Руководство по менеджменту информационной безопасностью - Arganabio.ru - инструкции по эксплуатации и многое другое

ГОСТ Р ИСО/МЭК 27003-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Системы менеджмента информационной безопасности. Руководство по реализации

Information technology. Security techniques. Information security management systems. Guidance for implementation

ОКС 35.030

Дата введения 2021-11-30

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением «Федеральный исследовательский центр «Информатика и управление» Российской академии наук» (ФИЦ ИУ РАН), Акционерным обществом «Эшелон — Северо-Запад» (АО «Эшелон-СЗ») и Обществом с ограниченной ответственностью «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 «Информационные технологии»

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ

Приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. N 387-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27003:2017* «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство» (ISO/IEC 27003:2017 «Information technology — Security techniques — Information security management systems — Guidance», IDT).

ИСО/МЭК 27003 разработан подкомитетом ПК 27 «Методы и средства обеспечения безопасности ИТ» совместного технического комитета СТК 1 «Информационные технологии (ИТ)» Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с

ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные и межгосударственные стандарты, сведения о которых приведены в дополнительном

приложении ДА

5 ВЗАМЕН

ГОСТ Р ИСО/МЭК 27003-2012

6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации и Международная электротехническая комиссия не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в

статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации «. Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Настоящий стандарт содержит руководство по реализации требований к системе менеджмента информационной безопасности (СМИБ), приведенных в ИСО/МЭК 27001, и предоставляет рекомендации (используя вспомогательный глагол «должен»), возможности (используя вспомогательный глагол «следует») и допустимое действие (используя вспомогательный глагол «может») в отношении этих требований. Настоящий стандарт не ставит целью предоставление общего руководства по всем аспектам информационной безопасности (ИБ)

________________

Далее по тексту введено сокращение ИБ.

Разделы 4-10 настоящего стандарта отражают структуру ИСО/МЭК 27001.

Настоящий стандарт не содержит новых требований к СМИБ и связанных с ней терминов и определений. Организации должны обращаться за новыми требованиями и определениями к ИСО/МЭК 27001 и ИСО/МЭК 27000. Организации, внедрившие СМИБ, не обязаны соблюдать указания, содержащиеся в настоящем стандарте.

В СМИБ важны следующие этапы:

— понимание потребностей организации и необходимости установления политики и целей ИБ;

— оценка рисков организации, связанных с ИБ;

— внедрение и функционирование процессов ИБ, мер по обеспечению ИБ и других мер по обработке рисков;

— мониторинг и анализ эффективности и результативности СМИБ;

— практика постоянного улучшения.

СМИБ, как и любая другая система менеджмента, включает следующие ключевые компоненты:

a) политика;

b) лица с определенными обязанностями;

c) процессы управления, связанные с:

1) установлением политики;

2) обеспечением осведомленности и компетентности;

3) планированием;

4) реализацией;

5) эксплуатацией;

6) оценкой эффективности;

7) управленческим анализом;

улучшением;

d) документированная информация.

СМИБ имеет дополнительные ключевые компоненты, такие как:

e) оценка рисков ИБ;

f) обработка рисков ИБ, включая определение и реализацию мер обеспечения ИБ.

Настоящий стандарт носит общий характер и предназначен для применения во всех организациях, независимо от их типа, размера или характера. Организация определяет, какая часть этого руководства применяется к ней в соответствии с конкретным контекстом организации (см. ИСО/МЭК 27001, раздел 4).

Например, некоторые рекомендации могут быть применимы для крупных организаций, в то время как для небольших организаций (например, с числом сотрудников менее 10) эти рекомендации могут быть ненужными и неуместными

________________

Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.

Описания разделов 4-10 структурированы следующим образом:

— необходимые мероприятия: представлены ключевые мероприятия, требуемые в соответствующем подразделе ИСО/МЭК 27001;

— пояснение: объяснено, что подразумевают требования ИСО/МЭК 27001;

— руководство: предоставлена более подробная или вспомогательная информация для реализации необходимых мероприятий, включая примеры реализации;

— дополнительная информация: предоставлена дополнительная информация, которую следует рассмотреть.

ИСО/МЭК 27003, ИСО/МЭК 27004 и ИСО/МЭК 27005 образуют набор документов, поддерживающих и обеспечивающих руководство по ИСО/МЭК 27001. Среди этих документов ИСО/МЭК 27003 является базовым и всеохватывающим документом, который содержит руководство по всем требованиям ИСО/МЭК 27001, но не содержит подробных описаний, касающихся «мониторинга, измерения, анализа и оценки» и управления рисками ИБ. ИСО/МЭК 27004 и ИСО/МЭК 27005 фокусируются на конкретном содержании и дают более подробные руководства по «мониторингу, измерению, анализу и оценке» и управлению рисками ИБ.

В ИСО/МЭК 27001 существует несколько ссылок на документированную информацию. Тем не менее организация может сохранить дополнительную документированную информацию, которую она определяет как необходимую для эффективности своей системы менеджмента в соответствии с пунктом 7.5.1, перечисление b), ИСО/МЭК 27001. В этих случаях в настоящем стандарте используется фраза «Документированная информация об этих мероприятиях и их результатах является обязательной только в той форме и в той мере, в которой организация считает это необходимым для эффективности своей системы менеджмента (см. ИСО/МЭК 27001, 7.5.1, перечисление b))».

1 Область применения

Настоящий стандарт содержит разъяснения и руководство по ИСО/МЭК 27001.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание, для недатированных — последнее издание (включая все изменения к нему).

ISO/IEC 27000:2016, Information technology — Security techniques — Information security management systems — Overview and vocabulary (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общие положения и терминология)

ISO/IEC 27001:2013, Information technology — Security techniques — Information security management systems — Requirements (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)

3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27000.

ИСО и МЭК ведут терминологические базы данных для их использования в стандартизации по следующим адресам:

— IEC Electropedia: доступна по адресу http://www.electropedia.org/;

— Платформа просмотра ISO Online: доступна по адресу https://www.iso.org/obp.

4 Контекст организации

4.1 Понимание организации и ее контекста

Необходимые мероприятия

Организация определяет внешние и внутренние факторы, относящиеся к ее цели и влияющие на ее способность достичь ожидаемого(ых) результата(ов) системы менеджмента информационной безопасности (СМИБ).

Пояснение

Для выполнения неотъемлемой функции СМИБ организация должна постоянно подвергать анализу как себя, так и окружающий мир. Такой анализ связан с внешними и внутренними факторами, которые каким-то образом влияют на ИБ и то, как она управляется, а также на соответствующие цели организации.

Анализ этих факторов преследует три цели:

— понимание контекста для определения области действия СМИБ;

— анализ контекста для определения рисков и возможностей;

— обеспечение адаптации СМИБ к меняющимся внешним и внутренним факторам.

Внешние факторы находятся вне контроля организации. Их часто называют средой организации.

Анализ среды может включать следующие аспекты:

a) социальные и культурные;

b) политические, юридические, нормативные и правовые;

c) финансовые и макроэкономические;

d) технологические;

e) природные;

f) конкурентные.

Эти аспекты среды организации постоянно преподносят факторы, которые влияют на ИБ и на то, как она управляется. Соответствующие внешние факторы зависят от конкретных приоритетов организации и ситуации.

Например, внешние факторы для конкретной организации могут включать:

g) юридические последствия использования аутсорсинговых ИТ-услуг (юридический аспект);

h) природные условия с точки зрения возможности возникновения таких бедствий, как пожар, наводнение и землетрясение (природный аспект);

i) технические достижения хакерских инструментов и использование криптографии (технологический аспект);

j) общий спрос на услуги организации (социальные, культурные или финансовые аспекты).

Внутренние факторы находятся под контролем организации. Их анализ может включать следующие аспекты:

k) культура организации;

l) политика, цели и стратегии их достижения;

m) управление, организационная структура, роли и обязанности;

n) стандарты, руководящие принципы и модели, принятые организацией;

o) договорные отношения, которые могут непосредственно влиять на процессы организации, включенные в область действия СМИБ;

p) процессы и процедуры;

q) способности, понимаемые с точки зрения ресурсов и знаний (например, капитал, время, люди, процессы, системы и технологии);

r) физическая инфраструктура и среда;

s) информационные системы, информационные потоки и процессы принятия решений (как формальные, так и неформальные);

t) предыдущие аудиты или предыдущие результаты оценки рисков.

Результаты этих мероприятий используются в 4.3 и 6.1.

Руководство

Основываясь на понимании цели организации (например, ссылаясь на ее миссию или бизнес-план), а также ожидаемого(ых) результата(ов) ее СМИБ, организация должна:

— проанализировать внешнюю среду для выявления соответствующих внешних факторов;

— провести анализ внутренних аспектов для определения соответствующих внутренних факторов.

Для выявления соответствующих факторов можно задать следующий вопрос: как определенная категория факторов (в соответствии с перечислением «Пояснение» 4.1) влияет на цели ИБ? Ниже приведены три наглядных примера внутренних факторов.

Пример 1 касается управления и организационной структуры (перечисление m): при создании СМИБ следует учитывать уже существующие управленческие и организационные структуры. Например, организация может моделировать структуру своей СМИБ на основе структуры других существующих систем менеджмента и объединить общие функции, такие как анализ и аудит управления.

Пример 2 — о политике, целях и стратегиях (пункт l): анализ существующих политик, целей и стратегий может указывать на то, чего организация намерена достичь и как цели ИБ могут быть согласованы с бизнес-целями для обеспечения успешных результатов.

Пример 3 — об информационных системах и информационных потоках (перечисление s): при определении внутренних факторов организация должна детально определить информационные потоки между ее различными информационными системами.

Поскольку внутренние и внешние факторы со временем изменяются, то факторы и их влияние на область действия, ограничения и требования СМИБ следует регулярно пересматривать.

Документированная информация об этих мероприятиях и их результатах является обязательной только в той форме и в той мере, в которой организация считает это необходимым для эффективности своей системы менеджмента (см. ИСО/МЭК 27001, 7.5, перечисление b)).

Дополнительная информация

В ИСО/МЭК 27000 определение «организация» содержит примечание, в котором говорится, что: «Понятие организации включает, но не ограничивается, индивидуального предпринимателя, компанию, корпорацию, фирму, предприятие, орган власти, товарищество, благотворительную организацию или учреждение, или их часть, или комбинацию, независимо от того, зарегистрированы они или нет, являются ли они государственными или частными». Некоторые из этих объектов являются юридическими лицами, в то время как другие — нет.

Рассмотрим четыре случая:

1) организация является юридическим или административным лицом (например, индивидуальный предприниматель, компания, корпорация, фирма, предприятие, орган власти, товарищество, благотворительная организация или учреждение, независимо от того, зарегистрированы они или нет, являются ли они государственными или частными);

2) организация является частью юридического или административного лица (например, частью компании, корпорации, предприятия);

3) организация представляет собой совокупность юридических или административных лиц (например, консорциум индивидуальных предпринимателей, крупных компаний, корпораций, фирм);

4) организация представляет собой совокупность частей юридических или административных лиц (например, клубы, торговые ассоциации).

4.2 Понимание потребностей и ожиданий заинтересованных сторон

Необходимые мероприятия

Организация определяет заинтересованные стороны, имеющие отношение к СМИБ, и их требования к ИБ.

Пояснение

Заинтересованная сторона — это определенный термин (см. ИСО/МЭК 27000, 3.37), относящийся к лицам или организациям, которые могут влиять, находиться под влиянием или ощущать, что они находятся под влиянием решений или действий организации. Заинтересованные лица могут быть снаружи и внутри организации и могут иметь конкретные потребности, ожидания и требования к ИБ организации.

Внешние заинтересованные стороны могут включать:

a) регуляторов и законодателей;

b) акционеров, включая собственников и инвесторов;

c) поставщиков, включая субподрядчиков, консультантов и сторонних партнеров;

d) отраслевые ассоциации;

e) конкурентов;

f) клиентов и потребителей;

g) группы активистов.

Внутренние заинтересованные стороны могут включать:

h) лиц, принимающих решения, включая высшее руководство;

i) владельцев процессов, систем и информации;

j) лиц, предоставляющих вспомогательные функции, такие как ИТ или отдел кадров;

k) сотрудников и пользователей;

l) специалистов по ИБ.

Результаты этих мероприятий используются в 4.3 и 6.1.

Руководство

Необходимо предпринять следующие шаги:

— определить внешние заинтересованные стороны;

— определить внутренние заинтересованные стороны;

— определить требования заинтересованных сторон.

Поскольку потребности, ожидания и требования заинтересованных сторон со временем изменяются, эти изменения и их влияние на область действия, ограничения и требования СМИБ должны регулярно пересматриваться.

Дополнительная информация

Дополнительная информация отсутствует.

4.3 Определение области действия системы менеджмента информационной безопасности

Необходимые мероприятия

Организация определяет границы и применимость СМИБ для установления области ее действия.

Пояснение

Область действия определяет, где и для чего именно применима СМИБ, а где и для чего нет. Таким образом, определение области действия является ключевым действием, задающим основу для всех других мероприятий по внедрению СМИБ. Например, оценка и обработка риска, включая определение мер обеспечения ИБ, не дадут достоверных результатов без точного понимания того, где именно применима СМИБ. Точное знание границ и применимости СМИБ, а также методов взаимодействия и зависимостей между организацией и другими организациями также имеет решающее значение. Все последующие изменения области действия могут привести к значительным дополнительным усилиям и затратам.

На определение области действия могут влиять следующие факторы:

a) внешние и внутренние факторы, описанные в 4.1;

b) заинтересованные стороны и их требования, определенные в соответствии с подразделом 4.2 ИСО/МЭК 27001;

c) готовность бизнес-процессов быть частью области СМИБ;

d) все вспомогательные функции, т.е. функции, необходимые для поддержки этих бизнес-процессов (например, управление кадрами; ИТ-услуги и программные приложения; средства управления недвижимостью, физическими зонами, основными службами и коммунальными услугами);

e) все функции, которые передаются на аутсорсинг либо другим подразделениям организации, либо независимым поставщикам.

Область действия СМИБ может сильно отличаться от одной реализации к другой. Например, область действия может включать следующее:

— один или несколько конкретных процессов;

— одну или несколько конкретных функций;

— одну или несколько конкретных услуг;

— один или несколько конкретных разделов или местоположений;

— целое юридическое лицо;

— целый административный орган и один или несколько его поставщиков.

Руководство

Для определения области действия можно использовать многоступенчатый подход:

f) определить предварительную область действия: это мероприятие должно проводиться небольшой, но уполномоченной группой представителей руководства;

g) определить уточненную область действия: функциональные подразделения в рамках и за пределами предварительной области действия должны быть проанализированы, возможно, с последующим добавлением или исключением некоторых из этих функциональных подразделений для сокращения числа взаимодействий в пределах области действия СМИБ. При уточнении предварительной области действия следует учитывать все вспомогательные функции, необходимые для поддержки бизнес-процессов;

h) определить окончательную область действия СМИБ: уточненная область действия должна быть оценена всем руководством в рамках уточненной области действия. При необходимости ее следует откорректировать, а затем в точности описать;

i) утверждение области действия: документированная информация, описывающая область действия, должна быть официально утверждена высшим руководством.

Организация должна также рассмотреть деятельность, оказывающую влияние на СМИБ, или деятельность, которая передается на аутсорсинг либо другим подразделениям организации, либо независимым поставщикам. Для таких видов деятельности следует определить методы взаимодействия (физические, технические и организационные) и их влияние на область действия СМИБ.

Документированная информация, описывающая область действия СМИБ, может включать:

j) организационную область действия, границы и методы взаимодействия;

k) область применения информационно-коммуникационных технологий, границы и методы взаимодействия;

l) физическую область действия, границы и методы взаимодействия.

Дополнительная информация

Дополнительная информация отсутствует.

4.4 Система менеджмента информационной безопасности

Необходимые мероприятия

Организация устанавливает, внедряет, поддерживает и постоянно улучшает СМИБ.

Пояснение

В подразделе 4.4 ИСО/МЭК 27001 установлены основные требования к созданию, внедрению, поддержке и постоянному улучшению СМИБ. В то время как другие части ИСО/МЭК 27001 описывают обязательные элементы СМИБ, данный подраздел предписывает организации обеспечить соблюдение всех необходимых элементов для создания, внедрения, поддержания и постоянного совершенствования СМИБ.

Руководство

Руководство отсутствует.

Дополнительная информация

Дополнительная информация отсутствует.

5 Руководство

5.1 Роль руководства и его обязательства

Необходимые мероприятия

Высшее руководство также участвует в анализе СМИБ со стороны руководства (см. 9.3) и содействует ее постоянному улучшению (см. 10.2).

Пояснение

Роль и обязательства руководства очень важны для эффективности СМИБ.

Высшее руководство определяет (см. ИСО/МЭК 27000) лицо или группу лиц, которые направляют и контролируют формирование СМИБ на самом высоком уровне, т.е. высшее руководство несет ответственность за СМИБ. Это означает, что оно управляет СМИБ, как и другими областями организации, например распределением и мониторингом бюджета. Высшее руководство может делегировать полномочия в организации и предоставлять ресурсы для фактического выполнения деятельности, связанной с ИБ и СМИБ, но оно по-прежнему будет нести полную ответственность.

Например, организация, реализующая и эксплуатирующая СМИБ, может быть частью более крупной организации. В этом случае высшее руководство — это человек или группа людей, которые руководят и контролируют эту часть.

Высшее руководство также участвует в анализе со стороны руководства (см. 9.3) и содействует постоянному улучшению (см. 10.2).

Руководство

Высшее руководство должно устанавливать свои роли и обязательства посредством следующего:

a) высшее руководство должно обеспечить установление политики ИБ и целей ИБ и их совместимость со стратегическим направлением деятельности организации;

b) высшее руководство должно обеспечивать интеграцию требований СМИБ и мер обеспечения ИБ в процессы организации. При этом интеграция должна быть адаптирована к конкретному контексту организации. Например, организация, назначившая владельцев процессов, может делегировать ответственность за выполнение применимых требований этим лицам или группам лиц. Поддержка высшего руководства также может быть необходима для преодоления организационного сопротивления изменениям в процессах и мерах обеспечения ИБ;

c) высшее руководство должно обеспечить доступность ресурсов для эффективной СМИБ. Ресурсы необходимы для создания СМИБ, ее внедрения, поддержания и улучшения, а также для осуществления мер обеспечения ИБ. Ресурсы, необходимые для СМИБ, включают:

1) финансы;

2) персонал;

3) оборудование;

4) техническую инфраструктуру.

Необходимые ресурсы зависят от контекста организации, ее размера, сложности структуры внутренних и внешних требований. Анализ со стороны руководства должен предоставлять информацию, которая указывает, являются ли ресурсы достаточными для организации;

d) высшее руководство должно сообщать о необходимости управления ИБ в собственной организации и необходимости соответствия требованиям СМИБ. Это может быть сделано путем предоставления практических примеров, иллюстрирующих фактические потребности в контексте организации, и путем информирования о требованиях ИБ;

e) высшее руководство должно обеспечить достижение СМИБ ожидаемого(ых) результата(ов) путем поддержки осуществления всех процессов управления ИБ и, в частности, путем запроса и анализа отчетов о состоянии и эффективности СМИБ (см. 5.3, перечисление b)). Такие отчеты могут быть получены на основе измерений (см. 6.2, перечисление b) и 9.1, перечисление a)), анализа со стороны руководства и отчетов об аудите. Высшее руководство также может устанавливать цели производительности для ключевых сотрудников, связанных со СМИБ;

f) высшее руководство должно направлять и поддерживать лиц в организации, непосредственно связанных с ИБ и СМИБ. Невыполнение этого требования может негативно повлиять на эффективность СМИБ. Обратная связь от высшего руководства может отражать то, как планируемая деятельность согласуется со стратегическими потребностями организации, а также определяет приоритеты различных мероприятий в СМИБ;

g) высшее руководство должно оценивать потребности в ресурсах в ходе анализа со стороны руководства и устанавливать цели для постоянного улучшения и мониторинга эффективности планируемых мероприятий;

h) высшее руководство должно оказывать поддержку лицам, которым назначены роли и обязанности, связанные с управлением ИБ, чтобы они были мотивированы и могли направлять и поддерживать деятельность по ИБ в своей области.

В тех случаях, когда организация, реализующая и эксплуатирующая СМИБ, является частью более крупной организации, роли и обязательства руководства могут быть улучшены путем взаимодействия с человеком или группой людей, которые контролируют и руководят более крупной организацией. Если они понимают, что задействовано во внедрении СМИБ, они могут оказать поддержку высшему руководству в рамках области действия СМИБ в обеспечении лидерства, а также продемонстрировать приверженность СМИБ. Например, если заинтересованные стороны, не входящие в область действия СМИБ, участвуют в принятии решений относительно целей ИБ и критериев риска и осведомлены о результатах, полученных СМИБ, их решения относительно распределения ресурсов могут быть приведены в соответствие с требованиями СМИБ.

Дополнительная информация

Дополнительная информация отсутствует.

5.2 Политика

Необходимые мероприятия

Высшее руководство устанавливает политику ИБ.

Пояснение

Политика ИБ описывает стратегическую важность СМИБ для организации и является доступной в виде документированной информации. Политика управляет деятельностью в области ИБ в организации.

Политика устанавливает, что необходимо для ИБ в реальном контексте организации.

