИБ    15

6.6    Разработка политики СМИБ и получение одобрения руководства…………… 16

7    Проведение анализа требований к информационной безопасности……………. 16

7.1    Общее описание проведения анализа требований к информационной безопасности…… 16

7.2    Определение требований к информационной безопасности для процесса СМИБ…….. 17

7.3    Определение активов в рамках области действия СМИБ………………. 19

7.4    Проведение оценки информационной безопасности…………………. 19

8    Проведение оценки риска и планирование обработки риска……………….. 20

8.1    Описание проведения оценки риска и планирования обработки риска…………. 20

8.2    Проведение оценки риска…………………………….. 21

8.3    Выбор целей и средств управления………………………… 23

8.4    Получение санкции руководства на внедрение и использование СМИБ………… 23

9    Разработка СМИБ………………………………….. 24

9.1    Описание разработки СМИБ……………………………. 24

9.2    Разработка информационной безопасности организации……………….. 25

9.3    Разработка информационной безопасности ИКТ и физических объектов………… 30

9.4    Создание условий для обеспечения надежного функционирования СМИБ……….. 32

9.5    Составление окончательного плана проекта СМИБ………………….. 34

Приложение А (справочное) Описание контрольного перечня……………….. 35

Приложение В (справочное) Роли и сферы ответственности в области информационной безопасности 40

Приложение С (справочное) Информация по внутреннему аудиту……………… 44

Приложение D (справочное)    Структура политики……………………… 45

Приложение Е (справочное)    Мониторинг и измерения…………………… 48

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

ссылочным национальным стандартам Российской Федерации……….. 53

Библиография…………………………………….. 54

III

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

Методы и средства обеспечения безопасности.

Системы менеджмента информационной безопасности.

Руководство по реализации системы менеджмента информационной безопасности

Information technology. Security techniques. Information security management systems. Implementation guidance

of information security management system

Дата введения —2013—12—01

1    Область применения

В настоящем стандарте рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения системы менеджмента информационной безопасности (СМИБ) в соответствии со стандартом ISO/IEC 27001:2005. В нем описывается процесс определения и разработки СМИБ от запуска до составления планов внедрения. В нем описывается процесс получения одобрения руководством внедрения СМИБ. определяется проект внедрения СМИБ (упоминается в настоящем стандарте как проект СМИБ) и представлены рекомендации по планированию проекта СМИБ. в результате которого получается окончательный план внедрения СМИБ.

Настоящий стандарт предназначен для использования организациями, применяющими СМИБ. Он применяется ко всем типам организаций (например, коммерческим предприятиям, правительственным органам, некоммерческим организациям) любых размеров. Сложность структуры и риски каждой организации уникальны, и на внедрение СМИБ будут влиять ее особые требования. Небольшие организации могут посчитать, что действия, указанные в настоящем стандарте, применимы к ним и могут быть упрощены. Крупным организациям или организациям со сложной структурой для эффективного выполнения действий, указанных в настоящем стандарте, может потребоваться многоуровневая система организации или управления.

Однако в обоих случаях соответствующие действия можно планировать, применяя настоящий стандарт.

Настоящий стандарт содержит рекомендации и разъяснения; в нем не указано никаких требований. Настоящий стандарт предназначен для использования в сочетании с ISO/IEC 27001:2005 и ISO/IEC 27002:2005, но не предназначен для изменения или сокращения требований, указанных в ISO/IEC 27001:2005, или рекомендаций, содержащихся в ISO/IEC 27001:2005.

Предъявление требований на соответствие настоящему стандарту не применяется.

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты (для недатированных ссылок следует использовать только последнее издание указанного стандарта, включая поправки).

ISO/IEC 27000:2009 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология (ISO/IEC 27000:2009, Information technology — Security techniques — Information security management systems — Overview and vocabulary)

ISO/IEC 27001:2005 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001:2005. Information technology — Security techniques — Information security management systems — Requirements)

Издание официальное

3    Термины и определения

В настоящем стандарте применены термины и определения по ISO/IEC 27000:2009, ISO/IEC 270012005, а также следующий термин с соответствующим определением.

3.1    проект СМИБ (ISMS project): Структурированные действия, предпринимаемые организацией для внедрения системы управления информационной безопасностью.

4    Структура настоящего стандарта

4.1    Общая структура раздела настоящего стандарта

Внедрение системы менеджмента информационной безопасности (СМИБ) является важным видом деятельности и обычно осуществляется в организации как проект. В настоящем стандарте объясняется внедрение СМИБ с подробным описанием запуска, планирования и определения проекта. Процесс планирования конечного внедрения СМИБ включает пять фаз, и каждая фаза представлена в отдельном пункте. Все разделы имеют одинаковую структуру, описываемую ниже. Эти пять фаз следующие:

a)    получение одобрения руководства для запуска проекта СМИБ (раздел 5);

b)    определения области действия и политики СМИБ (раздел 6);

c)    проведение анализа организации (раздел 7);

d)    проведение анализа рисков и планирование обработки рисков (раздел 8):

e)    разработка СМИБ (раздел 9).

