Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Посмотреть оригинал

ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»

Разработчики стандарта отмечают, что он был подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). СМИБ (англ. — information security management system; ISMS) определяется как часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

Стандарт предполагает использование процессного подхода для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации. Он основан на модели «Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)» (PDCA), которая может быть применена при структурировании всех процессов СМИБ. На рис. 4.4 показано, как СМИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых действий и процессов выдает выходные данные по результатам обеспечения информационной безопасности, которые соответствуют этим требованиям и ожидаемым результатам.

Этапы построения и использования СМИБ

Рис. 4.4. Этапы построения и использования СМИБ

На этапе «Разработка системы менеджмента информационной безопасности» организация должна осуществить следующее:

  • - определить область и границы действия СМИБ;
  • - определить политику СМИБ на основе характеристик бизнеса, организации, ее размещения, активов и технологий;
  • - определить подход к оценке риска в организации;
  • - идентифицировать риски;
  • - проанализировать и оценить риски;
  • - определить и оценить различные варианты обработки рисков;
  • - выбрать цели и меры управления для обработки рисков;
  • - получить утверждение руководством предполагаемых остаточных рисков;
  • - получить разрешение руководства на внедрение и эксплуатацию СМИБ;
  • - подготовить Положение о применимости.

Этап «Внедрение и функционирование системы менеджмента информационной безопасности» предполагает, что организация должна:

  • - разработать план обработки рисков, определяющий соответствующие действия руководства, ресурсы, обязанности и приоритеты в отношении менеджмента рисков ИБ;
  • - реализовать план обработки рисков для достижения намеченных целей управления, включающий в себя вопросы финансирования, а также распределение функций и обязанностей;
  • - внедрить выбранные меры управления;
  • - определить способ измерения результативности выбранных мер управления;
  • - реализовать программы по обучению и повышению квалификации сотрудников;
  • - управлять работой СМИБ;
  • - управлять ресурсами СМИБ;
  • - внедрить процедуры и другие меры управления, обеспечивающие быстрое обнаружение событий ИБ и реагирование на инциденты, связанные с ИБ.

Третий этап «Проведение мониторинга и анализа системы менеджмента информационной безопасности» требует:

  • - выполнять процедуры мониторинга и анализа;
  • - проводить регулярный анализ результативности СМИБ;
  • - измерять результативность мер управления для проверки соответствия требованиям ИБ;
  • - пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения;
  • - проводить внутренние аудиты СМИБ через установленные периоды времени;
  • - регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности сс функционирования и определения направлений совершенствования;
  • - обновлять планы ИБ с учетом результатов анализа и мониторинга;
  • - регистрировать действия и события, способные повлиять па результативность или функционирование СМИБ.

И наконец, этап «Поддержка и улучшение системы менеджмента информационной безопасности» предполагает, что организация должна регулярно проводить следующие мероприятия:

  • - выявлять возможности улучшения СМИБ;
  • - предпринимать необходимые корректирующие и предупреждающие действия, использовать на практике опыт по обеспечению ИБ, полученный как в собственной организации, так и в других организациях;
  • - передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия;
  • - обеспечивать внедрение улучшений СМИБ для достижения запланированных целей.

Далее в стандарте приводятся требования к документации, которая должна включать положения политики СМИБ и описание области функционирования, описание методики и отчет об оценке рисков, план обработки рисков, документирование связанных процедур. Также должен быть определен процесс управления документами СМИБ, включающий актуализацию, использование, хранение и уничтожение.

Для предоставления свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо вести и поддерживать в рабочем состоянии учетные записи и записи о выполнении процессов. В качестве примеров называются журналы регистрации посетителей, отчеты о результатах аудита и т. гг

Стандарт определяет, что руководство организации ответственно за обеспечение и управление ресурсами, необходимыми для создания СМИБ, а также организацию подготовки персонала.

Как уже ранее отмечалось, организация должна в соответствии с утвержденным графиком проводить внутренние аудиты СМИБ, позволяющие оценить ее функциональность и соответствие стандарту. А руководство должно проводить анализ системы менеджмента информационной безопасности.

Также должны проводиться работы по улучшению системы менеджмента информационной безопасности: повышению ее результативности и уровня соответствия текущего состояния системы и предъявляемым к ней требованиям.

В приложении к стандарту перечисляются рекомендуемые меры управления, взятые из ранее рассмотренного стандарта ISO/IEC 17799:2005.

 
Посмотреть оригинал
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Предыдущая   СОДЕРЖАНИЕ   Следующая >
 

Популярные страницы