Руководство

Политика ИБ должна содержать краткие заявления высокого уровня о намерении и направлении в отношении ИБ. Она может быть определенной под область действия СМИБ или иметь более широкий охват.

Все другие политики, процедуры, мероприятия и цели, связанные с ИБ, должны быть согласованы с политикой ИБ.

Политика ИБ должна отражать деловую ситуацию организации, корпоративную культуру, факторы и цели организации, связанные с ИБ. Масштабы политики ИБ должны соответствовать целям и культуре организации и должны обеспечивать баланс между удобством чтения и полнотой информации. Важно, чтобы пользователи политики могли отождествлять себя со стратегическими направлениями политики.

Политика ИБ может либо включать цели ИБ для организации, либо описывать порядок установки целей ИБ (т.е. кто устанавливает их и как они должны быть раскрыты в рамках СМИБ). Например, в очень крупных организациях цели высокого уровня должны быть установлены высшим руководством всей организации, а затем в соответствии с порядком, установленным в политике ИБ, цели должны быть детализированы таким образом, чтобы они задавали направление всем заинтересованным сторонам.

Политика ИБ должна содержать четкое заявление высшего руководства об их обязательствах выполнять требования, связанные с ИБ.

Политика ИБ должна содержать четкое заявление о том, что высшее руководство поддерживает постоянное совершенствование всех видов деятельности. Этот принцип важно изложить в политике, чтобы лица, входящие в область действия СМИБ, знали о нем.

Политика ИБ должна быть доведена до сведения всех лиц, входящих в область действия СМИБ. Следовательно, ее формат и язык должны быть легкими для понимания сотрудниками.

Высшее руководство должно решить, каким заинтересованным сторонам следует сообщить о политике. Политика ИБ может быть сформулирована таким образом, чтобы ее можно было донести до соответствующих внешних заинтересованных сторон за пределами организации. Примерами таких внешних заинтересованных сторон являются заказчики, поставщики, подрядчики, субподрядчики и регулирующие органы. Если политика ИБ предоставляется внешним заинтересованным сторонам, она не должна включать конфиденциальную информацию.

Политика ИБ может быть реализована либо как отдельная независимая политика, либо как часть общей политики, охватывающей несколько систем менеджмента в рамках организации (например, качество, окружающая среда и ИБ).

Политика ИБ должна быть доступна в виде документированной информации. Требования ИСО/МЭК 27001 не предполагают какой-либо конкретной формы для этой документированной информации, и поэтому организация может решить, какая форма является наиболее подходящей. Если организация имеет стандартный шаблон для политик, политика ИБ должна ему соответствовать.

Дополнительная информация

Дополнительную информацию о политиках, связанных с ИБ, можно найти в ИСО/МЭК 27002.

Дополнительную информацию о взаимосвязи политики ИБ и других политик можно найти в приложении А.

5.3 Организационные роли, обязанности и полномочия

Необходимые мероприятия

Высшее руководство должно обеспечивать распределение обязанностей и полномочий в отношении ролей, имеющих отношение к информационной безопасности, и информирование об этом всей организации.

Пояснение

Высшее руководство обеспечивает распределение и доведение ролей и обязанностей, а также необходимых полномочий, имеющих отношение к ИБ.

Цель этого требования состоит в том, чтобы возложить обязанности и полномочия для обеспечения соответствия СМИБ требованиям ИСО/МЭК 27001, а также обеспечить предоставление отчетности о производительности СМИБ высшему руководству.

Руководство

Высшее руководство должно регулярно следить за тем, чтобы обязанности и полномочия в отношении СМИБ были распределены таким образом, чтобы система менеджмента выполняла требования, изложенные в ИСО/МЭК 27001. Высшее руководство не должно распределять все роли, обязанности и полномочия, но должно надлежащим образом делегировать полномочия на это. Высшее руководство должно утвердить основные роли, обязанности и полномочия СМИБ.

Следует распределить обязанности и полномочия, связанные с деятельностью в области ИБ. Они включают в себя:

a) координацию создания, внедрения, поддержания, отчетности о производительности и улучшении СМИБ;

b) консультирование по вопросам оценки и обработки рисков ИБ;

c) разработку процессов и систем ИБ;

d) установление стандартов, касающихся определения, настройки и функционирования мер обеспечения ИБ;

e) управление инцидентами ИБ;

f) анализ и аудит СМИБ.

Соответствующие обязанности и полномочия в области ИБ должны быть включены не только в роли, непосредственно связанные с ИБ, но и в другие роли. Например, обязанности по ИБ могут быть включены в роли:

g) владельцев информации;

h) владельцев процесса;

i) владельцев активов (например, владельцы приложений или инфраструктуры);

j) владельцев рисков;

k) координатора ИБ (эта специфическая роль обычно играет вспомогательную роль в СМИБ);

l) руководителей проектов;

m) линейных менеджеров;

n) пользователей информации.

Дополнительная информация

Дополнительная информация отсутствует.

6 Планирование

6.1 Мероприятия по обработке рисков и возможностей

6.1.1 Политики информационной безопасности

Обзор

В подразделе 6.1 ИСО/МЭК 27001 говорится о планировании мероприятий по обработке всех типов рисков и возможностей, которые имеют отношение к СМИБ. Это ведет к оценке риска и планированию обработки риска.

ИСО/МЭК 27001 в процессе планирования подразделяет риски на две категории:

a) риски и возможности, относящиеся к ожидаемому(ым) результату(ам) СМИБ в целом;

b) риски ИБ, связанные с потерей конфиденциальности, целостности и доступности информации в рамках СМИБ.

Первая категория должна обрабатываться в соответствии с требованиями, определенными в ИСО/МЭК 27001, раздел 6 (общие положения). Риски, которые попадают в эту категорию, могут быть связаны с самой СМИБ, определением области действия СМИБ, обязательствами высшего руководства по обеспечению ИБ, ресурсами для эксплуатации СМИБ и т.д. Возможности, которые попадают в эту категорию, могут быть связаны с результатом(ами) СМИБ, коммерческой ценностью СМИБ, эффективностью рабочих процессов СМИБ и мерами обеспечения ИБ и т.д.

Вторая категория состоит из совокупности рисков, которые связаны с потерей конфиденциальности, целостности и доступности информации в рамках СМИБ. Эти риски должны обрабатываться в соответствии с 6.1.2 и 6.1.3.

Организации могут использовать разные методы для каждой категории.

Разделение требований по обработке рисков можно объяснить следующим образом:

— обеспечение поддержки совместимости с другими стандартами по системам менеджмента для тех организаций, в которых эти системы интегрированы для различных аспектов, таких как качество, окружающая среда и ИБ;

— требование к тому, чтобы организация определяла и применяла полные и подробные процессы для оценки и обработки рисков ИБ;

— подчеркивание, что управление рисками ИБ является ключевым элементом СМИБ.

В ИСО/МЭК 27001, пункт 6.1.1, приведены формулировки: «определить риски и возможности» и «обработать эти риски и возможности». Слово «определить» можно считать эквивалентным слову «оценивать», используемому в ИСО/МЭК 27001, пункт 6.1.2 (т.е. идентифицировать, анализировать и оценивать). Аналогично слово «обработать» можно считать эквивалентным слову «устранить», используемому в ИСО/МЭК 27001, пункт 6.1.3.

Необходимые мероприятия

При планировании СМИБ организация определяет риски и возможности, учитывая факторы, указанные в 4.1, и требования, указанные в 4.2.

Пояснение

При рассмотрении рисков и возможностей, относящихся к ожидаемому(ым) результату(ам) СМИБ, предполагается, что организация определяет их на основе внутренних и внешних факторов (см. 4.1) и требований заинтересованных сторон (см. 4.2). После чего организация осуществляет планирование своей СМИБ для того, чтобы:

a) обеспечить достижение ожидаемых результатов СМИБ, при этом риски ИБ должны быть известны владельцам рисков и обработаны до приемлемого уровня;

b) предотвратить или уменьшить нежелательные эффекты рисков, относящихся к ожидаемому(ым) результату(ам) СМИБ;

c) добиваться постоянного улучшения (см. 10.2), например, через соответствующие механизмы для выявления и исправления слабых мест в процессах управления или использования возможностей для улучшения ИБ.

Риски, относящиеся к перечислению а), могут быть связаны с непонятными процессами и обязанностями, плохой осведомленностью среди сотрудников, низкой вовлеченностью со стороны руководства и т.д. Риски, относящиеся к перечислению b), могут быть связаны с неэффективным управлением рисками или с плохой осведомленностью о них. Риски, относящиеся к перечислению c), могут быть связаны с неэффективным управлением документацией и процессами СМИБ.

Когда организация стремится использовать возможности в своей деятельности, эта деятельность затем влияет на контекст организации (см. ИСО/МЭК 27001, 4.1) или на потребности и ожидания заинтересованных сторон (см. ИСО/МЭК 27001, 4.2) и может изменить риски для организации. Примерами возможностей могут быть: сосредоточение своего бизнеса на некоторых областях продуктов или услуг, разработка маркетинговой стратегии для некоторых географических регионов или расширение деловых партнерских отношений с другими организациями.

Возможности также существуют в постоянном улучшении процессов и документации СМИБ, наряду с оценкой ожидаемых результатов, предоставляемых СМИБ. Например, рассмотрение относительно новой СМИБ часто приводит к выявлению возможностей для уточнения процессов путем уточнения интерфейсов, сокращения административных накладных расходов, устранения частей процессов, которые не являются экономически эффективными, путем уточнения документации и внедрения новых информационных технологий.

Планирование в этом разделе включает определение:

d) мероприятий по обработке рисков и возможностей;

e) способа:

1) интеграции и внедрения этих мероприятий в процессы СМИБ;

2) оценивания эффективности этих мероприятий.

Руководство

Организация должна:

f) определить риски и возможности, которые могут повлиять на достижение целей, описанных в перечислениях a), b) и c), с учетом факторов, указанных в 4.1, и требований, указанных в 4.2;

g) разработать план для осуществления определенных мероприятий и оценить эффективность этих мероприятий; мероприятия должны планироваться с учетом интеграции процессов ИБ в существующие структуры и их документирования; все эти действия связаны с целями ИБ (подраздел 6.2), в отношении которых оцениваются и обрабатываются риски ИБ (см. 6.1.2 и 6.1.3).

Общие требования к постоянному улучшению СМИБ, установленные в подразделе 10.2 ИСО/МЭК 27001, подтверждаются требованиями, заданными в 6.1.1, а также другими соответствующими требованиями подраздела 5.1 ИСО/МЭК 27001, перечисление g), подраздела 5.2, перечисление d), подразделов 9.1, 9.2 и 9.3.

Мероприятия могут быть различными для стратегического, тактического и эксплуатационного уровней, для разных сайтов или для различных сервисов или систем.

Для выполнения требований 6.1.1 может быть использовано несколько подходов, два из которых:

— рассматривают риски и возможности, связанные с планированием, внедрением и эксплуатацией СМИБ отдельно от рисков ИБ;

— учитывают все риски одновременно.

Организация, которая интегрирует СМИБ в установленную систему менеджмента, может обнаружить, что требования этого раздела соответствуют существующей методологии бизнес-планирования организации. В этом случае следует позаботиться о том, чтобы методология охватывала все требования настоящего раздела.

Дополнительная информация

Дополнительную информацию об управлении рисками можно найти в ИСО 31000.

6.1.2 Оценка риска информационной безопасности

Необходимые мероприятия

Организация определяет и применяет процесс оценки рисков ИБ.

Пояснение

Организация определяет процесс оценки риска ИБ, который:

a) устанавливает и поддерживает:

1) критерии принятия риска;

2) критерии для проведения оценки риска ИБ, которые могут включать критерии для оценки последствий и вероятности, а также правила для определения уровня риска;

b) гарантирует, что повторные оценки риска ИБ приводят к согласованным, действительным и сопоставимым результатам.

Процесс оценки риска ИБ затем определяется по следующим подпроцессам:

c) идентификация рисков ИБ:

1) идентификация рисков, связанных с потерей конфиденциальности, целостности и доступности информации в рамках СМИБ;

2) идентификация владельцев рисков, связанных с этими рисками, то есть определение и назначение лиц с соответствующими полномочиями и ответственностью за управление идентифицированными рисками;

d) анализ рисков ИБ:

1) оценка потенциальных последствий в случае реализации идентифицированных рисков, например прямых воздействий на бизнес, таких как денежные потери, или косвенных воздействий на бизнес, таких как ущерб репутации; оцененные последствия могут быть выражены количественными или качественными значениями;

2) оценка реальной вероятности возникновения идентифицированных рисков в количественных (то есть вероятность или частота) или качественных значениях;

3) определение уровня идентифицированного риска в виде заранее определенной комбинации оцененных последствий и вероятностей;

e) оценка рисков ИБ:

1) сравнение результатов анализа риска с критериями принятия риска, установленными ранее;

2) определение приоритетов анализируемых рисков для обработки рисков, то есть определение срочности обработки неприемлемых рисков и последовательности их обработки в том случае, если несколько рисков нуждаются в обработке.

Затем применяется процесс оценки риска ИБ.

Все этапы процесса оценки риска ИБ (см. 6.1.2), а также результаты его применения сохраняются организацией в виде документированной информации.

Руководство

Руководство по установлению критериев риска (см. 6.1.2, перечисление а))

Критерии риска ИБ должны быть установлены с учетом контекста организации и требований заинтересованных сторон и, с одной стороны, должны быть определены в соответствии с предпочтениями и восприятием рисков высшим руководством, а с другой стороны — должны предусматривать выполнимый и соответствующий процесс управления рисками.

Критерии риска ИБ должны быть установлены в соответствии с ожидаемым(и) результатом(ами) СМИБ.

В соответствии с пунктом 6.1.2, перечисление a) ИСО/МЭК 27001 должны быть установлены критерии оценки риска ИБ, которые включают оценку вероятности и последствий. Кроме того, должны быть установлены критерии приемлемости риска.

После установления критериев оценки последствий и вероятностей возникновения рисков ИБ организация должна установить метод их объединения для определения уровня риска. Последствия и вероятности могут быть выражены качественной, количественной или приближенной оценкой.

Следует отметить, что критерии приемлемости риска относятся к оценке риска (на этапе оценки, когда организация должна определить, является ли риск приемлемым или нет) и к мероприятиям по обработке риска (когда организация должна определить, является ли предложенная обработка риска достаточной для достижения приемлемого уровня риска).

Критерии принятия риска могут быть основаны на максимально допустимом уровне рисков, экономической целесообразности или на последствиях для организации.

Критерии принятия риска должны быть утверждены ответственным руководством.

Руководство по получению согласованных, действительных и сопоставимых результатов оценки рисков (см. 6.1.2, перечисление b))

Процесс оценки рисков должен основываться на методах и средствах, разработанных с достаточной детализацией, чтобы он приводил к согласованным, действительным, сопоставимым и проверяемым результатам.

Какой бы ни был выбран метод, процесс оценки риска ИБ должен обеспечивать:

— учет всех рисков на необходимом уровне детализации;

— последовательность и воспроизводимость результатов оценки (идентификация рисков, их анализ и оценка должны быть понятны третьей стороне, и результаты должны быть одинаковы, когда разные лица оценивают риски в том же контексте);

— сопоставимость результатов повторных оценок риска (т.е. можно определить, увеличивается или уменьшается уровень риска).

Несоответствия или расхождения в результатах, когда весь процесс или часть процесса оценки риска ИБ повторяется, может указывать на то, что выбранный метод оценки риска не является адекватным.

Руководство по идентификации рисков ИБ (см.6.1.2, перечисление с))

Целью идентификации рисков является создание полного перечня рисков на основе тех событий, которые могут создавать, повышать, предупреждать, снижать, ускорять или приостанавливать достижение целей ИБ.

Идентификация риска — это процесс обнаружения, распознавания и описания рисков. Он включает в себя идентификацию источников риска, событий, их причин и потенциальных последствий.

Для идентификации рисков ИБ обычно используют два подхода:

— подход, основанный на событиях и рассматривающий источники риска в общем виде. События могли произойти в прошлом или могут ожидаться в будущем. В первом случае они могут включать ретроспективные данные, во втором случае они могут основываться на теоретическом анализе и экспертных оценках;

— подход, основанный на идентификации активов, угроз безопасности информации и уязвимостей и рассматривающий два типа источников рисков: активы с их внутренними уязвимостями и активы, подвергающиеся угрозам безопасности информации. Рассматриваемые в данном случае потенциальные события представляют собой способы использования угрозами определенной уязвимости активов для воздействия на цели организации.

Оба подхода соответствуют принципам и общим руководствам по оценке рисков в ИСО 31000.

Также могут использоваться другие подходы для идентификации рисков, если они доказали аналогичную практическую полезность и если они могут гарантировать выполнение требований 6.1.2, перечисление b).

Примечание — Подход, основанный на активах, угрозах безопасности информации и уязвимостях, соответствует подходу идентификации риска ИБ, указанному в издании ИСО/МЭК 27001 2006 года, и совместим с требованиями версии 2020 года. Это гарантирует, что предыдущий вклад в идентификацию риска не будет потерян.

Рекомендуется, чтобы идентификация риска была достаточно детализированной при первой итерации оценки риска. Наличие высокого уровня детализации и четкого представления о рисках ИБ гораздо лучше, чем отсутствие представления вообще.

Руководство по анализу рисков ИБ (см. 6.1.2, перечисление d))

Целью анализа риска является определение уровня риска.

ИСО 31000 ссылается на ИСО/МЭК 27001 как на общую модель. ИСО/МЭК 27001 рекомендует, чтобы анализ риска основывался на оценке последствий, возникающих в результате реализации идентифицированного риска, и оценке вероятности возникновения таких последствий для определения уровня риска.

Методы анализа риска, основанные на вероятности и последствиях, могут быть:

— качественными с использованием шкалы качественных признаков (например, высокий, средний, низкий);

— количественными с использованием шкалы с числовыми значениями (например, денежные затраты, частота или вероятность возникновения);

— комбинированными, использующими качественные шкалы с присвоенными значениями.

Какой бы метод анализа риска ни использовался, следует учитывать уровень его объективности.

Существует несколько методов анализа рисков. Оба упомянутых выше подхода (подход на основе событий и подход, основанный на идентификации активов, угроз информационной безопасности и уязвимостей) могут быть пригодны для анализа рисков ИБ. Процесс идентификации и анализа рисков может быть наиболее эффективным, когда он осуществляется с помощью экспертов по соответствующим обсуждаемым рискам.

Руководство по оценке рисков ИБ (см. 6.1.2, перечисление e))

Оценка анализируемых рисков включает в себя использование процессов принятия решений в организации для сравнения оцененного уровня каждого риска с заранее определенными критериями приемлемости для определения вариантов обработки риска.

На этом заключительном этапе оценки риска проверяется, могут ли риски, которые были проанализированы на предыдущих этапах, быть приняты в соответствии с критериями приемлемости, определенными в 6.1.2, перечисление a), или они нуждаются в дальнейшей обработке. В 6.1.2, перечисление d), представлена информация о величине риска, но нет непосредственной информации о срочности реализации вариантов обработки риска. В зависимости от обстоятельств, при которых возникают риски, они могут иметь разные приоритеты для обработки. Следовательно, необходим ранжированный список рисков по возрастанию приоритетов.

Полезно сохранить дополнительную информацию об этих рисках на этапе идентификации рисков и анализа рисков для поддержки решений по обработке рисков.

Дополнительная информация

ИСО/МЭК 27005 представляет руководство по проведению оценки рисков ИБ.

6.1.3 Обработка риска информационной безопасности

Необходимые мероприятия

Организация определяет и применяет процесс обработки рисков ИБ.

Пояснение

Обработка риска ИБ — это общий процесс выбора вариантов обработки риска, определения соответствующих мер обеспечения ИБ для реализации таких вариантов, формулирования плана обработки риска и получения одобрения плана обработки риска от владельца(ев) риска.

Все этапы процесса обработки риска ИБ (см. 6.1.3), а также результаты его применения сохраняются организацией в виде документированной информации.

Руководство

Руководство по вариантам обработки риска ИБ (см. 6.1.3, перечисление a))

Варианты обработки риска:

a) избежание риска путем принятия решения не начинать или не продолжать деятельность, которая порождает риск, или устранение источника риска (например, закрытие системы электронной коммерции);

b) взятие на себя дополнительных рисков или увеличение рисков для того, чтобы воспользоваться бизнес-возможностями (например, открытие системы электронной коммерции);

c) модификация риска путем изменения вероятности (например, уменьшение уязвимостей) или/и последствий (например, разнообразие активов);

d) разделение риска с другими сторонами посредством страхования, заключения субподряда или финансирования риска;

e) сохранение риска на основе критериев принятия риска или обоснованного решения (например, поддержание существующей системы электронной коммерции в исходном виде).

Каждый отдельный риск должен быть обработан в соответствии с целями ИБ одним или несколькими вариантами, чтобы соответствовать критериям приемлемости риска.

Руководство по определению необходимых мер обеспечения ИБ (см. 6.1.3, перечисление b))

Особое внимание следует уделить определению необходимых мер обеспечения ИБ. Любую меру следует определять на основе ранее оцененных рисков ИБ. Если организация имеет низкую оценку риска ИБ, то у нее ограничивается выбор мер обеспечения ИБ.