На рисунке 1 представлены пять фаз планирования проекта СМИБ с указанием стандартов ISO/IEC и основных выходных документов.

Дополнительная информация приведена в приложениях:

Приложение А. Описание контрольного перечня.

Приложение В. Роли и сферы ответственности в области информационной безопасности. Приложение С. Информация по внутреннему аудиту.

Приложение D. Структура политики.

Приложение Е. Мониторинг и измерения.

2

ГОСТ Р ИСО/МЭК 27003—2012

4.2    Общая структура раздела настоящего стандарта

Каждый раздел содержит:

a)    цель или цели (начиная с того, чего необходимо достичь), указанные в начале каждого раздела в текстовом окне,

или

b)    действие или действия, необходимые для достижения цели или целей данной фазы.

Каждое действие описывается в соответствующем пункте.

Описания действий в каждом подпункте структурированы следующим образом:

Действие

Действие определяет, что необходимо сделать для выполнения данного действия, чтобы достичь всех целей или части целей данной фазы.

Исходные данные

В исходных данных представлено описание отправной точки, например, наличие документированных решений или выходных данных других действий, описываемых в настоящем стандарте. Исходные данные могут упоминаться как полный набор исходных данных в начале соответствующего пункта или конкретная информация по какому либо действию, которая может добавляться после ссылки на соответствующий пункт.

Рекомендации

В рекомендациях содержится подробная информация, позволяющая выполнить данное действие. Некоторые рекомендации могут не соответствовать для применения во всех случаях, и другие способы достижения результата могут быть более оптимальными.

Выходные данные

В выходных данных описывается результат(ы) или документ(ы) для сдачи, получаемые после выполнения действия. Выходные данные являются одинаковыми независимо от размера организации и области действия СМИБ.

Дополнительная информация

В разделе дополнительной информации содержится дополнительная информация, которая может помочь в выполнении действия, например, ссылки на другие стандарты.

Примечание — Фазы и действия, описываемые в данном стандарте, включают предлагаемую последовательность выполнения действий на основе зависимостей, определяемых на основе описаний «исходных данных» и «выходных данных» для каждого действия. Однако в зависимости от множества различных факторов (например, эффективности существующей системы управления, понимания важности информационной безопасности, причин внедрения СМИБ) организация может выбирать в любом порядке любые действия, необходимые для подготовки к учреждению и внедрению СМИБ.

4.3    Схемы

Проект часто изображается в графическом виде или в виде схем, показывающих выполняемые действия и их результаты.

На рисунке 2 показаны условные обозначения на схемах, указываемых в пункте обзора каждой фазы. Схемы обеспечивают обзор высокого уровня действий, входящих в каждую фазу.

8 верхнем прямоугольнике показаны фазы планирования проекта СМИБ. Фаза, разъясняемая в конкретном пункте, затем указывается вместе с ключевыми выходными документами.

Нижняя схема (действия в фазе) показывает ключевые действия в указанной фазе верхнего прямоугольника и основные выходные документы каждой фазы.

Временная шкала на нижней схеме основывается на временной шкале верхней схемы.

Действия А и В могут выполняться одновременно. Действие С следует начинать после завершения действий А и В.

3

ГОСТ Р ИСО/МЭК 27003—2012

4

Действия в фазе

Временная шкала

Временная шкала

Рисунок 2 — Условные обозначения на блок-схеме

ГОСТ Р ИСО/МЭК 27003—2012

5 Получение одобрения руководства для запуска проекта СМИБ

5.1    Описание получения одобрения руководства для запуска проекта СМИБ

Существует несколько факторов, которые необходимо учитывать при принятии решения о внедрении СМИБ. Для того чтобы учесть эти факторы, руководство должно рассмотреть деловые аргументы в пользу внедрения проекта СМИБ и утвердить его. Следовательно, цель этой фазы — получить одобрение руководства для запуска проекта СМИБ посредством определения случая применения СМИБ для данного предприятия и плана проекта.

Чтобы получить одобрение руководства, организация должна составить описание случая применения СМИБ для данного предприятия, включающее приоритеты и цели внедрения СМИБ, а также структуру организации для СМИБ. Наряду с этим следует составить начальный план проекта СМИБ.

Работа, выполняемая в данной фазе, позволит организации понять важность СМИБ и определить роли и сферы ответственности в области информационной безопасности внутри организации, требуемые для проекта СМИБ.

Ожидаемым результатом этой фазы будет предварительное разрешение руководства и принятие им обязательства по внедрению СМИБ и выполнению действий, описываемых в настоящем стандарте. Выходные данные 8 этом пункте включают описание случая применения СМИБ для данного предприятия и предварительный план проекта СМИБ с описанием ключевых этапов.

На рисунке 3 показан процесс получения одобрения руководства для запуска проекта СМИБ.

Примечание — Выходные данные раздела 5 (документированное поручение руководства на планирование и внедрение СМИБ) и один из документов с выходными данными раздела 7 (документированное описание состояния информационной безопасности) не являются требованиями ISO/IEC 27001:2005. Однако выходные данные по этим действиям являются рекомендованными исходными данными для других действий, описываемых в данном документе.