Соответствующее определение мер обеспечивает:

f) включение всех необходимых мер обеспечения ИБ и исключение ненужных мер;

g) разработку необходимых мер, удовлетворяющих требуемому объему и глубине защиты.

Вследствие плохого выбора мер обеспечения ИБ предлагаемая обработка рисков ИБ может быть:

h) нерезультативной;

i) неэффективной и, следовательно, неоправданно дорогой.

В целях обеспечения результативной и эффективной обработки рисков ИБ важно иметь возможность наглядно показывать связь между необходимыми мерами обеспечения ИБ, результатами оценки рисков и процессами обработки рисков.

Для достижения требуемого плана обработки рисков ИБ может потребоваться использование нескольких мер обеспечения ИБ. Например, если выбран вариант с изменением последствий определенного события, могут потребоваться меры для быстрого обнаружения этого события, а также меры для реагирования и восстановления после него.

При определении мер обеспечения ИБ организация должна принимать во внимание те меры, которые необходимы для услуг, предоставляемых внешними поставщиками, например приложения, процессы и функции. Как правило, эти меры устанавливаются путем включения требований ИБ в соглашения с этими поставщиками, включая способы получения информации и о том, в какой степени эти требования выполняются (например, право на аудит). Могут быть ситуации, когда организация желает определить и описать подробные меры обеспечения ИБ как часть своей собственной СМИБ, даже если они выполняются внешними поставщиками. Независимо от принятого подхода организация всегда должна учитывать меры обеспечения ИБ, требуемые для поставщиков, при определении мер для своей СМИБ.

Руководство по сравнению мер обеспечения ИБ ИСО/МЭК 27001, приложение A (см. 6.1.3, перечисление c))

В приложении А ИСО/МЭК 27001 содержится исчерпывающий перечень целей и мер обеспечения ИБ. Пользователям настоящего стандарта рекомендуется использовать приложение А ИСО/МЭК 27001 в целях получения общего представления о мерах. Это гарантирует, что все необходимые меры обеспечения ИБ не будут упущены из виду. По сравнению с приложением А ИСО/МЭК 27001 также можно идентифицировать альтернативные меры обеспечения ИБ, определенные в 6.1.3, перечисление b), которые могут быть более эффективными при изменении риска ИБ.

Цели этих мер косвенным образом включены в выбранные меры обеспечения ИБ. Перечисленные в приложении А ИСО/МЭК 27001 цели не являются исчерпывающими, при необходимости следует использовать дополнительные цели и меры обеспечения ИБ.

Не каждую меру обеспечения ИБ в рамках приложения А ИСО/МЭК 27001 необходимо включать в СМИБ. Если мера не способствует модификации риска, она должна быть исключена с соответствующим обоснованием.

Руководство по созданию Положения о применимости (см. 6.1.3, перечисление d))

Положение о применимости содержит:

— все необходимые меры обеспечения ИБ (см. 6.1.3, перечисления b) и c)) и для каждой меры:

— обоснование ее включения;

— информация о ее реализации (например, полностью реализована, в процессе реализации, еще не реализована);

— обоснование исключения любой из мер ИСО/МЭК 27001, приложение A.

Обоснованием для включения меры в СМИБ является ее влияние на модификацию риска ИБ. Ссылки на результаты оценки рисков ИБ и план обработки рисков должны быть достаточными наряду с предполагаемыми изменениями риска в результате реализации мер обеспечения ИБ.

Обоснование исключения мер обеспечения ИБ, содержащихся в приложении А ИСО/МЭК 27001, может включать следующее:

— было установлено, что мера не является необходимой для реализации выбранного(ых) варианта(ов) обработки риска ИБ;

— мера не применима, потому что она выходит за рамки СМИБ (например, в ИСО/МЭК 27001:2013 мера А.14.2.7 «Разработка с использованием аутсорсинга» не применима, если вся разработка систем в организации осуществляется собственными силами);

— мера нейтрализуется другой пользовательской мерой (например, в ИСО/МЭК 27001:2013 мера A.8.3.1 «Управление сменными носителями информации» может быть исключена, если пользовательская мера запрещает использование сменных носителей).

Примечание — Пользовательская мера — это мера, не включенная в приложение А ИСО/МЭК 27001.

Эффективное Положение о применимости может быть сформировано в виде таблицы, содержащей в строках все 114 мер обеспечения ИБ ИСО/МЭК 27001, приложение А, плюс строки с дополнительными мерами, которые не упомянуты в приложении А ИСО/МЭК 27001, если это необходимо. Одна графа таблицы может указывать на необходимость меры для реализации варианта(ов) обработки риска или ее исключение. Следующая графа может содержать обоснование для включения или исключения меры обеспечения ИБ. Последняя графа таблицы может показывать текущий статус реализации меры обеспечения ИБ. Можно использовать дополнительные графы, например для детализации, которые не требуются в соответствии с ИСО/МЭК 27001, но которые обычно полезны для последующих проверок; детализация может представлять собой более подробное описание того, как реализована мера обеспечения ИБ, или перекрестную ссылку на более подробное описание и документированную информацию или политику, относящуюся к реализации этой меры.

Несмотря на то, что это не является конкретным требованием ИСО/МЭК 27001, организации могут посчитать целесообразным включить ответственность за функционирование каждой меры, содержащейся в Положении о применимости.

Руководство по разработке плана обработки рисков ИБ (см. 6.1.3 , перечисление e))

ИСО/МЭК 27001 не определяет структуру или содержание плана обработки рисков ИБ. Однако план должен быть разработан на основе результатов 6.1.3, перечисления а)-с). Таким образом, для каждого обработанного риска в плане должно быть задокументировано:

— выбранный(е) вариант(ы) обработки риска;

— необходимая(ые) мера(ы) обеспечения ИБ;

— статус реализации.

Документ также может включать в себя:

— владельца(ев) рисков;

— ожидаемый остаточный риск после реализации мероприятий.

Если какое-либо мероприятие требуется выполнить в соответствии с планом обработки риска, то оно должно быть запланировано с указанием ответственности и сроков завершения (см. подраздел 6.2); план мероприятий может быть представлен в виде списка этих мероприятий.

Эффективный план обработки рисков ИБ может быть разработан в виде таблицы, в которой отсортированы риски, выявленные в ходе оценки рисков, с указанием всех определенных мер обеспечения ИБ.

Например, в этой таблице могут быть графы, в которых указаны имена лиц, ответственных за обеспечение мер ИБ. В других графах могут быть указаны дата реализации этих мер, информация о том, как мера (или процесс) должна функционировать, и целевой статус ее реализации.

В качестве примера рассмотрим кражу мобильного телефона. Последствиями этого являются потеря доступности и потенциальное нежелательное раскрытие информации. Если оценка риска показала, что его уровень является неприемлемым, организация может принять решение об изменении вероятности или последствий риска.

Чтобы изменить вероятность потери или кражи мобильного телефона, организация может определить, какие подходящие меры обеспечения ИБ обяжут сотрудников посредством политики в отношении мобильных устройств следить за мобильными телефонами и периодически проверять их на предмет потерь.

Чтобы изменить последствия от потери или кражи мобильного телефона, организация может определить такие меры, как:

— процесс управления инцидентами, чтобы пользователи могли сообщать о потере;

— удаленное управление мобильными устройствами для удаления данных телефона в случае его потери;

— план резервного копирования мобильных устройств для восстановления данных телефона.

Подготавливая свое Положение о применимости (см 6.1.3, перечисление d)), организация может включать выбранные ею меры обеспечения ИБ (политика в отношении мобильных устройств и удаленного управления мобильными устройствами), основываясь на влиянии изменения вероятности и последствий от потери или кражи мобильного телефона, что приводит к снижению остаточного риска.

Сравнивая эти меры с теми, которые перечислены в ИСО/МЭК 27001, приложение А (см. 6.1.3, перечисление с)), можно увидеть, что политика в отношении мобильных устройств присутствует в ИСО/МЭК 27001, А.6.2.1, но мера «Управление мобильными устройствами» непосредственно с ней не связана и должна рассматриваться как дополнительная пользовательская мера обеспечения ИБ. Если управление мобильными устройствами и другие меры определены как необходимые меры в плане обработки рисков информационной безопасности организации, их следует включить в Положение о применимости («Руководство по созданию положения о применимости» (см. 6.1.3, перечисление b)).

Если организация нацелена на еще большее снижение риска, то она может рассмотреть политику управления доступом из ИСО/МЭК 27001, A.9.1.1, а именно определить, чего ей не хватает для управления доступом к мобильным телефонам, и изменить свою политику в отношении мобильных устройств, чтобы ввести использование ПИН-кодов на всех мобильных телефонах. Это должно стать дополнительной мерой обеспечения ИБ для изменения последствий от потерь или кражи мобильных телефонов.

При разработке плана обработки рисков ИБ (см. 6.1.3, перечисление e)) организация должна включить мероприятия по реализации политики в отношении мобильных устройств и управления мобильными устройствами, а также распределить обязанности и временные рамки.

Руководство по получению одобрения владельцев рисков (см. 6.1.3, перечисление f))

При разработке плана обработки рисков ИБ организация должна получить разрешение от владельцев риска. Такое разрешение должно основываться на определенных критериях принятия рисков или на их обоснованном принятии, если есть какие-либо отклонения от них.

С помощью процессов управления организация должна фиксировать принятие владельцем остаточных рисков и одобрение руководством плана обработки рисков.

Например, принятие владельцем риска может быть задокументировано путем внесения исправлений в план обработки риска, описанный в руководстве 6.1.3, перечисление e), в графах, указывающих на эффективность мер обеспечения ИБ, а также на остаточный риск и одобрение владельца риска.

Дополнительная информация

Дополнительную информацию об обработке рисков можно найти в ИСО/МЭК 27005 и ИСО 31000.

6.2 Цели информационной безопасности и планирование их достижения

Необходимые мероприятия

Организация устанавливает цели ИБ и планы по их достижению для соответствующих функций и уровней.

Пояснение

Цели ИБ помогают реализовать стратегические цели организации, а также политику ИБ. Таким образом, цели СМИБ — это цели ИБ для обеспечения конфиденциальности, целостности и доступности информации. Цели ИБ также помогают определять и измерять эффективность мер обеспечения ИБ, процессов ИБ в соответствии с политикой ИБ (см. 5.2).

Организация планирует, устанавливает и определяет цели ИБ для соответствующих функций и уровней.

Требования в ИСО/МЭК 27001, относящиеся к целям ИБ, применяются ко всем целям ИБ. Если политика ИБ содержит цели, то эти цели должны соответствовать критериям, изложенным в этом разделе. Если политика содержит структуру для постановки целей, то цели, создаваемые этой структурой, должны соответствовать требованиям этого подраздела.

Требования, которые необходимо принимать во внимание при определении целей, это те требования, которые определяются при понимании организации и ее контекста (см. 4.1), а также потребностей и ожиданий заинтересованных сторон (см. 4.2).

Результаты оценки и обработки риска используются в качестве входных данных для постоянного анализа целей, чтобы убедиться, что они по-прежнему соответствуют условиям организации.

Цели ИБ являются исходными данными для оценки риска: критерии принятия риска и критерии для проведения оценки риска ИБ (см. 6.1.2) учитывают цели ИБ, и, таким образом, обеспечивается соответствие уровней риска с целями.

Цели ИБ согласно ИСО/МЭК 27001:

a) соответствуют политике ИБ;

b) измеримы, если это практически возможно; это означает, что важно уметь определять, была ли достигнута цель или нет;

c) связаны с применимыми требованиями ИБ и являются результатом оценки и обработки риска;

d) доведены до сведения;

e) обновляются по возможности.

Организация хранит документированную информацию о целях ИБ.

При планировании мероприятий по достижению целей ИБ организация определяет:

f) что будет сделано;

g) какие ресурсы потребуются;

h) кто будет нести ответственность;

i) когда это будет завершено;

j) как будут оцениваться результаты.

Упомянутое выше требование относительно планирования является общим и применимо также к другому планированию, регулируемому ИСО/МЭК 27001. Планирование, которое необходимо рассмотреть для СМИБ, включает:

— планы по улучшению СМИБ, как описано в 6.1.1 и 8.1;

— планы обработки идентифицированных рисков, как описано в 6.1.3 и 8.3;

— любые другие планы, которые будут признаны необходимыми для эффективной работы (например, планы по развитию компетенции и повышению осведомленности, коммуникации, оценке эффективности, внутреннему аудиту и контролю качества).

Руководство

Политика ИБ должна устанавливать цели ИБ или обеспечивать основу для их постановки.

Цели ИБ могут быть выражены различными способами. Это выражение должно соответствовать требованию об измеримости (если это практически возможно) (ИСО/МЭК 27001:2013, 6.2 b)).

Например, цели ИБ могут быть выражены в виде:

— числовых значений с их ограничениями, например «не превышать определенный предел» и «достичь уровня 4»;

— целей для измерения эффективности ИБ;

— целей для измерения эффективности СМИБ (см. 9.1);

— соответствия требованиям ИСО/МЭК 27001;

— соответствия процедурам СМИБ;

— необходимости выполнения действий и планов;

— критериев риска, которые должны быть выполнены.

Следующее руководство применимо к основополагающим целям, представленным выше:

— политика ИБ определяет требования к ИБ в организации. Все другие специфические требования, установленные для соответствующих функций и уровней, должны им соответствовать. Если политика ИБ содержит цели ИБ, то любая другая конкретная цель ИБ должна быть связана с целями, указанными в политике. Если политика ИБ только предоставляет структуру для постановки целей, то следует придерживаться этой структуры для обеспечения того, чтобы более конкретные цели были связаны с более общими (см. перечисление а));

— не каждая цель может быть измеримой, но если сделать ее таковой, то это поспособствует улучшению ее понимания и достижению. Важно иметь возможность качественно или количественно описать степень достижения цели. Например, для определения приоритетов для дополнительных усилий в случае, если цели не были достигнуты, или для предоставления возможностей для повышения эффективности СМИБ, если цели трудно достижимы. Также должна быть возможность понять, были ли достигнуты поставленные цели или нет, каким образом определяется достижение целей, а также можно ли определить степень достижения целей, используя количественные измерения. Описания достижения цели в количественном выражении должны включать информацию о том, как проводилось соответствующее измерение. Может оказаться невозможным количественно определить степень достижения всех целей. ИСО/МЭК 27001 рекомендует, чтобы цели были измеримы, если это практически осуществимо (см. перечисление b));

— цели ИБ должны быть согласованы с потребностями ИБ; по этой причине результаты оценки и обработки рисков

следует использовать в качестве исходных данных при определении целей ИБ (см. перечисление c));

________________

Термин «риск» определяется как «влияние неопределенности на цели» (ИСО/МЭК 27000).

— цели ИБ должны быть доведены до соответствующих внутренних заинтересованных сторон организации. Они также могут быть доведены до внешних заинтересованных сторон, например до клиентов или иных заинтересованных сторон, в той степени, в которой они должны знать о них и в которой их затрагивают цели ИБ (см. перечисление d));

— когда потребности в ИБ меняются со временем, тогда должны обновляться и соответствующие цели ИБ. Об их обновлении следует сообщать, как требуется в перечислении d), внутренним и внешним заинтересованным сторонам по возможности (см. перечисление e)).

Организация должна планировать, как достичь своих целей ИБ. Она может использовать любую методологию или механизм, который выберет для планирования и достижения своих целей ИБ. Может существовать единый план ИБ, один или несколько планов проектов или действий, включенных в другие организационные планы. Независимо от того, какую бы форму планирование не принимало, итоговые планы должны как минимум определять (см. перечисления f), g), h), i), j)):

— мероприятия, которые необходимо выполнить;

— необходимые ресурсы, которые должны быть выделены для выполнения мероприятий;

— ответственность;

— сроки и этапы мероприятий;

— методы и измерения, позволяющие оценить, достигают ли результаты поставленных целей, включая время проведения таких оценок.

ИСО/МЭК 27001 рекомендует организациям сохранять документированную информацию о целях ИБ. Такая документированная информация может включать в себя:

— планы, мероприятия, ресурсы, ответственность, сроки и методы оценки;

— требования, задачи, ресурсы, ответственность, частоту и методы оценки.

Дополнительная информация

Дополнительная информация отсутствует.

7 Поддержка

7.1 Ресурсы

Необходимые мероприятия

Организация определяет и предоставляет ресурсы для создания, внедрения, обслуживания и постоянного улучшения СМИБ.

Пояснение

Ресурсы имеют основополагающее значение для выполнения любого вида деятельности. Категории ресурсов могут включать в себя:

a) лиц, управляющих и выполняющих мероприятия;

b) время для выполнения мероприятий и время предоставления результатов, прежде чем делать следующий шаг;

c) финансовые ресурсы для приобретения, разработки и реализации того, что необходимо;

d) информацию для поддержки решений, измерения эффективности действий и повышения осведомленности;

e) инфраструктуру и другие средства, которые могут быть приобретены или созданы: технологии, инструменты и материалы, независимо от того, являются они продуктами информационных технологий или нет.

Эти ресурсы должны быть приведены в соответствие с потребностями СМИБ и при необходимости должны быть адаптированы.

Руководство

Организация должна:

f) оценивать ресурсы, необходимые для всех мероприятий, связанных со СМИБ, с точки зрения количества и качества (способностей и возможностей);

g) приобретать ресурсы по мере необходимости;

h) предоставлять ресурсы;

i) поддерживать ресурсы по всем процессам СМИБ и конкретным мероприятиям;

j) проверять предоставленные ресурсы в соответствии с потребностями СМИБ и корректировать их по мере необходимости.

Дополнительная информация

Дополнительная информация отсутствует.

7.2 Компетентность

Необходимые мероприятия

Организация определяет компетенции лиц, занимающихся обеспечением ИБ, и обеспечивает их компетентность.

Пояснение

Компетентность — это способность применять знания и умения для достижения намеченных результатов. На нее влияют знания, опыт и образование.

Компетенции могут быть специфическими (например, в отношении технологий или конкретных областей управления, таких как управление рисками) или общими (например, навыки работы с людьми, надежность и основные технологические и управленческие навыки).

Компетенции относятся к лицам, которые работают под контролем организации. Это означает, что управление компетенциями должно осуществляться для лиц, являющихся сотрудниками организации, и для других лиц по мере необходимости.

Приобретение высокого уровня компетентности или новых компетенций может быть достигнуто как внутри организации, так и за ее пределами посредством получения опыта, обучения (например, курсов, семинаров и практикумов), наставничества, найма или заключения контрактов с внешними лицами.

Для компетенций, которые необходимы лишь временно — для специфической деятельности или на короткий период времени, например, в связи с непредвиденной временной нехваткой внутреннего персонала, — организации могут нанимать или заключать контракты с внешними лицами, компетенции которых должны быть описаны и проверены.

Руководство

Организация должна:

a) определить ожидаемые компетенции для каждой роли в рамках CМИБ и решить, должны ли они быть задокументированы (например, в должностной инструкции);

b) назначить роли в рамках CМИБ (см. 5.3) лицам с необходимыми компетенциями. При необходимости это можно сделать следующим образом:

1) выявить лиц в рамках организации, обладающих компетенциями (например, на основании их образования, опыта или наличия сертификатов);

2) планировать и осуществлять мероприятия, направленные на получение компетенций лицами в рамках организации (например, путем организации обучения, наставничества, перевода имеющихся сотрудников);

3) привлечь новых лиц, обладающих компетенциями (например, путем найма или заключения контрактов);

c) оценить эффективность мероприятий, указанных в перечислении b) выше.

Примеры

1 Рассмотреть, приобрели ли лица компетенции после обучения.

2 Проанализировать компетенции вновь нанятых сотрудников через некоторое время после их появления в организации.

3 Убедиться, что план приобретения новых лиц выполнен должным образом;

d) проверить компетентность лиц для своих ролей;

e) обеспечить развитие компетенции со временем по мере необходимости и их соответствие ожиданиям.

В качестве доказательства компетентности требуется соответствующая документированная информация. Поэтому организация должна хранить документацию о необходимых компетенциях, влияющих на показатели ИБ, и о том, как эти компетенции обеспечиваются соответствующими лицами.

Дополнительная информация

Дополнительная информация отсутствует.

7.3 Осведомленность

Необходимые мероприятия

Лица, выполняющие работу под контролем организации, должны быть осведомлены о политике ИБ, их вкладе в эффективность СМИБ, преимуществах повышения результативности ИБ и последствиях несоответствия требованиям СМИБ.

Пояснение

Осведомленность лиц, работающих под контролем организации, означает наличие необходимого понимания и мотивации относительно того, что от них ожидается в части ИБ.

Осведомленность касается лиц, которые должны знать, понимать, принимать, а также:

a) поддерживать цели, изложенные в политике ИБ;

b) соблюдать правила, чтобы соответствующим образом выполнять свои повседневные задачи, касающиеся поддержки ИБ.

Кроме того, лица, выполняющие работу под контролем организации, также должны знать, понимать и принимать последствия несоответствия требованиям СМИБ. Последствия могут быть негативными для организации или для человека.

Сотрудники организации должны знать, что существует политика ИБ и где можно найти необходимую информацию о ней. Многим сотрудникам организации не нужно знать подробное содержание политики. Вместо этого им достаточно знать, понимать, принимать и реализовывать цели и требования ИБ, определенные в политике, касающиеся их должности и/или роли. Эти требования могут быть включены в стандарты или процедуры, которым они должны следовать при выполнении своей работы.

Руководство

Организация должна:

c) подготовить программу с конкретными знаниями, ориентированными на каждую аудиторию (например, на внутренних и внешних лиц);

d) включить потребности и ожидания в области ИБ в информационные и учебные материалы по другим темам для учета этих потребностей в соответствующем контексте организации;

e) подготовить план для распространения информации через запланированные интервалы времени;

f) проверять усвоение и понимание полученных знаний как после занятия по повышению осведомленности, так и произвольно между занятиями;

g) проверять, действуют ли лица в соответствии с полученными знаниями, и использовать примеры «хорошего» и «плохого» поведения для лучшего усвоения информации.

Дополнительная информация

Дополнительную информацию об осведомленности в области ИБ можно найти в пункте 7.2.2 ИСО/МЭК 27002.

7.4 Взаимодействие

Необходимые мероприятия

Организация определяет потребность во взаимодействии внутри организации и с внешними сторонами по вопросам, связанным со СМИБ.

Пояснение

Взаимодействие является ключевым процессом в рамках СМИБ. Необходимо адекватное взаимодействие с внутренними и внешними заинтересованными сторонами (см. 4.2).

Взаимодействие может осуществляться между внутренними заинтересованными сторонами на всех уровнях в организации или между организацией и внешними заинтересованными сторонами. Взаимодействие может быть инициировано внутри организации или внешней заинтересованной стороной.

Организации должны определить:

— какие данные необходимо передать, например политики ИБ, цели, процедуры, их изменения, знания о рисках ИБ, требования к поставщикам и обратная связь об эффективности ИБ;

— предпочтительное или оптимальное время для взаимодействия;

— кто должен участвовать в процессах взаимодействия и кто является целевой аудиторией каждого взаимодействия;

— кто должен инициировать процесс взаимодействия, например определенные данные могут потребовать, чтобы взаимодействие было инициировано конкретным человеком или организацией;

— какие процессы являются движущими или инициирующими взаимодействие и какие процессы являются целевыми или затрагивают процессы взаимодействия.

Взаимодействие может происходить регулярно или по мере необходимости. Оно может быть проактивным или реактивным.

Руководство

Взаимодействие основывается на процессах, каналах и протоколах. Они должны быть выбраны таким образом, чтобы обеспечить целостное восприятие передаваемого сообщения, его правильное понимание и, когда это уместно, принятие соответствующих мер обеспечения ИБ.

Организации должны определить, какие сведения должны быть переданы, например:

a) планы и результаты управления рисками для заинтересованных сторон, когда это необходимо и уместно, при идентификации, анализе, оценке и обработке рисков;

b) цели ИБ;

c) достигнутые цели ИБ, в том числе те, которые могут поддержать их положение на рынке (например, выданный сертификат ИСО/МЭК 27001; утверждение о соответствии законодательству по защите персональных данных);

d) инциденты или непредвиденные обстоятельства, где прозрачность часто является ключом к сохранению и повышению доверия и уверенности в способности организации управлять своей ИБ и справляться с неожиданными ситуациями;

e) роли, обязанности и полномочия;

f) информация об обмене между функциями и ролями в соответствии с требованиями процессов СМИБ;

g) изменения в СМИБ;

h) сведения, выявленные путем анализа мер обеспечения ИБ и процессов в рамках СМИБ;

i) сведения о ситуациях (например, уведомление об инцидентах или непредвиденных обстоятельствах), требующих передачи информации регулирующим органам или другим заинтересованным сторонам;

j) запросы или другие сообщения от внешних сторон, таких как потенциальные клиенты, пользователи услуг, органы власти.

Организации должны определить требования к взаимодействию по соответствующим вопросам:

k) лица, которым разрешено осуществлять внешнее и внутреннее взаимодействие (например, в особых случаях, таких как нарушение конфиденциальности данных), путем распределения конкретных ролей с соответствующими полномочиями. Например, должностные лица по связям с общественностью могут быть наделены соответствующими полномочиями. Они могут быть сотрудниками по связям с общественностью для внешнего взаимодействия и сотрудниками службы безопасности для внутреннего взаимодействия;

l) триггеры или частота взаимодействия (например, для взаимодействия по случаю события триггером является установление факта наступления события);

m) содержание сообщений для ключевых заинтересованных сторон (например, клиентов, регулирующих органов, широкой общественности, важных внутренних пользователей) на основе сценариев воздействия высокого уровня. Взаимодействие может быть более эффективным, если оно основано на сообщениях, подготовленных и предварительно утвержденных на соответствующем уровне управления в рамках плана взаимодействия, плана реагирования на инциденты или плана обеспечения непрерывности бизнеса;

n) предполагаемые получатели сообщения. В некоторых случаях следует вести список (например, для сообщения об изменениях в услугах или о непредвиденных обстоятельствах);

o) средства связи и каналы. Для взаимодействия следует использовать специальные средства и каналы, необходимые для того, чтобы взаимодействующие стороны были убеждены, что сообщение является официальным и имеет соответствующие полномочия. Каналы связи должны удовлетворять любым потребностям по защите конфиденциальности и целостности передаваемой информации;

p) разработанный процесс и метод для обеспечения того, чтобы сообщения были отправлены, правильно приняты и поняты.

Сообщения, переданные в процессе взаимодействия, должны классифицироваться и обрабатываться в соответствии с требованиями организации.

Дополнительная информация

Дополнительная информация отсутствует.

7.5 Документированная информация

7.5.1 Общие положения

Необходимые мероприятия

Организация включает документированную информацию в СМИБ в соответствии с требованиями ИСО/МЭК 27001, а также в соответствии с определением ее необходимости для эффективности СМИБ.

Пояснение

Документированная информация необходима для определения и информирования о целях, политике, руководствах, инструкциях, мерах обеспечения ИБ, процессах, процедурах ИБ и о том, что должны делать лица или группы лиц и как они должны себя вести. Документированная информация также необходима для аудитов СМИБ и поддержания стабильной СМИБ, при смене лиц, выполняющих ключевые роли. Кроме того, документированная информация необходима для регистрации мероприятий, решений и результатов процессов СМИБ и мер обеспечения ИБ.

Документированная информация может содержать:

— информацию о целях ИБ, рисках, требованиях и стандартах;

— информацию о необходимых процессах и процедурах, которым необходимо следовать;

— записи входных данных (например, для анализа со стороны руководства) и результаты процессов (включая планы и результаты мероприятий).

Существует множество видов деятельности в рамках СМИБ, по результатам которых производят документированную информацию и которые используются в большинстве случаев в качестве входных данных для другой деятельности.

ИСО/МЭК 27001 рекомендует наличие набора обязательной документированной информации и содержит общее требование о том, что дополнительная документированная информация требуется, если это необходимо для эффективности СМИБ.

Количество необходимой документированной информации часто зависит от размера организации.

В целом достаточно обязательной и дополнительной документированной информации для того, чтобы выполнить требования по оценке эффективности, указанные в разделе 9.

Руководство

Организация должна определить, какая документированная информация необходима для обеспечения эффективности СМИБ в дополнение к обязательной документированной информации, требуемой ИСО/МЭК 27001.

Чтобы соответствовать цели, документированная информация должна быть точной и основываться на фактах.

Примерами документированной информации, которую организация может определить как необходимую для обеспечения эффективности СМИБ, являются:

— результаты установления контекста организации (см. раздел 4);

— роли, обязанности и полномочия (см. раздел 5);

— отчеты о различных этапах управления рисками (см. раздел 6);

— определенные и предоставленные ресурсы (см. 7.1);

— ожидаемая компетентность (см. 7.2);

— планы и результаты мероприятий по повышению осведомленности (см. 7.3);

— планы и результаты коммуникационных мероприятий (см. 7.4);

— документированная информация внешнего происхождения, необходимая для СМИБ (см. 7.5.3);

— процесс контроля за документированной информацией (см. 7.5.3);

— политики, правила и директивы для управления и обеспечения мероприятий по ИБ;

— процессы и процедуры, используемые для внедрения, поддержания и улучшения СМИБ и общего состояния ИБ (см. раздел 9);

— планы действий;

— подтверждение результатов процессов СМИБ (например, управления инцидентами, контроля доступа, непрерывности ИБ, обслуживания оборудования и т.д.).

Документированная информация может иметь внутреннее или внешнее происхождение.

Дополнительная информация

Желание организации управлять своей документированной информацией в системе управления документами может быть реализовано в соответствии с требованиями ИСО 30301.

7.5.2 Создание и обновление

Необходимые мероприятия

Во время создания и обновления документированной информации организация обеспечивает ее надлежащую идентификацию, описание, формат, носителя, а также проверку и утверждение.

Пояснение

Организация тщательно разрабатывает структуру документированной информации и определяет надлежащий подход к документированию.

Проверка и утверждение соответствующим руководством гарантирует, что документированная информация является правильной, подходящей для данной цели, а также имеет адекватную форму и достаточную детализацию для целевой аудитории. Регулярные проверки обеспечивают постоянную пригодность и адекватность документированной информации.

Руководство

Документированная информация может храниться в любой форме, например, в традиционной (бумажной и электронной форме), в виде веб-страниц, баз данных, компьютерных журналов, сгенерированных компьютером отчетов, в форме аудио и видео. Кроме того, документированная информация может состоять как из подробного описания намерений (например, политика ИБ), так и из записей о производительности (например, результаты аудита) или их комбинации. Руководство, представленное ниже, относится непосредственно к документам в традиционной форме и должно толковаться соответствующим образом применительно к другим формам документированной информации.

Организации должны создать структурированную документированную информационную библиотеку, связывающую различные части документированной информации посредством:

a) определения структуры документированной информационной базы;

b) определения типовой структуры документированной информации;

c) предоставления шаблонов для различных типов документированной информации;

d) определения ответственности за подготовку, утверждение, публикацию и управление документированной информацией;

e) определения и документирования процесса пересмотра и утверждения для обеспечения постоянной пригодности и адекватности.

Организации должны определить подход к документированию, который включает в себя общие атрибуты каждого документа, позволяющие четко и уникально его идентифицировать. Общие атрибуты обычно включают в себя тип документа (например, политику, директиву, правило, руководство, план, форму, процесс или процедуру), цель и область применения, заголовок, дату публикации, классификацию, ссылочный номер, номер версии и историю изменений. Должны быть указаны сведения об авторе и лице(ах), которые в настоящее время несут ответственность за документ, его применение и изменение, а также сведения об утверждающем(их) лице(ах) или утверждающем органе.

Требования к формату могут включать определение подходящих языков документа, форматов файлов, версии программного обеспечения для работы с документами и графического содержимого. Требования к носителям определяют, на каких физических и электронных носителях должна быть доступна информация.

Заявления и стиль написания должны быть адаптированы к аудитории и объему документации.

Следует избегать дублирования документированной информации и использовать перекрестные ссылки, а не копировать одну и ту же информацию в разные документы.

Выбранный подход к документированию должен обеспечивать своевременную проверку документированной информации и утверждение всех изменений в документе. Соответствующие критерии проверки могут быть связаны со временем (например, максимальные периоды времени между проверками документа) или с содержанием. Должны быть определены критерии утверждения, которые гарантируют, что документированная информация является правильной, подходящей для данной цели, а также имеет адекватную форму и достаточную детализацию для целевой аудитории.

Дополнительная информация

Дополнительная информация отсутствует.

7.5.3 Контроль документированной информации

Необходимые мероприятия

Организация управляет документированной информацией на протяжении всего ее жизненного цикла и делает ее доступной там, где и когда это необходимо.

Пояснение

После утверждения документированная информация передается целевой аудитории. Документированная информация доступна там, где и когда это необходимо, сохраняя при этом свою целостность, конфиденциальность и актуальность на протяжении всего жизненного цикла.

Следует обратить внимание, что мероприятия, описанные «по возможности» в пункте 7.5.3 ИСО/МЭК 27001, необходимо проводить, если они выполнимы и являются полезными для организации, с учетом потребностей и ожиданий организации.

Руководство

Для облегчения доступа к документированной информации можно использовать структурированную библиотеку документированной информации.

Вся документированная информация должна быть классифицирована (см. ИСО/МЭК 27001, приложение A, пункт А.8.2.1) в соответствии со схемой классификации организации. Документированная информация должна защищаться и обрабатываться в соответствии с уровнем ее классификации (см. ИСО/МЭК 27001, приложение А, пункт А.8.2.3).

Процесс управления изменениями документированной информации должен гарантировать, что только уполномоченные лица имеют право изменять и распространять ее по мере необходимости с помощью соответствующих и заранее определенных средств. Документированная информация должна быть защищена, чтобы обеспечить сохранность достоверности и подлинности.

Документированная информация должна распространяться и предоставляться уполномоченным заинтересованным сторонам. Для этого организация должна установить, кто является соответствующей заинтересованной стороной для каждого вида документированной информации (или группы документированной информации), а также средства, используемые для распространения, доступа, поиска и использования этой информации (например, веб-сайт с соответствующими механизмами контроля доступа). Распространение должно соответствовать любым требованиям, связанным с защитой и обработкой классифицированной информации.

Организация должна установить соответствующий срок хранения документированной информации в соответствии с ее предполагаемым сроком действия и другими соответствующими требованиями. Также организация должна обеспечить, чтобы информация была разборчивой в течение всего срока ее хранения (например, при использовании форматов, которые могут быть прочитаны с помощью доступного программного обеспечения, или проверка на отсутствие повреждений бумажного носителя).

Организация должна определить, что делать с документированной информацией после истечения срока ее хранения.

Организация также должна управлять документированной информацией внешнего происхождения (т.е. от клиентов, партнеров, поставщиков, регулирующих органов и т.д.).

Дополнительная информация

Дополнительная информация отсутствует.

8 Эксплуатация

8.1 Оперативное планирование и контроль

Необходимые мероприятия

Организация планирует, внедряет и контролирует процессы в соответствии с требованиями ИБ и для достижения целей ИБ.

Организация хранит документированную информацию, необходимую для обеспечения уверенности в том, что процессы осуществляются в соответствии с планом.

Организация контролирует запланированные изменения и анализирует последствия непреднамеренных изменений, а также обеспечивает выявление, определение и контроль процессов, находящихся на аутсорсинге.

Пояснение

Процессы, которые организация использует для удовлетворения своих требований ИБ, планируются и после их внедрения контролируются, особенно когда требуются изменения.

Опираясь на планирование СМИБ (см. 6.1 и 6.2), организация выполняет необходимое оперативное планирование и мероприятия по внедрению процессов, необходимых для выполнения требований ИБ.

Процессы, отвечающие требованиям ИБ, включают в себя:

a) процессы СМИБ (например, анализ со стороны руководства, внутренний аудит);

b) процессы, необходимые для реализации плана обработки рисков ИБ.

Реализация планов приводит к управляемым и контролируемым процессам.

Организация должна нести ответственность за планирование и контроль любых процессов, переданных на аутсорсинг, для достижения целей ИБ. Таким образом, организация должна:

c) определить процессы с учетом рисков ИБ, связанных с аутсорсингом;

d) обеспечивать контроль за процессами, находящимися на аутсорсинге (т.е. планирование, мониторинг и проверки), таким образом, чтобы не возникало никаких сомнений в том, что они работают не по назначению (также с учетом целей ИБ и плана обработки рисков ИБ).

После завершения внедрения процессы управляются, подвергаются мониторингу и проверкам, чтобы гарантировать, что они продолжают выполнять требования, определенные после понимания потребностей и ожиданий заинтересованных сторон (см. 4.2).

Изменения СМИБ могут быть запланированными или непреднамеренными. Всякий раз, когда организация вносит изменения в СМИБ (намеренно или непреднамеренно), она оценивает потенциальные последствия от изменений для контроля любых неблагоприятных последствий.

Организация может получить уверенность в эффективности выполнения планов, документируя мероприятия и используя документированную информацию в качестве входных данных для процессов оценки эффективности, указанных в разделе 9. Поэтому организация устанавливает список необходимой документированной информации для хранения.

Руководство

Процессы, которые были определены в результате планирования, описанного в разделе 6, должны быть внедрены, эксплуатироваться и проверяться в рамках всей организации. Необходимо рассмотреть и осуществить:

e) процессы, специфичные для управления ИБ (такие как управление рисками, управление инцидентами, управление непрерывностью, внутренние аудиты, анализ со стороны руководства);

f) процессы, вытекающие из мер обеспечения ИБ в плане обработки рисков ИБ;

g) разработку структуры отчетности (содержание, периодичность, формат, ответственность и т.д.) в области ИБ, например отчеты об инцидентах, отчеты об измерении достижения целей ИБ, отчеты о выполненных мероприятиях и т.д.;

h) разработку структуры совещаний (частота, участники, назначение и полномочия), связанных с ИБ. Мероприятия по ИБ должны координироваться представителями различных подразделений организации с соответствующими ролями и должностными функциями для эффективного управления ИБ.

Для запланированных изменений организация должна:

i) планировать их выполнение и назначать задачи, обязанности, сроки и ресурсы;

j) вносить изменения в соответствии с планом;

k) контролировать их выполнение, чтобы подтвердить, что они выполняются в соответствии с планом;

l) собирать и хранить документированную информацию о выполнении изменений в качестве доказательства того, что они были выполнены в соответствии с планом (например, с указанием обязанностей, сроков, оценок эффективности и т.д.).

Для наблюдаемых непреднамеренных изменений организация должна:

m) проанализировать последствия от них;

n) определить, имели ли место какие-либо неблагоприятные последствия или они могут произойти в будущем;

o) планировать и осуществлять действия для смягчения любых неблагоприятных последствий по мере необходимости;

p) собирать и хранить документированную информацию о непреднамеренных изменениях и действиях, предпринятых для смягчения неблагоприятных последствий.

Если часть функций или процессов организации передается на аутсорсинг, организация должна:

q) определить все аутсорсинговые отношения;

r) установить соответствующие интерфейсы для поставщиков;

s) решать вопросы, связанные с ИБ, в соглашениях с поставщиками;

t) осуществлять мониторинг и проверку услуг поставщиков, чтобы убедиться, что они работают так, как запланировано, а связанные с этим риски ИБ соответствуют критериям приемлемости рисков организации;

u) при необходимости управлять изменениями в услугах поставщика.

Дополнительная информация

Дополнительная информация отсутствует.

8.2 Оценка риска информационной безопасности

Необходимые мероприятия

Организация проводит оценку рисков ИБ и сохраняет документированную информацию о ее результатах.

Пояснение

При проведении оценки риска ИБ организация выполняет процесс, определенный в 6.1.2. Эти оценки выполняются либо в соответствии с заранее определенным планом, либо в ответ на значительные изменения или инциденты ИБ. Результаты оценок риска ИБ сохраняются в виде документированной информации в качестве доказательства того, что процесс, определенный в 6.1.2, был выполнен в соответствии с требованиями.

Документированная информация, полученная в результате оценки рисков ИБ, важна для обработки рисков ИБ, а также важна для оценки эффективности (см. раздел 9).

Руководство

Организации должны иметь план проведения оценки рисков ИБ.

В случае каких-либо значительных изменений СМИБ (или ее контекста) или инцидентов ИБ организация должна определить:

a) какие из этих изменений или инцидентов требуют дополнительной оценки риска ИБ;

b) чем вызвано проведение этих оценок.

Уровень детализации в идентификации рисков должен постепенно уточняться в ходе дальнейших итераций оценки рисков ИБ в контексте постоянного улучшения СМИБ. Масштабная оценка рисков ИБ должна проводиться не реже одного раза в год.

Дополнительная информация

ИСО/МЭК 27005 предоставляет руководство по проведению оценки рисков ИБ.

8.3 Обработка риска информационной безопасности

Необходимые мероприятия

Организация реализует план обработки риска ИБ и хранит документированную информацию о результатах.

Пояснение

Чтобы обработать риск ИБ, организации необходимо выполнить процесс обработки риска ИБ, определенный в 6.1.3. В процессе эксплуатации СМИБ, когда оценка риска обновляется в соответствии с 8.1, организация затем обрабатывает риск в соответствии с 6.1.3 и обновляет план по его обработке. Обновленный план обработки риска выполняется снова.

Результаты обработки риска ИБ сохраняются в документированной информации в качестве доказательства того, что процесс, определенный в 6.1.3, был выполнен в соответствии с требованиями.

Руководство

Процесс обработки риска ИБ должен выполняться после каждой итерации процесса оценки ИБ, приведенного в 8.2, или при неудачной реализации плана обработки риска или его частей.

Эта деятельность должна определять и контролировать ход осуществления плана обработки рисков ИБ.

Дополнительная информация

Дополнительная информация отсутствует.

9 Оценка эффективности

9.1 Мониторинг, измерение, анализ и оценка

Необходимые мероприятия

Организация оценивает эффективность ИБ и СМИБ.

Пояснение

Цель мониторинга и измерения заключается в том, чтобы помочь организации понять, достигнуты ли ожидаемые результаты мероприятий по ИБ, включая оценку и обработку рисков в соответствии с планом.

Мониторинг определяет состояние системы, процесса или деятельности, а оценка — это процесс определения значения. Таким образом, мониторинг может быть достигнут путем выполнения аналогичных измерений в течение некоторого периода времени.