5.2    Определение приоритетов организации для разработки СМИБ

Действия

Цели внедрения СМИБ должны учитываться при рассмотрении приоритетов и требований организации к информационной безопасности.

Исходные данные:

a)    стратегические цели организации;

b)    обзор существующих систем управления;

c)    перечень правовых, нормативных и договорных требований к информационной безопасности, применяемых в организации.

Рекомендации

Для запуска проекта СМИБ обычно требуется одобрение руководства. Следовательно, первое действие, которое необходимо выполнить, — сбор существенной информации, показывающей значение СМИБ для организации. Организация должна определить, зачем нужна СМИБ, определить цели внедрения СМИБ и запустить проект СМИБ.

Цели внедрения СМИБ можно определить, ответив на следующие вопросы;

a)    менеджмент риска — как может СМИБ улучшить управление рисками для информационной безопасности?

b)    результативность — как может СМИБ улучшить управление информационной безопасностью?

c)    преимущества для предприятия — как может СМИБ создать конкурентные преимущества для организации?

Чтобы ответить на приведенные выше вопросы, необходимо рассмотреть приоритеты и требования организации в области информационной безопасности на основе следующих факторов:

а) важнейшие сферы деятельности предприятия и организации:

1    Что является важнейшими сферами деятельности предприятия и организации?

2    Какие сферы деятельности организации обеспечивают ведение бизнеса и чему уделяется особое внимание?

3    Какие существуют взаимоотношения и соглашения с третьими сторонами?

4    Привлекаются ли сторонние организации для оказания каких-либо услуг?

5

ГОСТ Р ИСО/МЭК 27003—2012

b)    засекреченная или ценная информация:

1    Какая информация является наиболее важной для организации?

2    Какими могли бы быть возможные последствия при разглашении определенной информации неуполномоченным сторонам (например, потеря конкурентных преимуществ, ущерб по отношению к бренду или репутации, судебный иск и т. д.)?

c)    законы, делающие обаятельным принятие мер информационной безопасности:

1    Какие законы, относящиеся к обработке риска или информационной безопасности, применяются в организации?

2    Является ли организация публичной глобальной организацией, для которой требуется внешняя финансовая отчетность?

d)    контрактные или организационные соглашения, относящиеся к информационной безопасности:

1    Какие требования предъявляются к хранению данных (включая сроки хранения)?

2    Существуют ли контрактные требования, связанные с секретностью или качеством (например, соглашение об уровне услуг — SLA)?

e)    отраслевые требования, определяющие конкретные способы управления и меры информационной безопасности:

1 Какие требования, характерные для данной отрасли, применяются к организации?

f)    угрозы:

1    Какие нужны виды защиты и от каких угроз?

2    Для каких отдельных категорий информации требуется защита?

3    Каковы отдельные типы информационной деятельности, требующие защиты?

д)    Конкурентные движущие факторы:

1    Какие минимальные требования к информационной безопасности существуют на рынке?

2    Какие дополнительные способы менеджмента информационной безопасности могут быть стимулированы конкурентными преимуществами организации?

h) требования непрерывности бизнес-процессов

1    Какие существуют важнейшие бизнес-процессы?

2    Как долго организация может выдерживать приостановки каждого из важнейших бизнес-процессов?

Предварительную область действия СМИБ можно определить, ответив на приведенные выше вопросы. Это также необходимо для того, чтобы определить случай применения СМИБ для данного предприятия и общий план проекта СМИБ для утверждения руководством. Подробная область действия СМИБ должна быть определена во время составления проекта СМИБ.

Требования, указанные в ISO/IEC 27001:2005. пункт 4.2.1, а), определяют область действия на основе характеристик предприятия, организации, местонахождения, активов и технологий. Определению этих факторов способствует информация, полученная на основе вышеуказанных вопросов.

Перечень некоторых тем, которые необходимо рассмотреть при принятии первоначальных решений, касающихся области действия СМИБ:

a)    каковы обязательные требования к менеджменту информационной безопасности, определенные руководством организации, и обязательства, накладываемые на организацию извне?

b)    несут ли ответственность за предлагаемые системы в рамках области действия СМИБ руководящие группы (например, сотрудники разных филиалов и отделов)?

c)    как будут передаваться документы, связанные с СМИБ. внутри организации (например, на бумаге или через корпоративную сеть)?

d)    могут ли существующие системы управления удовлетворять потребности организации? Являются ли они полнофункциональными, поддерживаются ли в работоспособном состоянии и функционируют ли, как это необходимо?

Примеры целей управления, которые могут использоваться в качестве исходных данных для определения предварительной области действия СМИБ. включают:

a)    содействие непрерывности бизнес-процессов и восстановлению их в чрезвычайных ситуациях:

b)    повышение устойчивости к инцидентам;

c)    внимание к соответствию законам (условиям) контракта и обязательствам;

d)    обеспечение возможности сертификации по другим стандартам ISO/IEC;

е)    обеспечение развития и положения организации;

f) снижение затрат на управление безопасностью;

д) защита стратегически важных активов;

7