Для мониторинга и оценки организация устанавливает:

a) что подвергать мониторингу и измерять;

b) кто и когда производит мониторинг и измерения;

c) методы, которые должны использоваться для получения достоверных результатов (то есть сопоставимых и воспроизводимых).

Для анализа и оценки организация устанавливает:

d) кто и когда анализирует и оценивает результаты мониторинга и измерений;

e) методы, которые будут использоваться для получения достоверных результатов.

Существует два аспекта оценки:

f) оценка эффективности ИБ для определения, работает ли организация, как это ожидается, что включает определение, насколько хорошо процессы в рамках СМИБ соответствуют их спецификациям;

g) оценка эффективности СМИБ для определения, предпринимает ли организация верные шаги, включая определение степени достижения целей ИБ.

Примечание — Термин «по возможности» (см. подраздел 9.1, перечисление b) ИСО/МЭК 27001) означает, что если методы мониторинга, измерения, анализа и оценки могут быть определены, то их необходимо определить.

Руководство

Хорошей практикой является определение «информационной потребности» при планировании мониторинга, измерений, анализа и оценки. Информационная потребность обычно выражается в виде вопроса или заявления высокого уровня, касающихся ИБ, которые помогают организации оценить эффективность ИБ и СМИБ. Другими словами, мониторинг и измерение должны проводиться для достижения определенной информационной потребности.

Следует проявлять осторожность при определении признаков, которые будут измеряться. Сложно выполнимо, дорого и контрпродуктивно измерять слишком много признаков или неправильно выбранные признаки. Помимо затрат на измерение, анализ и оценку многочисленных признаков, существует вероятность того, что ключевые факторы могут быть скрыты или совсем пропущены.

Существует два типа измерений:

h) измерения производительности, которые выражают запланированные результаты с точки зрения характеристик планируемой деятельности, таких как подсчет количества сотрудников, достижение контрольных показателей или степени, в которой реализованы меры обеспечения ИБ;

i) оценка эффективности, которая выражает влияние реализации запланированных мероприятий на цели ИБ организации.

Может оказаться целесообразным определить и назначить особые роли тем, кто участвует в мониторинге, измерении, анализе и оценке. Этими ролями могут быть заказчик измерения, планировщик измерений, проверяющий измерения, владелец информации, сборщик информации, информационный аналитик и ответственный за передачу информации для оценки (ИСО/МЭК 27004, подраздел 6.5).

Обязанности по мониторингу и измерению, а также по анализу и оценке часто возлагаются на отдельных лиц, которым требуется различная компетентность.

Дополнительная информация

Мониторинг, измерение, анализ и оценка имеют решающее значение для эффективности СМИБ. В ИСО/МЭК 27001 имеется ряд положений, которые явно требуют определения эффективности некоторых мероприятий. Например, ИСО/МЭК 27001, 6.1.1, перечисление e), 7.2, перечисление c) или 10.1, перечисление d).

Дополнительную информацию можно найти в ИСО/МЭК 27004, который содержит руководство по выполнению требований, приведенных в подразделе 9.1 ИСО/МЭК 27001. В частности, в нем расширяются все упомянутые выше понятия, такие как роли, обязанности и формы, и приводятся многочисленные примеры.

9.2 Внутренний аудит

Необходимые мероприятия

Организация проводит внутренние аудиты для предоставления информации о соответствии СМИБ требованиям.

Пояснение

Оценка СМИБ через запланированные интервалы времени посредством проведения внутренних аудитов обеспечивает уверенность в состоянии СМИБ для высшего руководства. Аудит характеризуется рядом принципов: целостность, честное представление результатов, профессионализм сотрудников, конфиденциальность, независимость и подход, основанный на доказательствах (ИСО 19011).

Внутренние аудиты предоставляют информацию, соответствует ли СМИБ «собственным требованиям организации» к ее СМИБ, а также требованиям ИСО/МЭК 27001. Собственные требования организации могут включать:

a) требования, изложенные в политике ИБ и процедурах;

b) требования, предъявляемые структурой для установления целей ИБ, включая результаты процесса обработки рисков;

c) правовые и договорные требования;

d) требования к документированной информации.

Аудитор также оценивает, эффективно ли внедрена и поддерживается СМИБ.

Программа аудита описывает общую структуру для ряда аудитов, запланированных на конкретные сроки и направленных на конкретные цели. Она отличается от плана аудита, который описывает мероприятия и механизмы для конкретного аудита. Критерии аудита — это набор политик, процедур или требований, используемых в качестве эталона, с которым сравниваются аудиторские доказательства, т.е. критерии аудита описывают то, что аудитор ожидает получить.

Внутренний аудит может выявить несоответствия, риски и возможности. Управление несоответствиями производится на основании требований, описанных в 10.1. Управление рисками и возможность их возникновения осуществляется в соответствии с требованиями, описанными в 4.1 и 6.1.

Организация должна хранить документированную информацию о программе(ах) и результатах аудита.

Руководство

Управление программой аудита

Программа аудита определяет структуру и ответственность за планирование, проведение, отчетность и контроль за отдельными мероприятиями по аудиту. Программа аудита, как таковая, должна гарантировать, что проводимые аудиты являются уместными, имеют правильную область проверки, минимально влияют на деятельность организации, и поддерживать необходимое качество аудитов. Программа аудита должна также обеспечивать компетентность групп по аудиту, надлежащее ведение записей аудита, а также мониторинг и анализ процессов, рисков и эффективности аудитов. Кроме того, программа аудита должна гарантировать, что СМИБ (т.е. все соответствующие процессы, функции и меры обеспечения ИБ) проверяются в течение определенного периода времени. Наконец, программа аудита должна включать документированную информацию о типах, продолжительности, местах и графике проведения аудитов.

Степень и частота проведения внутренних аудитов должны быть основаны на размере и характере организации, а также на характере, функциональности, сложности и уровне сформированности СМИБ (риск-ориентированная программа аудита).

Эффективность внедренных мер обеспечения ИБ следует рассматривать в рамках внутренних аудитов. Программа аудита должна быть разработана таким образом, чтобы покрывать все необходимые меры, и должна включать оценку эффективности отдельно выбранных мер с течением времени. Ключевые меры обеспечения ИБ (в соответствии с риск-ориентированной программой аудита на основе оценки рисков) должны быть включены в каждый аудит, в то время как остальные меры, применяемые для управления более низкими рисками, могут проверяться реже.

Программа аудита также должна учитывать, что некоторые процессы и меры обеспечения ИБ должны работать в течение некоторого времени, чтобы можно было оценить соответствующие доказательства.

Внутренние аудиты, касающиеся СМИБ, могут эффективно выполняться в сотрудничестве с другими внутренними аудитами организации. Программа аудита может включать аудиты, связанные с одним или несколькими стандартами систем менеджмента, проводимые отдельно или в комбинации.

Программа аудита должна включать документированную информацию о критериях и методах аудита, выборе групп по аудиту, процессах обеспечения конфиденциальности, ИБ, охране здоровья и других подобных вопросах.

Компетентность и оценка аудиторов

Организация должна:

e) определить требования к компетентности своих аудиторов;

f) выбрать внутренних или внешних аудиторов, обладающих соответствующей компетентностью;

g) иметь процесс мониторинга эффективности аудиторов и групп по аудиту;

h) включить в состав групп по внутреннему аудиту персонал, обладающий соответствующими отраслевыми знаниями и знаниями в области ИБ.

Аудиторы должны выбираться с учетом того, что они должны быть компетентными, независимыми и надлежащим образом подготовленными.

Выбор внутренних аудиторов может быть затруднительным для небольших компаний. Если в организации нет необходимых ресурсов и компетенций, должны быть привлечены внешние аудиторы. Когда организации привлекают внешних аудиторов, то они должны убедиться, что аудиторы имеют или получают достаточно знаний о контексте организации. Эта информация должна быть представлена внутренним персоналом.

Организации должны учитывать, что сотрудники, выступающие в качестве внутренних аудиторов, могут иметь возможность проводить детальные аудиты с учетом контекста организации, но при этом могут не обладать достаточными знаниями о проведении аудитов.

Организации должны учитывать особенности и потенциальные недостатки внутренних и внешних аудиторов и создавать подходящие группы по аудиту с необходимыми знаниями и компетенциями.

Проведение аудита

При проведении аудита руководитель группы по аудиту должен подготовить план аудита с учетом результатов предыдущих аудитов и необходимости отслеживать ранее сообщенные несоответствия и неприемлемые риски. План аудита должен быть сохранен в виде документированной информации и должен включать критерии, область и методы аудита.

Группа по аудиту должна проверить:

— адекватность и эффективность процессов и определенных мер обеспечения ИБ;

— выполнение целей ИБ;

— соответствие требованиям, определенным в ИСО/МЭК 27001, разделы 4-10;

— соответствие организации собственным требованиям ИБ;

— соответствие Положения о применимости с результатами процесса обработки рисков ИБ;

— соответствие фактического плана обработки рисков ИБ с идентифицированными, оцененными рисками и критериями принятия рисков;

— актуальность (с учетом размера и сложности организации) результатов анализа со стороны руководства;

— влияние результатов анализа со стороны руководства (включая потребности в улучшении) на организацию.

Степень и надежность имеющегося мониторинга эффективности мер обеспечения ИБ, созданного СМИБ (см. 9.1), могут помочь аудиторам при условии, что они подтвердили эффективность методов измерения.

Если результат аудита включает несоответствия, аудитор должен подготовить план действий для каждого несоответствия, который должен быть согласован с руководителем группы по аудиту. План последующих действий обычно включает в себя:

i) описание обнаруженного несоответствия;

j) описание причин(ы) несоответствия;

k) описание краткосрочных и долгосрочных корректирующих действий для устранения обнаруженного несоответствия в установленный срок;

l) лиц, ответственных за реализацию плана.

Отчеты с результатами аудита должны быть распространены среди высшего руководства.

Результаты предыдущих аудитов должны быть проверены, а программа аудита должна быть выверена с целью лучшего управления областями, которые подвергаются более высоким рискам из-за наличия несоответствия.

Дополнительная информация

Дополнительную информацию можно найти в ИСО 19011, в котором содержится общее руководство по системам управления аудитом, включая принципы проведения аудита, управление программой аудита и проведение аудита системы управления. В нем также содержится руководство по оценке компетентности лиц или групп лиц, участвующих в аудите, в том числе лиц, управляющих программой аудита, аудиторов и групп по аудиту.

Кроме того, в дополнение к руководству, содержащемуся в ИСО 19011, необходимую информацию можно найти в:

a) ИСО/МЭК 27007, в котором содержатся конкретные рекомендации по управлению программой аудита СМИБ, проведению аудитов и компетенции аудиторов СМИБ;

b) ИСО/МЭК 27008, который содержит руководство по оценке средств контроля ИБ.

9.3 Анализ со стороны руководства

Необходимые мероприятия

Анализ СМИБ со стороны высшего руководства проводится с запланированной периодичностью.

Пояснение

Целью анализа со стороны руководства является обеспечение постоянной пригодности, адекватности и эффективности СМИБ. Под пригодностью подразумевается постоянное соответствие целям организации. Адекватность и эффективность относятся к проектированию и организационному внедрению СМИБ, а также к эффективному внедрению процессов и мер обеспечения ИБ, которые управляются СМИБ.

В целом анализ со стороны руководства — это процесс, осуществляемый на различных уровнях в организации. Он может варьироваться от ежедневных, еженедельных или ежемесячных собраний подразделений организации до простых обсуждений отчетов. Высшее руководство в итоге несет ответственность за анализ со стороны руководства с участием всех уровней организации.

Руководство

Высшее руководство должно требовать и регулярно анализировать отчетность об эффективности СМИБ.

Существует множество способов, с помощью которых руководство может анализировать СМИБ, таких как получение и анализ результатов измерений и отчетов, электронная и устная связь. Ключевыми входными данными являются результаты измерений ИБ, как описано в 9.1, и результаты внутренних аудитов, описанных в 9.2, а также результаты оценки рисков и статус выполнения плана обработки рисков. При анализе результатов оценки рисков ИБ и статуса выполнения плана обработки рисков руководство должно подтвердить, что остаточные риски соответствуют критериям приемлемости рисков и что план обработки рисков учитывает все актуальные риски и возможные варианты их обработки.

В целом все аспекты СМИБ должны анализироваться руководством через запланированные промежутки времени (по крайней мере раз в год) путем составления соответствующих графиков и обсуждения повесток на совещаниях руководства. Новые или не очень развитые СМИБ должны чаще анализироваться руководством для повышения эффективности.

Повестка собрания для анализа со стороны руководства должна касаться следующих тем:

a) статус выполнения действий по результатам предыдущих анализов со стороны руководства;

b) изменения во внешних и внутренних факторах (см. 4.1), которые имеют отношение к СМИБ;

c) отзывы об эффективности ИБ, включая тенденции о:

1) несоответствиях и корректирующих действиях;

2) результатах мониторинга и измерений;

3) результатах аудита;

4) достижениях целей ИБ;

d) отзывы заинтересованных сторон, в том числе предложения по улучшению, запросы на изменения и жалобы;

e) результаты оценки рисков ИБ и статус выполнения плана обработки рисков;

f) возможности постоянного улучшения, включая повышение эффективности как СМИБ, так и мер обеспечения ИБ.

Входные данные для анализа должны иметь определенный уровень детализации в соответствии с целями, установленными для руководства, участвующего в анализе. Например, высшее руководство должно оценивать только сводные данные по всем элементам в соответствии с целями ИБ или целями высокого уровня.

Результаты процесса анализа должны включать решения, касающиеся возможностей постоянного улучшения и любых потребностей в изменениях СМИБ. Они также могут включать доказательства решений относительно:

g) изменения политики и целей ИБ, например, обусловленных изменениями во внешних и внутренних факторах и требованиях заинтересованных сторон;

h) изменения критериев принятия риска и критериев оценки риска ИБ (см. 6.1.2);

i) действий, при необходимости, после оценки эффективности ИБ;

j) изменения ресурсов или бюджета для СМИБ;

k) обновленного плана обработки рисков ИБ или Положения о применимости;

l) необходимых улучшений мероприятий по мониторингу и измерениям.

Требуется документировать информацию по анализам со стороны руководства. Ее также следует сохранять, чтобы продемонстрировать, что внимание было уделено всем областям, перечисленным в ИСО/МЭК 27001, даже если было решено, что никаких действий не требуется.

Когда на разных уровнях организации проводится несколько анализов со стороны руководства, они должны быть соответствующим образом связаны друг с другом.

Дополнительная информация

Дополнительная информация отсутствует.

10 Улучшение системы менеджмента информационной безопасности

10.1 Несоответствия и корректирующие действия

Необходимые мероприятия

Организация реагирует на несоответствия, оценивает их и принимает решения об их исправлении, а также о корректирующих действиях, если это необходимо.

Пояснение

Несоответствие — это невыполнение требований СМИБ. Требования — это потребности или ожидания, которые заявлены, подразумеваются или являются обязательными. Существует несколько типов несоответствий, таких как:

a) невыполнение требования (полностью или частично) ИСО/МЭК 27001 в СМИБ;

b) неспособность правильно выполнить или соответствовать требованию, правилу или мере, установленным СМИБ;

c) частичное или полное несоблюдение юридических, договорных или согласованных требований клиента.

Несоответствия могут касаться, например:

d) лиц, которые ведут себя не так, как ожидается в соответствии с процедурами и политиками;

e) поставщиков, не предоставляющих согласованные продукты или услуги;

f) проектов, не дающих ожидаемых результатов; и

g) мер обеспечения ИБ, функционирующих не так, как было задумано.

Несоответствия могут быть определены по:

h) недостаткам мероприятий, осуществляемых в рамках СМИБ;

i) неэффективным мерам обеспечения ИБ, которые не устраняются соответствующим образом;

j) анализу инцидентов ИБ, показывающих невыполнение требования СМИБ;

k) жалобам клиентов;

l) предупреждениям от пользователей или поставщиков;

m) результатам мониторинга и измерений, не соответствующим критериям приемлемости;

n) целям, которые не были достигнуты.

Исправления направлены на немедленное устранение несоответствия и его последствий (см. ИСО/МЭК 27001, 10.1, перечисление а)).

Корректирующие действия направлены на устранение причины несоответствия и предотвращение его повторения (см. ИСО/МЭК 27001, 10.1, перечисления b)-g)).

Следует обратить внимание, что понятие «по возможности» (ИСО/МЭК 27001, 10.1, перечисление a)) означает, что если действие по контролю и исправлению несоответствия осуществимо, то оно должно быть предпринято.

Руководство

Инциденты ИБ не обязательно означают, что существует несоответствие, но они могут быть индикаторами несоответствия. Внутренний и внешний аудиты и жалобы клиентов являются другими важными источниками, которые помогают в выявлении несоответствий.

Реакция на несоответствие должна основываться на определенном процессе обработки. Процесс должен включать в себя:

— выявление масштабов и последствий несоответствия;

— принятие решения об исправлениях для ограничения влияния несоответствия. Исправления могут включать переключение в предыдущее, отказоустойчивое или другое соответствующие состояние. Следует позаботиться о том, чтобы исправления не усугубляли ситуацию в отношении:

— общения с соответствующим персоналом для обеспечения проведения исправлений;

— проведения исправлений в соответствии с решением;

— мониторинга ситуации, чтобы убедиться, что исправления имели ожидаемый эффект и не привели к непреднамеренным побочным эффектам;

— дальнейших действий по исправлению несоответствия, если оно все еще не устранено;

— по возможности общения с другими заинтересованными сторонами.

В результате процесс обработки должен привести к ситуации, где несоответствия и связанные с ними последствия находятся под контролем. Однако одни только исправления не предотвратят повторения несоответствия.

Корректирующие действия могут проходить после или параллельно с исправлениями. Для этого необходимо предпринять следующие шаги:

— принять решение о необходимости выполнения корректирующих действий в соответствии с установленными критериями (например, влияние несоответствия, повторяемость и т.д.);

— проанализировать несоответствия, учитывая:

— были ли зарегистрированы подобные несоответствия;

— все последствия и побочные эффекты, вызванные несоответствием;

— предпринятые исправления;

— выполнить углубленный анализ причин несоответствия, учитывая:

— что пошло не так; конкретный триггер или ситуация, которая привела к несоответствию (ошибки, вызванные людьми, методами, процессами или процедурами, аппаратными или программными средствами, неправильными измерениями, средой);

— модели и критерии, которые могут помочь идентифицировать подобные ситуации в будущем;

— выполнить анализ возможных последствий несоответствий СМИБ, учитывая:

— существуют ли подобные несоответствия в других областях, например, с помощью моделей и критериев, найденных в ходе анализа причин этих последствий;

— соответствуют ли другие области указанным моделям или критериям так, что подобное несоответствие является лишь вопросом времени;

— определить действия, необходимые для устранения причины, оценить, соразмерны ли они последствиям и влиянию несоответствия, и проверить, не имеют ли они побочных эффектов, которые могут привести к другим несоответствиям или значительным новым рискам ИБ;

— планировать корректирующие действия, отдавая, если возможно, приоритет тем областям, где существует более высокая вероятность повторения несоответствия и более существенных последствий от него. Планирование должно включать ответственное лицо за корректирующие действия и сроки для их выполнения;

— выполнить корректирующие действия в соответствии с планом;

— оценить корректирующие действия, чтобы определить, действительно ли они устранили причину несоответствия и предотвратили возникновение других связанных несоответствий. Эта оценка должна быть беспристрастной, основанной на фактических доказательствах и должна быть задокументирована. Об этом также следует сообщить соответствующим ролям и заинтересованным сторонам.

В результате исправлений и корректирующих действий, возможно, будут выявлены новые возможности для улучшения. К ним следует относиться соответствующим образом (см. 10.2).

Необходимо сохранить достаточное количество документированной информации, чтобы продемонстрировать, что организация действовала надлежащим образом в ходе устранения несоответствия и боролась с соответствующими последствиями. Все существенные этапы управления несоответствиями (начиная с обнаружения и исправления) и корректирующими действиями (анализ причин, проверка, решение о реализации действий, анализ и принятие решений об изменениях, принятых для самой СМИБ) должны быть задокументированы. В документированной информации должны быть доказательства, помогли ли предпринятые действия достичь ожидаемых результатов.

Некоторые организации ведут реестры для отслеживания несоответствий и корректирующих действий. Может быть несколько реестров (например, один для каждой функциональной области или процесса) и на разных носителях (бумага, файл, приложение и т.д.). При этом их следует создавать и контролировать как документированную информацию, и они должны позволять проводить всесторонний анализ всех несоответствий и корректирующих действий для обеспечения правильной оценки необходимости действий.

Дополнительная информация

ИСО/МЭК 27001 явно не устанавливает каких-либо требований к «превентивным действиям». Это связано с тем, что одна из ключевых целей формальной системы менеджмента — действовать в качестве превентивного инструмента. Следовательно, общий текст, используемый в стандартах ИСО по системам менеджмента, требует оценки «внешних и внутренних факторов организации, относящихся к ее цели и влияющих на ее способность достичь ожидаемого(ых) результата(ов)», приведенных в 4.1, и «определения рисков и возможностей, которые необходимо устранить: обеспечить, чтобы СМИБ смогла достичь ожидаемого(ых) результата(ов); предотвратить или уменьшить нежелательные эффекты и достичь постоянного улучшения», приведенных в 6.1. Считается, что эти два набора требований охватывают концепцию «превентивных действий», а также расширяют взгляд на риски и возможности.

10.2 Постоянное улучшение

Необходимые мероприятия

Организация постоянно улучшает пригодность, адекватность и эффективность СМИБ.

Пояснение

Организации и их контекст никогда не бывают статичными. Кроме того, риски для информационных систем и способы их компрометации быстро развиваются. Наконец, ни одна СМИБ не идеальна, всегда есть способ ее улучшить, даже если организация и ее контекст не меняются.

Примером улучшений, не связанных с несоответствиями или рисками, является оценка элемента СМИБ (с точки зрения пригодности, адекватности и эффективности), которая может показать, что элемент превышает требования СМИБ или является неэффективным. Если это так, то есть возможность улучшить СМИБ, изменив оцениваемый элемент.

Системный подход с использованием постоянного улучшения приведет к более эффективной СМИБ, которая улучшит ИБ организации. Менеджмент ИБ управляет оперативной деятельностью организации, чтобы избежать чересчур реактивного подхода, когда большая часть ресурсов не была использована для поиска проблем и решения этих проблем. СМИБ работает систематически посредством постоянного улучшения, чтобы у организации был более проактивный подход. Высшее руководство может ставить цели для постоянного улучшения, например, путем измерения эффективности, стоимости или зрелости процесса.

Как следствие, организация относится к своей СМИБ как к развивающейся, обучающейся, живой части бизнес-операций. Чтобы СМИБ не отставала от изменений, она регулярно оценивается на предмет соответствия цели, эффективности и соответствия целям организации. Ничто не должно восприниматься как должное и ничто не должно рассматриваться как «недосягаемое» только потому, что оно было достаточно хорошим во время его реализации.

Руководство

Постоянное улучшение СМИБ должно повлечь за собой оценку самой СМИБ и всех ее элементов с учетом внутренних и внешних факторов (см. 4.1), требований заинтересованных сторон (см. 4.2) и результатов оценки эффективности (см. раздел 9). Оценка должна включать анализ:

a) пригодности СМИБ, с учетом внешних и внутренних факторов, требований заинтересованных сторон, установленных целей ИБ и идентифицированных рисков ИБ посредством планирования и внедрения СМИБ и мер обеспечения ИБ;

b) адекватности СМИБ с учетом совместимости процессов и мер обеспечения ИБ с общими целями организации, мероприятиями и процессами;

c) эффективности СМИБ, учитывая при этом, достигнут(ы) ли ожидаемый(ые) результат(ы) СМИБ, соблюдены ли требования заинтересованных сторон, управляются ли риски ИБ для достижения целей ИБ, управляются ли несоответствия, а ресурсы, необходимые для создания, внедрения, поддержки и постоянного улучшения СМИБ, соответствуют ли этим результатам.

Оценка также может включать анализ эффективности СМИБ и ее элементов с учетом целесообразности использования ими ресурсов, если существует риск того, что недостаточная эффективность может привести к ее потере или к невозможности ее повышения.

Возможности улучшения также могут быть определены при управлении несоответствиями и корректирующими действиями.

После определения возможностей для улучшения в соответствии с 6.1.1 организация должна:

d) оценить их, чтобы установить, стоит ли за ними наблюдать;

e) определить изменения в СМИБ и ее элементах для достижения улучшения;

f) спланировать и провести мероприятия по использованию возможностей, обеспечивающих реализацию преимуществ и отсутствие несоответствий;

g) оценить эффективность мероприятий.

Эти мероприятия следует рассматривать как подмножество мероприятий для обработки рисков и возможностей, описанных в 6.1.1.

Дополнительная информация

Дополнительная информация отсутствует.

Приложение А

(справочное)

Структура политики

Приложение A содержит руководство по структуре документации, которая включает политику ИБ.

В целом политика — это заявление о намерениях и направлении деятельности организации, формально выраженное ее высшим руководством (ИСО/МЭК 27000).

Содержание политики является основой действий и решений, касающихся темы политики.

Организация может иметь несколько политик — по одной на каждую из важных областей деятельности, значимых для организации. Некоторые политики независимы друг от друга, в то время как другие политики могут быть иерархично связаны.

Как правило, организация имеет общую политику, например кодекс профессиональной этики, на самом высоком уровне иерархии политики. Общая политика поддерживается другими политиками, относящимися к различным темам, и может быть применима к конкретным областям или функциям организации. Политика ИБ является одной из этих политик.

Политика ИБ поддерживается рядом тематических политик, связанных с аспектами ИБ. Некоторые из них обсуждаются в ИСО/МЭК 27002, например, политика ИБ может поддерживаться политиками, касающимися контроля доступа, классификации информации (и обработки), физической и экологической безопасности, а также политиками, ориентированными на конечного пользователя. В структуру политики могут быть включены дополнительные уровни. Структура политики показана на рисунке А.1. Следует обратить внимание, что некоторые организации используют другие термины для документированных тематических политик: «стандарты», «директивы» или «правила».

Рисунок А.1 — Иерархия политик

ИСО/МЭК 27001 рекомендует, чтобы организации имели политику ИБ. Однако в нем не указывается какая-либо конкретная связь между политикой ИБ и другими политиками организации.

Содержание политик основано на контексте организации. В частности, при разработке любой политики следует учитывать:

1) цели и задачи организации;

2) стратегии для достижения этих целей;

3) структуру и процессы, принятые в организации;

4) цели и задачи, связанные с тематикой политики;

5) требования соответствующих политик более высокого уровня;

6) целевую группу, на которую направлена эта политика.

Эти данные показаны на рисунке А.2.

Рисунок А.2 — Исходные данные для разработки политики

Политики могут иметь структуру, состоящую из следующих разделов:

a) Административный — название политики, версия, дата публикации/срок действия, история изменений, владелец и утверждающий, классификация, предполагаемая аудитория и т.д.;

b) Краткое изложение политики — обзор из одного или двух предложений (иногда это можно объединить с введением);

c) Введение — краткое объяснение темы политики;

d) Область действия — описывает те части или виды деятельности организации, на которые влияет политика. Если уместно, в этом разделе перечисляются другие политики, которые поддерживаются этой политикой;

e) Цели — описывает цель политики;

f) Принципы — описывает правила, касающиеся действий и решений для достижения целей. В некоторых случаях может быть полезно определить ключевые процессы, связанные с темой политики, а затем правила для управления процессами;

g) Ответственность — описывает, кто несет ответственность за действия, отвечающие требованиям политики. В некоторых случаях этот раздел может включать описание организационных мероприятий, а также обязанности и полномочия лиц с назначенными ролями;

h) Ключевые результаты — описывает результаты бизнеса, если цели будут достигнуты. В некоторых случаях это может быть объединено с целями;

i) Связанные политики — описывает другие политики, относящиеся к достижению целей, обычно путем предоставления дополнительной информации по конкретным темам;

j) Требования политики — описывает подробные требования политики.

Содержание политики может быть организовано различными способами. Например, организации, которые делают упор на роли и обязанности, могут упростить описание целей и применять принципы специально для описания обязанностей.

Приложение ДА

(справочное)

Сведения о соответствии ссылочных международных стандартов национальным и межгосударственным стандартам

Таблица ДА.1


Обозначение ссылочного международного стандарта	Степень соответствия	Обозначение и наименование соответствующего национального, межгосударственного стандарта
ISO/IEC 27000	IDT	ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология»
ISO/IEC 27001	IDT	ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»
Примечания — В настоящей таблице использовано следующее условное обозначение степени соответствия стандартов: — IDT — идентичный стандарт.

Библиография


[1]	ISO 19011, Guidelines for auditing management systems
[2]	ISO/IEC 27002:2013, Information technology — Security techniques — Code of practice for information security controls
[3]	ISO/IEC 27003, Information technology — Security techniques — Information security management system implementation guidance
[4]	ISO/IEC 27004:2016, Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation
[5]	ISO/IEC 27005, Information technology — Security techniques — Information security risk management
[6]	ISO/IEC 27007, Information technology — Security techniques — Guidelines for information security management systems auditing
[7]	ISO/IEC/TR 27008, Information technology — Security techniques — Guidelines for auditors on information security controls
[8]	ISO 30301, Information and documentation — Management systems for records — Requirements
[9]	ISO 31000, Risk management — Principles and guidelines (Менеджмент риска. Принципы и руководство)


УДК 006.34:004.056:004.056.5:004.056.53:006.354	ОКС 35.030
Ключевые слова: система менеджмента информационной безопасности, информационная безопасность, оценка рисков, оценка эффективности

Источник

ГОСТ Р ИСО/МЭК 27003-2012

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

Information technology. Security techniques. Information security management systems implementation guidance

ОКС 35.040

Дата введения 2013-12-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным бюджетным учреждением «Консультационно-внедренческая фирма в области международной стандартизации и сертификации — «Фирма «Интерстандарт» (ФБУ «КВФ «Интерстандарт») совместно с Евро-Азиатской ассоциацией производителей товаров и услуг в области безопасности (Ассоциация ЕВРААС) и ООО «Научно-испытательный институт систем обеспечения комплексной безопасности» (ООО «НИИ СОКБ») на основе собственного аутентичного перевода на русский языкмеждународного стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»

3 УТВЕРЖДЕН и ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 ноября 2012 г. N 812-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27003:2010* «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности» (ISO/IEC 27003:2010 «Information technology — Security techniques — Information security management systems implementation guidance»

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. — .

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном указателе «Национальные стандарты», В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)

1 Область применения

В настоящем стандарте рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения системы менеджмента информационной безопасности (СМИБ) в соответствии со стандартом ISO/IEC 27001:2005. В нем описывается процесс определения и разработки СМИБ от запуска до составления планов внедрения. В нем описывается процесс получения одобрения руководством внедрения СМИБ, определяется проект внедрения СМИБ (упоминается в данном международном стандарте как проект СМИБ) и представлены рекомендации по планированию проекта СМИБ, в результате которого получается окончательный план внедрения СМИБ.

Настоящий международный стандарт предназначен для использования организациями, применяющими СМИБ. Он применяется ко всем типам организаций (например, коммерческим предприятиям, правительственным органам, некоммерческим организациям) любых размеров. Сложность структуры и риски каждой организации уникальны, и на внедрение СМИБ будут влиять ее особые требования. Небольшие организации могут посчитать, что действия, указанные в данном международном стандарте, применимы к ним и могут быть упрощены. Крупным организациям или организациям со сложной структурой для эффективного выполнения действий, указанных в данном международном стандарте, может потребоваться многоуровневая система организации или управления.

Однако в обоих случаях соответствующие действия можно планировать, применяя настоящий стандарт.

Настоящий стандарт содержит рекомендации и разъяснения; в нем не указано никаких требований. Настоящий стандарт предназначен для использования в сочетании с ISO/IEC 27001:2005 и ISO/IEC 27002:2005, но не предназначен для изменения или сокращения требований, указанных в ISO/IEC 27001:2005, или рекомендаций, содержащихся в ISO/IEC 27001:2005.

Предъявление требований на соответствие настоящему стандарту не применяется.

2 Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие международные стандарты (для недатированных ссылок следует использовать только последнее издание указанного стандарта, включая поправки).

_______________

* Таблицу соответствия национальных стандартов международным см. по ссылке. — .

ISO/IEC 27000:2009 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология (ISO/IEC 2700:2009, Information technology — Security techniques — Information security management sustems — Overview and vocabulary)

ISO/IEC 27001:2005 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001:2005, Information technology — Security techniques — Information security management sustems — Requirements)

3 Термины и определения

В настоящем стандарте применены термины и определения по ISO/IEC 27000:2009, ISO/IEC 27001:2005, а также следующий термин с соответствующим определением.

3.1 проект СМИБ (ISMS project) — Структурированные действия, предпринимаемые организацией для внедрения системы управления информационной безопасностью.

4 Структура настоящего стандарта

4.1 Общая структура разделов документа

Внедрение системы менеджмента информационной безопасности (СМИБ) является важным видом деятельности и обычно осуществляется в организации как проект. В настоящем стандарте объясняется внедрение СМИБ с подробным описанием запуска, планирования и определения проекта. Процесс планирования конечного внедрения СМИБ включает пять фаз, и каждая фаза представлена в отдельном пункте. Все разделы имеют одинаковую структуру, описываемую ниже. Эти пять фаз следующие:

a) получение одобрения руководства для запуска проекта СМИБ (раздел 5);

b) определения области действия и политики СМИБ (раздел 6);

c) проведение анализа организации (раздел 7);

d) проведение анализа рисков и планирование обработки рисков (раздел 8);

e) разработка СМИБ (раздел 9).

На рисунке 1 представлены пять фаз планирования проекта СМИБ с указанием стандартов ISO/IEC и основных выходных документов.

Рисунок 1 — Фазы проекта СМИБ

Дополнительная информация приведена в приложениях:

Приложение A. Описание контрольного перечня.

Приложение B. Роли и сферы ответственности в области информационной безопасности.

Приложение C. Информация по внутреннему аудиту.

Приложение D. Структура политики.

Приложение E. Мониторинг и измерения.

4.2 Общая структура настоящего стандарта

Каждый раздел содержит:

a) цель или цели (начиная с того, чего необходимо достичь), указанные в начале каждого раздела в текстовом окне;

или

b) действие или действия, необходимые для достижения цели или целей данной фазы.

Каждое действие описывается в соответствующем пункте.

Описания действий в каждом подпункте структурированы следующим образом:

Действие

Действие определяет, что необходимо сделать для выполнения данного действия, чтобы достичь всех целей или части целей данной фазы.

Исходные данные

В исходных данных представлено описание отправной точки, например, наличие документированных решений или выходных данных других действий, описываемых в настоящем стандарте. Исходные данные могут упоминаться как полный набор исходных данных в начале соответствующего пункта или конкретная информация по какому либо действию, которая может добавляться после ссылки на соответствующий пункт.

Рекомендации

В рекомендациях содержится подробная информация, позволяющая выполнить данное действие. Некоторые рекомендации могут не соответствовать для применения во всех случаях, и другие способы достижения результата могут быть более оптимальными.

Выходные данные

В выходных данных описывается результат(ы) или документ(ы) для сдачи, получаемые после выполнения действия. Выходные данные являются одинаковыми независимо от размера организации и области действия СМИБ.

Дополнительная информация

В разделе дополнительной информации содержится дополнительная информация, которая может помочь в выполнении действия, например, ссылки на другие стандарты.

Примечание — Фазы и действия, описываемые в данном стандарте, включают предлагаемую последовательность выполнения действий на основе зависимостей, определяемых на основе описаний «исходных данных» и «выходных данных» для каждого действия. Однако в зависимости от множества различных факторов (например, эффективности существующей системы управления, понимания важности информационной безопасности, причин внедрения СМИБ) организация может выбирать в любом порядке любые действия, необходимые для подготовки к учреждению и внедрению СМИБ.

4.3 Схемы

Проект часто изображается в графическом виде или в виде схем, показывающих выполняемые действия и их результаты.

На рисунке 2 показаны условные обозначения на схемах, указываемых в пункте обзора каждой фазы. Схемы обеспечивают обзор высокого уровня действий, входящих в каждую фазу.

Рисунок 2 — Условные обозначения на блок-схеме

В верхнем прямоугольнике показаны фазы планирования проекта СМИБ. Фаза, разъясняемая в конкретном пункте, затем указывается вместе с ключевыми выходными документами.

Нижняя схема (действия в фазе) показывает ключевые действия в указанной фазе верхнего прямоугольника и основные выходные документы каждой фазы.

Временная шкала на нижней схеме основывается на временной шкале верхней схемы.

Действия A и B могут выполняться одновременно. Действие C следует начинать после завершения действий A и B.

5 Получение одобрения руководства для запуска проекта СМИБ

5.1 Описание получения одобрения руководства для запуска проекта СМИБ

Существует несколько факторов, которые необходимо учитывать при принятии решения о внедрении СМИБ. Для того чтобы учесть эти факторы, руководство должно рассмотреть деловые аргументы в пользу внедрения проекта СМИБ и утвердить его. Следовательно, цель этой фазы — получить одобрение руководства для запуска проекта СМИБ посредством определения случая применения СМИБ для данного предприятия и плана проекта.

Чтобы получить одобрение руководства, организация должна составить описание случая применения СМИБ для данного предприятия, включающее приоритеты и цели внедрения СМИБ, а также структуру организации для СМИБ. Наряду с этим следует составить начальный план проекта СМИБ.

Работа, выполняемая в данной фазе, позволит организации понять важность СМИБ и определить роли и сферы ответственности в области информационной безопасности внутри организации, требуемые для проекта СМИБ.

Ожидаемым результатом этой фазы будет предварительное разрешение руководства и принятие им обязательства по внедрению СМИБ и выполнению действий, описываемых в данном международном стандарте. Выходные данные в этом пункте включают описание случая применения СМИБ для данного предприятия и предварительный план проекта СМИБ с описанием ключевых этапов.

На рисунке 3 показан процесс получения одобрения руководства для запуска проекта СМИБ.

Рисунок 3 — Описание получения одобрения руководства для запуска проекта СМИБ

Примечание — Выходные данные раздела 5 (документированное поручение руководства на планирование и внедрение СМИБ) и один из документов с выходными данными раздела 7 (документированное описание состояния информационной безопасности) не являются требованиями ISO/IEC 27001:2005. Однако выходные данные по этим действиям являются рекомендованными исходными данными для других действий, описываемых в данном документе.

5.2 Определение приоритетов организации для разработки СМИБ

Действия

Цели внедрения СМИБ должны учитываться при рассмотрении приоритетов и требований организации к информационной безопасности.

Исходные данные

a) стратегические цели организации;

b) обзор существующих систем управления;

c) перечень правовых, нормативных и договорных требований к информационной безопасности, применяемых в организации.

Рекомендации

Для запуска проекта СМИБ обычно требуется одобрение руководства. Следовательно, первое действие, которое необходимо выполнить — сбор существенной информации, показывающей значение СМИБ для организации. Организация должна определить, зачем нужна система СМИБ, определить цели внедрения СМИБ и запустить проект СМИБ.

Цели внедрения СМИБ можно определить, ответив на следующие вопросы:

a) менеджмент риска — как может СМИБ улучшить управление рисками для информационной безопасности?

b) результативность — как может СМИБ улучшить управление информационной безопасностью?

c) преимущества для предприятия — как может СМИБ создать конкурентные преимущества для организации?

Чтобы ответить на приведенные выше вопросы, необходимо рассмотреть приоритеты и требования организации в области информационной безопасности на основе следующих факторов:

a) важнейшие сферы деятельности предприятия и организации:

1 Что является важнейшими сферами деятельности предприятия и организации?

2 Какие сферы деятельности организации обеспечивают ведение бизнеса и чему уделяется особое внимание?

3 Какие существуют взаимоотношения и соглашения с третьими сторонами?

4 Привлекаются ли сторонние организации для оказания каких-либо услуг?

b) засекреченная или ценная информация:

1 Какая информация является наиболее важной для организации?

2 Какими могли бы быть возможные последствия при разглашении определенной информации неуполномоченным сторонам (например, потеря конкурентных преимуществ, ущерб по отношению к бренду или репутации, судебный иск и т.д.)?

c) законы, делающие обаятельным принятие мер информационной безопасности:

1 Какие законы, относящиеся к обработке риска или информационной безопасности, применяются в организации?

2 Является ли организация публичной глобальной организацией, для которой требуется внешняя финансовая отчетность?

d) контрактные или организационные соглашения, относящиеся к информационной безопасности:

1 Какие требования предъявляются к хранению данных (включая сроки хранения)?

2 Существуют ли контрактные требования, связанные с секретностью или качеством (например, соглашение об уровне услуг — SLA)?

e) отраслевые требования, определяющие конкретные способы управления и меры информационной безопасности:

1 Какие требования, характерные для данной отрасли, применяются к организации?

f) угрозы:

1 Какие нужны виды защиты и от каких угроз?

2 Для каких отдельных категорий информации требуется защита?

3 Каковы отдельные типы информационной деятельности, требующие защиты?

g) Конкурентные движущие факторы:

1 Какие минимальные требования к информационной безопасности существуют на рынке?

2 Какие дополнительные способы менеджмента информационной безопасности могут быть стимулированы конкурентными преимуществами организации?

h) требования непрерывности бизнес-процессов

1 Каковы существуют важнейшие бизнес-процессы?

2 Как долго организация может выдерживать приостановки каждого из важнейших бизнес-процессов?

Предварительную область действия СМИБ можно определить, ответив на приведенные выше вопросы. Это также необходимо для того, чтобы определить случай применения СМИБ для данного предприятия и общий план проекта СМИБ для утверждения руководством. Подробная область действия СМИБ должна быть определена во время составления проекта СМИБ.

Требования, указанные в ISO/IEC 27001:2005, ссылка 4.2.1 a), определяют область действия на основе характеристик предприятия, организации, местонахождения, активов и технологий. Определению этих факторов способствует информация, полученная на основе вышеуказанных вопросов.

Перечень некоторых тем, которые необходимо рассмотреть при принятии первоначальных решений, касающихся области действия СМИБ:

a) каковы обязательные требования к менеджменту информационной безопасности, определенные руководством организации, и обязательства, накладываемые на организацию извне?

b) несут ли ответственность за предлагаемые системы в рамках области действия СМИБ руководящие группы (например, сотрудники разных филиалов и отделов)?

c) как будут передаваться документы, связанные с СМИБ, внутри организации (например, на бумаге или через корпоративную сеть)?

d) могут ли существующие системы управления удовлетворять потребности организации? Являются ли они полнофункциональными, поддерживаются ли в работоспособном состоянии и функционируют ли, как это необходимо?

Примеры целей управления, которые могут использоваться в качестве исходных данных для определения предварительной области действия СМИБ, включают:

a) содействие непрерывности бизнес-процессов и восстановлению их в чрезвычайных ситуациях;

b) повышение устойчивости к инцидентам;

c) внимание к соответствию законам (условиям) контракта и обязательствам;

d) обеспечение возможности сертификации по другим стандартам ISO/IEC;

e) обеспечение развития и положения организации;

f) снижение затрат на управление безопасностью;

g) защита стратегически важных активов;

h) создание благоприятной и эффективной среды внутреннего управления;

i) обеспечение уверенности заинтересованных сторон в том, что информационные активы соответствующим образом защищены.

Выходные данные

Выходные данные после выполнения этого действия следующие:

a) документ, излагающий цели, приоритеты в области информационной безопасности и требования организации к СМИБ;

b) перечень законных, контрактных и отраслевых требований к информационной безопасности организации;

c) описание характеристик предприятия, организации, местонахождения, активов и технологий.

Дополнительная информация

ISO/IEC 9001:2008, ISO/IEC 14001:2004, ISO/IEC 20000-1:2005.

5.3 Определение предварительной области действия СМИБ

5.3.1 Разработка предварительной области действия СМИБ

Действия

Цели, связанные с внедрением СМИБ, должны включать определение предварительной области действия СМИБ, которая необходима для проекта СМИБ.

Исходные данные

Выходные данные действия 5.2, определение приоритетов организации для разработки СМИБ.

Рекомендации

Чтобы осуществить проект внедрения СМИБ, необходимо определить структуру организации для реализации СМИБ. Предварительная область действия СМИБ должна быть определена, чтобы обеспечить для руководства рекомендации для принятия решений по внедрению системы и поддержать дальнейшие действия.

Предварительная область действия СМИБ нужна для того, чтобы определить случай применения СМИБ для данного предприятия и предложить план проекта для утверждения руководством.

Выходные данные на этом этапе должны представлять собой документ, определяющий предварительную область действия СМИБ, а именно:

a) изложение обязательных требований к менеджменту информационной безопасности, определяемых руководством организации, и обязательств, накладываемых на организацию извне;

b) описание того, как части области действия системы взаимодействуют с другими системами управления;

c) перечень целей предприятия в области менеджмента информационной безопасности (как определено в пункте 5.2);

d) перечень важнейших бизнес-процессов, информационных активов, организационных структур и регионов, где будет использоваться СМИБ;

e) соотношение существующих систем управления, регулирования, соответствия и целей организации;

f) характеристики предприятия, организация, местонахождение, активы и технологии.

Необходимо определить общие элементы и практические различия между существующими системами управления и предлагаемой СМИБ.

Выходные данные

Выходные данные представляют собой документ, описывающий предварительную область действия СМИБ.

Дополнительная информация

Дополнительной специальной информации не требуется.

Примечание — Следует обратить особое внимание на то, что в случае сертификации должны быть выполнены особые требования к документации согласно ISC/IEC 27001:2005 в том, что касается области действия СМИБ, независимо от существующей в организации системы управления.

5.3.2 Определение ролей и сфер ответственности для предварительной области действия СМИБ

Действия

Необходимо определить общие роли и сферы ответственности для предварительной области действия СМИБ.

Исходные данные

a) выходные данные действия 5.3.1, разработка предварительной области действия СМИБ;

b) список заинтересованных сторон, которые получат выгоду в результате реализации проекта СМИБ.

Рекомендации

Для осуществления проекта СМИБ необходимо определить роль организации в реализации проекта. Эта роль обычно различается в разных организациях, что обусловлено количеством людей, имеющих дело с информационной безопасностью. Организационная структура и ресурсы для обеспечения информационной безопасности различаются в зависимости от размера, типа и структуры организации. Например, в небольших организациях несколько функций может выполнять один человек. Однако руководство организации должно однозначно определить его роль (обычно начальник отдела информационной безопасности, управляющий по информационной безопасности и т.п.) с полной ответственностью за менеджмент информационной безопасности, а для сотрудников должны быть определены роли и сферы ответственности на основе квалификации, требуемой для выполняемой работы. Это важно для обеспечения эффективного выполнения задач.

Наиболее важными соображениями при определении ролей в области менеджмента информационной безопасности являются следующие:

a) полная ответственность за выполнение задач остается на уровне руководства;

b) одно лицо (обычно начальник отдела информационной безопасности) назначается для содействия и координации процессов обеспечения информационной безопасности;

c) каждый работник несет равную ответственность за выполнение своей первоначальной задачи и обеспечение информационной безопасности на рабочем месте и в организации.

Должностные лица, занятые в менеджменте информационной безопасности, должны работать совместно; этому может содействовать создание форума по информационной безопасности или аналогичного органа.

Необходимо осуществлять (и документировать) взаимодействие с соответствующими специалистами предприятия на всех этапах разработки, внедрения, использования и поддержания СМИБ.

Представители подразделений, входящих в определенную область действия системы (например, менеджмент риска), являются потенциальными членами группы по внедрению СМИБ. Эта группа должна иметь минимально необходимую с практической точки зрения численность для быстрого и эффективного использования ресурсов. В эту группу могут входить не только представители подразделений, выполняющих задачи в определенной области действия системы (например, в области менеджмента риска), которые являются потенциальными членами группы по внедрению СМИБ, но также и представители других подразделений, например юридического отдела, административного отдела. Эта группа должна иметь минимально необходимую с практической точки зрения численность для быстрого и эффективного использования ресурсов.

Выходные данные

Выходные данные представляют собой документ или таблицу, описывающую роли и сферы ответственности с указанием имен и организацию, необходимую для успешного внедрения СМИБ.

Дополнительная информация

В Приложении B представлена подробная информация по ролям и сферам ответственности, необходимым в организации для успешного внедрения СМИБ.

5.4 Разработка технического обоснования и плана проекта для получения санкции руководства

Действия

Одобрение руководства и выделение ресурсов для реализации проекта внедрения СМИБ должны быть получены путем определения случая применения СМИБ для данного предприятия и предложения проекта СМИБ.

Исходные данные

a) выходные данные действия 5.2, определение приоритетов организации для разработки СМИБ;

b) выходные данные действия 5.3, определение предварительной области действия СМИБ — документы предварительные.

1 Область действия СМИБ и

2 Связанные с ней роли и сферы ответственности.

Рекомендации

Информация по случаю применения СМИБ для данного предприятия и первоначальный план проекта СМИБ должны включать определенные временные шкалы, ресурсы и этапы, требуемые для выполнения основных действий, указанных в пунктах 6-9 данного национального стандарта.

Определение случая применения СМИБ для данного предприятия и первоначальный план проекта СМИБ служат основой проекта, но также обеспечивают выделение и утверждение руководством ресурсов, требуемых для внедрения СМИБ. То, как применяемая СМИБ будет подкреплять цели предприятия, способствует эффективности организационных процессов и повышает эффективность работы предприятия.

Информация по случаю применения СМИБ для данного предприятия должна включать короткие заявления, связанные с целями организации, и охватывать следующие вопросы:

a) цели и конкретные задачи;

b) выгоды для организации;

c) предварительная область действия СМИБ, включая затрагиваемые бизнес-процессы;

d) важнейшие процессы и факторы для достижения целей СМИБ;

e) описание проекта высокого уровня;

f) первоначальный план внедрения системы;

g) определенные роли и сферы ответственности;

h) требуемые ресурсы (технологические и людские);

i) соображения, касающиеся внедрения системы, включая существующую систему информационной безопасности;

j) временная шкала с ключевыми этапами;

k) предполагаемые затраты;

I) важнейшие факторы успеха;

m) количественное определение выгод для организации.

План проекта должен включать соответствующие действия из фаз, описываемых в пунктах 6-9 данного международного стандарта.

Лица, влияющие на СМИБ или находящиеся под ее влиянием, должны быть определены; им должно быть предоставлено необходимое время для того, чтобы изучить и прокомментировать описание случая применения СМИБ для данного предприятия и предложение по проекту СМИБ. Описание случая применения СМИБ для данного предприятия и предложение по проекту СМИБ должны при необходимости обновляться по мере появления исходных данных. При получении достаточной поддержки описание случая применения СМИБ для данного предприятия и предложение по проекту СМИБ должны быть представлены руководству для утверждения.

Руководство должно утвердить описание случая применения СМИБ для данного предприятия и первоначальный план проекта, чтобы составить поручения для всей организации и начать реализацию проекта СМИБ.

Предполагаемые выгоды от поручения руководства на внедрение СМИБ следующие:

a) знание и применение соответствующих законов, норм, договорных обязательств и стандартов, касающихся информационной безопасности, которое позволит избежать ответственности и взысканий в случае несоответствия;

b) эффективное использование множества процессов обеспечения информационной безопасности;

c) устойчивость и растущая уверенность в росте благодаря лучшему менеджменту риска информационной безопасности;

d) определение и защита важной для предприятия информации.

Выходные данные

Выходные данные этого действия следующие:

a) документированное одобрение руководством выполнения проекта СМИБ с распределенными ресурсами;

b) документированное описание случая применения СМИБ для данного предприятия;

c) начальное предложение по проекту СМИБ с основными этапами, такими как выполнение оценки риска, реализация проекта, внутренний аудит и проверки, осуществляемые руководством.

Дополнительная информация

SO/IEC 27000:2009 в качестве примеров важнейших факторов успеха в подкрепление описания случая применения СМИБ для данного предприятия.

6 Определение области действия СМИБ, границ и политики СМИБ

6.1 Общее описание определения области действия СМИБ, границ и политики СМИБ

Одобрение руководства для внедрения СМИБ основывается на предварительном определении области действия СМИБ, случая применения СМИБ для данного предприятия и первоначальном плане проекта. Подробное определение области действия и границ СМИБ, определение политики СМИБ и ее принятие и поддержка руководством являются ключевыми первичными факторами для успешного внедрения СМИБ.

Следовательно, цели этой фазы следующие:

Цели: Детально определить область действия и границы СМИБ, разработать политику СМИБ и получить одобрение руководства.

ISO/IEC 27001:2005, ссылки: 4.2.1 a) и 4.2.1 b).

Чтобы достичь цели «детального определения области действия и границ СМИБ», необходимо выполнить следующие действия:

a) определить организационную область действия и границы:

b) область действия и границы информационных и коммуникационных технологий (ИКТ) и

c) физическую область действия и границы;

d) определенные характеристики в ISO/IEC 27001:2005, ссылки 4.2.1 a) и b), т.е. аспекты области действия и границ, связанные с предприятием, организацией, местонахождением, активами и технологиями, и политика формируются в процессе определения этой области действия и границ;

e) введение элементарной области действия и границ для получения области действия и границ СМИБ.

Для достижения определения политики СМИБ и получения одобрения руководства необходимо отдельное действие.

Чтобы построить эффективную систему управления для организации, необходимо детально определить область действия СМИБ с учетом важнейших информационных активов организации. Важно иметь общую терминологию и систематический подход для определения информационных активов и оценки жизнеспособных механизмов обеспечения безопасности. Это обеспечивает простоту коммуникации и способствует устойчивому пониманию всех фаз внедрения системы. Также важно обеспечить включение в область действия системы важнейших подразделений организации.

Можно определить область действия СМИБ, чтобы охватить всю организацию или ее часть, например подразделение или четко ограниченный вспомогательный элемент. Например, в случае оказания «услуг» клиентам областью действия СМИБ может быть система управления услугами или пересекающимися функциями (целое подразделение или часть подразделения). Требования ISO/IEC 27001:2005 должны быть выполнены для получения сертификации независимо от систем управления, существующих в организации.

Определение организационной области действия и границ, области действия и границ технологии передачи информации (6.3) и физической области действия и границ (6.4) не всегда должно выполняться последовательно. Однако полезно указать на уже полученные области действия и границы при определении других областей действия и границ.

6.2 Определение организационной области действия и границ

Действия

Необходимо определить организационную область действия и границы.

Исходные данные

a) выходные данные действия 5.3, определение предварительной области действия СМИБ — документированная предварительная область действия СМИБ, охватывающая:

1 Соотношения существующих систем управления, регулирования, соответствия и целей организации;

2 Характеристики предприятия, организации, его или ее местонахождения, активов и технологий.

b) выходные данные действия 5.2, определение приоритетов организации для разработки СМИБ — документированное утверждение руководством внедрения СМИБ и запуск проекта с необходимыми распределенными ресурсами.

На рисунке 4 представлено общее описание определения области действия, границ и политики СМИБ.

Рисунок 4 — Общее описание определения области действия, границ и политики СМИБ

Рекомендации

Степень усилий, требуемых для внедрения СМИБ, зависит от величины области действия, к которой эти усилия прилагаются. Этот фактор также может повлиять на все действия, связанные с поддержанием информационной безопасности элементов, входящих в область действия системы (например, процессов, материальных объектов, информационных систем и людей), включая внедрение и содержание средств управления операциями и выполнение таких задач, как определение информационных активов и оценка риска. Если руководство решает исключить некоторые части организации и области действия СМИБ, причины такого решения также должны быть документированы.

Когда определена область действия СМИБ, важно, чтобы границы были достаточно ясными, чтобы объяснить их сотрудникам, участвующим в их определении.

Некоторые меры и средства контроля и управления, касающиеся информационной безопасности, могут уже существовать в организации в результате ввода в действие других систем управления. Их следует учитывать при планировании СМИБ, но они необязательно определяют границы области действия существующей системы СМИБ.

Одним из методов определения организационных границ является определение сфер ответственности, не перекрывающих друг друга, чтобы облегчить назначение подотчетности в организации.

Сферы ответственности, напрямую связанные с информационными активами или производственными процессами, включаемые в область действия СМИБ, должны выбираться как часть организации, находящейся под контролем СМИБ. При определении организационных границ следует учитывать следующие факторы:

a) форум по менеджменту СМИБ должен состоять из руководящих работников, непосредственно связанных с областью действия СМИБ;

b) членом руководства, ответственным за СМИБ, должен быть сотрудник, в конечном счете отвечающий за все затронутые сферы ответственности (т.е. его роль должна диктоваться его сферой контроля и ответственности в организации);

c) в случае, если сотрудник, отвечающий за управление СМИБ, не является членом высшего руководства, необходим поручитель высшего руководства, представляющий интересы информационной безопасности и действующий в качестве защитника СМИБ на высших уровнях организации;

d) область действия и границы необходимо определить для того, чтобы быть уверенным в том, что все связанные активы принимаются в расчет при оценке риска, и охватить риски, которые могут выйти за пределы этих границ.

На основе такого подхода анализируемые организационные границы должны определять всех сотрудников, попадающих под действие СМИБ, и эти границы должны быть включены в область действия системы. Определение сотрудников может быть связано с процессами и (или) функциями в зависимости от выбранного подхода. Если некоторые процессы в организации выполняются третьими сторонами, эти зависимости должны быть четко документированы. Такие зависимости подлежат дополнительному анализу в проекте внедрения СМИБ.

Выходные данные

Выходные данные этого действия следующие:

a) описание организационных границ СМИБ, включая обоснования исключения каких-либо частей организации из области действия СМИБ;

b) функции и структура частей организации, находящихся в области действия СМИБ;

c) определение информации, подлежащей обмену в рамках области действия системы, и информации, обмен которой осуществляется через границы;

d) процессы в организации и сферы ответственности за информационные активы в области действия системы и за ее пределами;

e) процесс в иерархии принятия решений, а также ее структура в рамках СМИБ.

Дополнительная информация

Дополнительная специальная информация не требуется.

6.3 Определение области действия и границ для информационных и коммуникационных технологий (ИКТ)

Действия

Необходимо определить область действия и границы элементов информационных и коммуникационных технологий (ИКТ) и другие технологические элементы, подпадающие под действие системы СМИБ.

Исходные данные

a) выходные данные действия 5.3, определение предварительной области действия СМИБ — документ с описанием предварительной области действия СМИБ;

b) выходные данные действия 6.2, определение организационной области действия и границ.

Рекомендации

Определение области действия и границ ИКТ может быть получено на основе анализа имеющихся информационных систем (вместо подхода на основе информационных технологий). Когда принимается решение руководства о включении процессов информационной системы в область действия СМИБ, необходимо также рассмотреть все связанные элементы ИКТ. Эти элементы включают все части организации, которые хранят, обрабатывают или передают важную информацию, активы или являются важными для других частей организации, входящих в область действия системы. Информационные системы могут охватывать границы организации или государства. В любом случае необходимо принять во внимание следующие факторы:

a) социально-культурная среда;

b) законные, обязательные или контрактные требования, применяемые к организациям;

c) подотчетность за ключевые сферы ответственности;

d) технические ограничения (например, доступная ширина полосы частот, наличие сервиса и т.д.).

Если принять во внимание вышесказанное, границы ИКТ, если это практически применимо, должны включать описание следующих элементов:

a) инфраструктура связи, в которой ответственность за ее управление входит в компетенцию организации, располагающей различными технологиями (например, беспроводные и проводные сети или сети передачи данных и телефонной связи);

b) программное обеспечение в рамках организационных границ, используемое и контролируемое организацией;

c) аппаратное обеспечение ИКТ, требуемое для сети или сетей, приложений или производственных систем;

d) роли и сферы ответственности, связанные с аппаратным обеспечением ИКТ, сетью и программным обеспечением.

Если один или более из вышеприведенных пунктов не контролируется организацией, необходимо документировать зависимости от третьих сторон. См. 6.2, рекомендации.

Выходные данные

Выходные данные этого действия следующие:

a) информация, обмен которой осуществляется в рамках области действия системы, и информация, обмен которой осуществляется через границы;

b) границы ИКТ для СМИБ с обоснованием исключения каких-либо элементов ИКТ, находящихся под управлением организации, из области действия СМИБ;

c) информация об информационных системах и телекоммуникационных сетях, описывающая, какие из них находятся в пределах области действия системы СМИБ вместе с ролями и сферами ответственности для этих систем. Также необходимо кратко описать системы, не входящие в область действия СМИБ.

Дополнительная информация

Дополнительная специальная информация не требуется.

6.4 Определение физической области действия и границ

Действия

Необходимо определить физическую область действия и границы, которые должны охватываться СМИБ.

Исходные данные

b) выходные данные действия 6.2, определение организационной области действия и границ;

c) выходные данные действия 6.3, определение области действия и границ информационных и коммуникационных технологий (ИКТ).

Рекомендации

Определение физической области действия и границ состоит в определении помещений, объектов и оборудования в организации, которые должны стать частью СМИБ. При этом сложнее работать с информационными системами, пересекающими физические границы, и для этого требуется:

a) периферийное оборудование;

b) средства связи с информационными системами клиентов и обслуживание, предоставляемое третьими сторонами;

c) применение соответствующих средств связи и уровней обслуживания.

Если принять во внимание вышесказанное, физические границы, если это практически применимо, должны включать описание следующих элементов:

a) описания функций или процессов с учетом их физического местонахождения и степени контроля их организацией;

b) специальное оборудование, используемое для хранения (размещения) аппаратного обеспечения ИКТ или данных, применяемых в системе СМИБ (например, на резервных пленках), на основе покрытия границ ИКТ.

Если один или более из вышеприведенных пунктов не контролируется организацией, необходимо документировать зависимости от третьих сторон (см. 6.2, Рекомендации).

Выходные данные

Выходные данные этого действия следующие:

a) описание физических границ СМИБ с обоснованием для исключения каких-либо физических границ, находящихся под управлением организации, из области действия СМИБ;

b) описание организации и ее географических характеристик, относящихся к области действия СМИБ.

Дополнительная информация

Дополнительная специальная информация не требуется.

6.5 Объединение всех областей действия и границ для получения области действия и границ СМИБ

Действия

Область действия и границы СМИБ должны быть получены путем объединения всех областей действия и границ.

Исходные данные

b) выходные данные действия 6.2, определение организационной области действия и границ;

c) выходные данные действия 6.3, определение области действия и границ информационных и коммуникационных технологий (ИКТ);

d) выходные данные действия 6.4, определение физической области действия и границ.

Рекомендации

Область действия СМИБ можно описать и обосновать различными способами. Например, можно выбрать физический объект — центр обработки и хранения данных или офис и перечислить важнейшие процессы, каждый из которых охватывает области за пределами центра обработки и хранения данных, вводя эти элементы, находящиеся за пределами центра обработки и хранения данных, в область действия СМИБ. Одним из таких важнейших процессов может быть, например, мобильный доступ к центральной информационной системе.

Выходные данные

Выходные данные этого действия представляют собой документ, описывающий область действия и границы СМИБ и содержащий следующую информацию:

a) ключевые характеристики организации (функция, структура, услуги, активы и область действия и границы ответственности для каждого актива);

b) процессы в организации, находящиеся в области действия СМИБ;

c) конфигурация оборудования и сетей, находящихся в области действия СМИБ;

d) предварительный перечень информационных активов, находящихся в области действия СМИБ;

e) перечень активов ИКТ, находящихся в области действия СМИБ (например, серверов);

f) схемы объектов, находящихся в области действия СМИБ, определяющие физические границы СМИБ;

g) описание ролей и сфер ответственности в рамках СМИБ и их связи со структурой организации;

h) подробное описание и обоснование исключений каких-либо элементов из области действия СМИБ.

Дополнительная информация

Дополнительная специальная информация не требуется.

6.6 Разработка политики СМИБ и получение одобрения руководства

Действия

Необходимо разработать политику СМИБ и получить одобрение руководства.

Исходные данные

a) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ СМИБ — документированная область действия и границы СМИБ;

b) выходные данные действия 5.2, определение приоритетов организации для разработки СМИБ — документированные цели внедрения СМИБ;

c) выходные данные действия 5.4, составление описания случая применения СМИБ для данного предприятия и проекта плана для утверждения руководством — документы:

1 Требования и приоритеты организации в области информационной безопасности;

2 Первоначальный проект плана внедрения СМИБ с основными этапами, такими как проведение оценки риска, внутренний аудит и проверка, осуществляемая руководством.

Рекомендации

При определении политики СМИБ следует принять во внимание следующие аспекты:

a) установить цели СМИБ на основе требований и приоритетов организации в области информационной безопасности;

b) установить общие фокусные точки и руководства к действию для достижения целей СМИБ;

c) учесть законные обязательные требования организации и договорные обязательства, связанные с информационной безопасностью;

d) ситуация с управлением рисками в организации;

e) установить критерии для оценки рисков (см. ISO/IEC 27005:2008) и определения структуры оценки риска;

f) определить сферы ответственности руководителей высшего уровня в отношении СМИБ;

g) получить одобрение руководства.

Выходные данные

Выходные данные представляют собой документ, описывающий и документирующий утвержденную руководством политику СМИБ. Этот документ должен быть повторно утвержден в следующей фазе проекта, поскольку зависит от результатов оценки риска.

Дополнительная информация

Стандарт ISO/IEC 27005:2008 содержит дополнительную информацию по критериям оценки риска.

7 Проведение анализа требований к информационной безопасности

7.1 Общее описание проведения анализа требований к информационной безопасности

Анализ текущего положения в организации важен, поскольку существуют требования и информационные активы, которые необходимо принять во внимание при внедрении СМИБ. Действия, описываемые в этой фазе, могут предприниматься в основном параллельно с действиями, описываемыми в разделе 6, из соображений эффективности и практичности.

Цели:

Определить соответствующие требования, которым должна соответствовать система СМИБ, определить информационные активы и получить данные по текущему состоянию информационной безопасности в рамках области действия СМИБ

ISO/IEC 27001:2005, ссылки: 4.2.1. c) 1) частично, 4.2.1. d), 4.2.1. e)

Информация, собранная в процессе анализа информационной безопасности, должна:

a) стать основной для управления (т.е. должна иметь корректные базовые данные);

b) определять и документировать условия для внедрения СМИБ;

c) обеспечивать четкое и обоснованное понимание возможностей организации;

d) учитывать определенные обстоятельства и положение в организации;

e) определять требуемый уровень защиты информации;

f) определять сбор и обработку информации, требуемые для всего предприятия или его части, находящейся в рамках предложенной области действия СМИБ.

7.2 Определение требований к информационной безопасности для процесса СМИБ

Действия

Необходимо проанализировать и определить подробные требования к информационной безопасности для процесса СМИБ.

Исходные данные

a) выходные данные действия 5.2, определение приоритетов организации для разработки СМИБ — документы:

1 Краткое изложение целей, приоритетов в области информационной безопасности и требований организации к системе СМИБ;

2 Перечень регулирующих, контрактных и отраслевых ограничений, относящихся к информационной безопасности организации.

b) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ СМИБ — область действия и границы СМИБ;

c) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ.

Рекомендации

Для первого этапа требуется собрать всю вспомогательную информацию для СМИБ. Для каждого процесса в организации и задачи для специалиста требуется принять решение в отношении того, насколько важной является информация, т.е. какой требуется уровень защиты. На информационную безопасность могут влиять множество внутренних условий, их необходимо определить. На данном этапе нет необходимости в подробном описании информационной технологии. Требуется базовое краткое описание проанализированной информации по процессам в организации и связанным приложениям и системам ИКТ.

На рисунке 5 представлено описание проведения фазы определения требований к информационной безопасности.

Рисунок 5 — Описание проведения фазы определения требований к информационной безопасности

Анализ процессов в организации дает информацию о влияниях инцидентов информационной безопасности на деятельность организации. Во многих случаях достаточно работы с базовым описанием процессов в организации. Процессы, функции, объекты, информационные системы и коммуникационные сети необходимо определить и документировать, если они еще не были включены как часть области действия СМИБ.

Для получения подробных требований к информационной безопасности для СМИБ следует рассмотреть следующие вопросы:

a) предварительное определение важных информационных активов и текущего состояния защиты информации;

b) определение представлений организации и влияния определенных представлений на будущие требования к информационной безопасности;

c) анализ существующих форм обработки информации, системного программного обеспечения, коммуникационных сетей, определения действий и ресурсов для информационных технологий и т.д.;

d) определение всех существенных требований (например, законных и обязательных требований, договорных обязательств, требований организации, отраслевых стандартов и соглашений с клиентами, условий страхования и т.д.);

e) определение уровня информированности в области информационной безопасности и определение требований к обучению и образованию в отношении каждого функционального и административного подразделения.

Выходные данные

Выходные данные этого действия следующие:

a) определение основных процессов, функций, объектов, информационных систем и коммуникационных сетей;

b) информационные активы организации;

c) классификация важнейших процессов (активов);

d) требования к информационной безопасности, сформулированные на основе законных, обязательных и контрактных требований;

e) перечень известных уязвимостей, которые должны быть устранены в результате выполнения требований к информационной безопасности;

f) требования к обучению и образованию в области информационной безопасности в организации.

Дополнительная информация

Дополнительная специальная информация не требуется.

7.3 Определение активов в рамках области действия СМИБ

Действия

Необходимо определить активы, которые должны поддерживаться системой СМИБ.

Исходные данные

a) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ СМИБ — область действия и границы СМИБ;

b) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

c) выходные данные действия 7.2, определение требований к информационной безопасности для процесса СМИБ.

Рекомендации

Для определения активов в рамках области действия СМИБ необходимо определить и указать следующую информацию:

a) уникальное наименование процесса;

b) описание процесса и связанные с ним действия (создание, хранение, передача, удаление);

c) важность процесса для организации (критический, важный, вспомогательный);

d) владелец процесса (подразделение организации);

e) процессы, обеспечивающие исходные и выходные данные этого процесса;

f) приложения ИТ, поддерживающие процесс;

g) классификация информации (конфиденциальность, сохранность, доступность, контроль доступа, неотказуемость и (или) другие важные для организации свойства, например, как долго может храниться информация).

Выходные данные

Выходные данные этого действия следующие:

a) определенные информационные активы основных процессов в организации в рамках области действия СМИБ;

b) классификация важнейших процессов и информационных активов с точки зрения информационной безопасности.

Дополнительная информация

Дополнительная специальная информация не требуется.

7.4 Проведение оценки информационной безопасности

Действия

Необходимо провести оценку информационной безопасности путем сравнения текущего состояния информационной безопасности в организации с целями организации.

Исходные данные

b) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

c) выходные данные действия 7.2, определение требований к информационной безопасности для процесса СМИБ;

d) выходные данные действия 7.3, определение активов в рамках области действия СМИБ.

Рекомендации

Оценка информационной безопасности — это действия по определению существующего уровня информационной безопасности (т.е. процедур по защите информации, применяемых в организации в настоящее время). Фундаментальной целью оценки информационной безопасности является предоставление информации, подкрепляющей описание, требуемое для системы управления, в форме политики и рекомендаций. Необходимо обеспечить, чтобы выявленные недостатки устранялись параллельно, с помощью плана приоритетных действий. Все вовлеченные стороны должны быть ознакомлены с результатами анализа организации, стандартными документами и иметь доступ к соответствующим руководящим работникам.

При оценке информационной безопасности анализируется текущая ситуация в организации путем использования следующей информации и определяется текущее состояние информационной безопасности и недостатки в документации:

a) изучение предпосылок на основе важнейших процессов;

b) классификация информационных активов;

c) требования организации к информационной безопасности.

Результаты оценки информационной безопасности вместе с целями организации часто являются важной частью стимуляции будущей работы в области информационной безопасности. Оценка информационной безопасности должна проводиться внутренним или внешним проверяющим, независимым по отношению к организации.

Участвовать в оценке информационной безопасности должны лица, хорошо знающие существующую среду, условия и ясно представляющие, что является важным в отношении информационной безопасности. Эти лица должны выбираться таким образом, чтобы представлять широкий круг работников организации. Круг таких лиц должен включать:

a) линейных руководителей (например, начальников подразделений организации);

b) владельцев процессов (т.е. представителей важных подразделений организации);

c) других лиц, хорошо знающих существующую среду, условия и то, что является важным в отношении информационной безопасности. Например, пользователи бизнес-процессов, а также сотрудники, выполняющие оперативные, административные и юридические функции.

Для успешной оценки информационной безопасности важными являются следующие действия:

a) определение и перечисление соответствующих стандартов организации (например, ISO/IEC 27002:2005);

b) определение известных требований к управлению, установленных на основе политики, законных и обязательных требований, договорных обязательств, результатов прошедших проверок или оценок рисков;

c) использование этих документов в качестве справочных для приблизительной оценки существующих требований организации, касающихся уровня информационной безопасности.

Назначение приоритетов в сочетании с анализом организации создает основу, для которой должны рассматриваться предупредительные мероприятия по безопасности и проверки (контроль).

Подход к проведению оценки информационной безопасности следующий:

a) выбрать важные бизнес-процессы в организации и этапы процессов, касающиеся требований к информационной безопасности;

b) составить подробную блок-схему, охватывающую основные процессы в организации, включая инфраструктуру (логическую и техническую), если она еще не была составления во время анализа организации;

c) обсудить и проанализировать с ключевыми сотрудниками существующую ситуацию в организации в отношении требований к информационной безопасности. Например, какие процессы являются критическими, насколько хорошо они в настоящее время работают? (Полученные результаты в дальнейшем используются при оценке риска);

d) определить недостатки в управлении путем сравнения существующих средств управления с ранее определенными требованиями к управлению;

e) определить и документировать текущее состояние организации.

Выходные данные

Выходные данные этого действия представляют собой документ, описывающий состояние безопасности в организации и обнаруженные уязвимости.

Дополнительная информация

Оценка информационной безопасности, проводимая на данном этапе, дает только предварительную информацию о состоянии информационной безопасности в организации и уязвимостях, поскольку полный набор политики и стандартов информационной безопасности разрабатывается на следующем этапе (см. раздел 9), а оценка риска еще не проведена.

8 Проведение оценки риска и планирование обработки риска

8.1 Описание проведения оценки риска и планирования обработки риска

При внедрении СМИБ необходимо учитывать связанные с этим риски для информационной безопасности. Определение, оценка и планируемые действия в случае возникновения риска, а также выбор целей и средств управления являются важными этапами внедрения СМИБ и должны быть проработаны на данном этапе.

Стандарт ISO/IEC 27005:2008 содержит специальные рекомендации по менеджменту риска для информационной безопасности и должен упоминаться в разделе 8.

Предполагается, что руководство дало поручение на внедрение СМИБ и область действия и политика СМИБ определены, а также известны информационные активы и результаты оценки информационной безопасности.

Цель:

Определить методологию оценки риска, определить, проанализировать и оценить риски для информационной безопасности, чтобы выбрать варианты обработки риска и цели, а также меры и средства контроля и управления.

ISO/IEC 27001, ссылки с 4.2.1 c) по 4.2.1 j)

Проведение оценки риска

Действия

Необходимо провести оценку риска.

Исходные данные

a) выходные данные раздела 7, проведение анализа требований к информационной безопасности — информация, касающаяся:

1 Обобщенного состояния информационной безопасности;

2 Определенных информационных активов.

b) выходные данные действий раздела 6, определение области действия, границ и политики СМИБ — документы:

1 Область действия СМИБ;

2 Политика СМИБ.

c) ISO/IEC 27005:2008.

На рисунке 6 представлено описание фазы оценки риска.

Рисунок 6 — Описание фазы оценки риска

Рекомендации

Оценка риска безопасности на предприятии для подкрепления области действия СМИБ необходима для успешного внедрения СМИБ в соответствии ISO/IEC 27001:2005. В результате оценки риска необходимо:

a) определить угрозы и их источники;

b) определить существующие и планируемые меры и средства контроля и управления;

c) определить уязвимости, которые могут в случае угрозы нанести ущерб активам или организации;

d) определить последствия потери конфиденциальности, сохранности, доступности, неотказуемости или нарушения других требований к безопасности для активов;

e) оценить влияние на предприятие, которое может возникнуть в результате предполагаемых или фактических инцидентов информационной безопасности;

f) оценить вероятность чрезвычайных сценариев;

g) оценить уровень риска;

h) сравнить уровни риска с критериями оценки и приемлемости рисков.

Участвовать в оценке риска должны лица, хорошо знающие цели организации и понимающие проблемы безопасности (например, хорошо представляющие, что в настоящее время важно с точки зрения угроз по отношению к целям организации). Эти лица должны выбираться таким образом, чтобы представлять широкий круг сотрудников организации (справочную информацию см. в Приложении B ).

Организация может использовать методологию оценки риска, которая является стандартной по отношению к проекту, компании или отрасли.

Выходные данные

Выходные данные этого действия следующие:

a) описание методологий оценки риска;

b) результаты оценки риска.

Дополнительная информация

Приложение B — информация по ролям и сферам ответственности.

Примечание — Чрезвычайный сценарий — это описание угрозы, оказывающей влияние на определенную уязвимость или несколько уязвимостей во время инцидента с информационной безопасностью. В стандарте ISO/IEC 27001 описываются чрезвычайные сценарии, такие как «нарушения безопасности» (см. ISO/IEC 27005:2008).

8.2 Выбор целей и средств управления

Действия

Необходимо определить варианты действий в случае возникновения риска, а также выбор соответствующих средств управления, в соответствии с определенными вариантами действий в случае возникновения риска.

Исходные данные

a) выходные данные действия 8.2, проведение оценки риска — результаты оценки риска;

b) ISO/IEC 27005:2008;

c) ISO/IEC 27002:2005.

Рекомендации

Важно определить соотношение меду рисками и выбранными вариантами обработки риска (например, план обработки риска), поскольку эти соотношения дают обобщение обработки риска. Возможные варианты обработки рисков перечисляются в стандарте ISO/IEC 27001:2005, 4.2.1 f).

Приложение A к стандарту ISO/IEC 27001:2005 (нормативное) «Цели и меры (средства контроля)» используется для выбора целей и средств управления действиями в случае возникновения риска. Если в Приложении A нет подходящих целей и средств управления, следует определить и использовать дополнительные цели, и меры, и средства контроля и управления. Важно продемонстрировать, как выбранные меры и средства контроля и управления могут снизить риск, что требуется в соответствии с планом обработки риска.

Данные, приведенные в стандарте ISO/IEC 27001:2005, Приложение A, не являются исчерпывающими. Для подкрепления потребностей конкретного предприятия, а также СМИБ можно определить меру и средство контроля и управления, характерные для данной отрасли.

В случае снижения риска установление соотношения между каждым риском и выбранными целями и средствами управления является полезным для разработки внедрения СМИБ. Это соотношение можно добавить в список соотношений между рисками и вариантами обработки рисков.

Для облегчения аудита организация должна составить перечень средств управления, выбранных как подходящие и применимые для СМИБ организации. Это дает дополнительные преимущества, связанные с улучшением деловых отношений, например, электронный аутсорсинг, путем предоставления описания средств управления на месте.

Важно знать о том, что описание средств управления с большой вероятностью может содержать секретную информацию. Следовательно, соблюдать осторожность при предоставлении доступа к описанию средств управления как внутренним, так и внешним получателям. Фактически может возникнуть необходимость учета информации, появляющейся в результате создания СМИБ, во время определения активов.

Выходные данные

Выходные данные этого действия следующие:

a) перечень выбранных целей и средств управления;

b) план обработки риска, включающий:

1 Описание соотношения между рисками и выбранным вариантом обработки риска;

2 Описание соотношения между рисками и выбранными целями и средствами управления (особенно в случае снижения риска).

Дополнительная информация

ISO/IEC 27002:2005

8.3 Получение санкции руководства на внедрение и использование СМИБ

Действия

Необходимо получить санкцию руководства на внедрение СМИБ, а также документировать принятие остаточных рисков.

Исходные данные

a) выходные данные действий в 5.4, составление описания случая применения СМИБ для данного предприятия и плана проекта для утверждения руководством — первоначальное утверждение руководством проекта СМИБ;

b) выходные данные действий в пункте 6, определение области действия, границ и политики СМИБ — документы:

1 Политика и цели СМИБ;

2 Область действия СМИБ.

c) выходные данные действия 8.2, проведение оценки риска — документы:

1 Описание методологий оценки риска;

2 Результаты оценки риска.

d) выходные данные действия 8.3, выбор целей и средств управления — план обработки риска.

Рекомендации

Для получения одобрения руководства необходимо подготовить документы, описываемые как исходные данные для данного подпункта, и представить их на рассмотрение руководства для оценки и принятия решения.

Подготовка декларации о применимости (SoA) должна быть включена как часть работ по менеджменту информационной безопасности. Уровень детализации, с которым определяются меры и средства контроля и управления, должен соответствовать требованиям, подкрепляющим утверждение СМИБ руководством организации.

Необходимо получить одобрение высшего руководства для принятия решения о принятии остаточных рисков, а также санкцию на фактическое использование СМИБ. Эти решения должны основываться на оценке рисков и вероятности их возникновения в результате внедрения СМИБ, в сравнении с рисками, возникающими в случае, когда система не применяется.

Выходные данные

Выходные данные этого действия следующие:

a) письменное уведомление об одобрении руководством внедрения СМИБ;

b) принятие руководством остаточных рисков;

c) декларация о применимости, включая цели и выбранные меры и средства контроля и управления.

Дополнительная информация

Дополнительная специальная информация не требуется.

9 Разработка СМИБ

9.1 Описание разработки СМИБ

На данном этапе должны быть разработаны рабочий проект СМИБ и планируемые действия по внедрению системы. Конечный проект СМИБ должен быть уникальным в деталях для конкретной организации в зависимости от результатов предыдущих действий, а также результатов конкретных действий в фазе разработки, описываемых в данном пункте.

Результатом выполнения данного пункта является конкретный конечный план проекта СМИБ. На основе этого плана может быть запущен проект СМИБ в организации как самая первая фаза осуществления («DO») цикла PDCA (Plan, Do, Check & Act — план, осуществление, проверка, действие), описываемого в стандарте ISO/IEC 27001:2005.

Предполагается, что руководство дало поручение на внедрение СМИБ, которое определено в области действия и политике СМИБ. Предполагается, что информационные активы, а также результаты оценки информационной безопасности доступны. Кроме того, должен быть доступен план обработки риска, описывающий риски, варианты обработки риска и определенные выбранные цели, а также меры и средства контроля и управления.

Описываемая здесь разработка СМИБ сосредоточена на внутренней структуре и требованиях СМИБ. Следует отметить, что в определенных случаях разработка СМИБ может прямо или косвенно влиять на разработку бизнес-процессов. Также следует отметить, что обычно требуется объединение компонентов СМИБ с существовавшими ранее планами управления и инфраструктурой.

Цель:

Составить конечный план внедрения СМИБ посредством разработки системы безопасности организации на основе выбранных вариантов обработки риска, а также требований, касающихся записей и документов и разработки средств управления, объединяющих меры безопасности ИКТ, физические и организационные процессы и разработку специальных требований для СМИБ

ISO/IEC 27001:2005, ссылка: 4.2.2 a)-e), h)

При разработке СМИБ следует принять во внимание следующие вопросы:

a) безопасность организации — охватывает административные аспекты информационной безопасности, включая ответственность, возникающую при выполнении процессов в организации, за обработку риска. Эти аспекты следует оформить в группу действий, в результате которых формируется политика, цели, процессы и процедуры проработки и повышения информационной безопасности в отношении потребностей и рисков организации;

b) безопасность ИКТ — охватывает аспекты информационной безопасности, связанные с ответственностью за снижение рисков при выполнении операций с ИКТ. Эти аспекты должны обеспечивать выполнение требований, установленных организацией, и техническое внедрение средств управления для снижения рисков;

c) безопасность физических объектов — охватывает аспекты информационной безопасности, связанные, в частности, с ответственностью, возникающей при проработке физического окружения, например зданий и их инфраструктуры, за снижение риска. Эти аспекты должны обеспечивать выполнение требований, установленных организацией, и техническое внедрение средств управления для снижения рисков;

d) особые требования к СМИБ — охватывают аспекты, связанные с различными особыми требованиями к СМИБ в соответствии с ISO/IEC 27001:2005, в отличие от аспектов, охватываемых в трех других областях. Основное внимание уделяется определенным действиям, которые должны выполняться при внедрении СМИБ для получения работоспособной системы, включая:

1 Мониторинг;

2. Измерения;

3 Внутренний аудит СМИБ;

4 Обучение и информирование;

5 Управление в чрезвычайных ситуациях;

6 Проверки, осуществляемые руководством;

7 Усовершенствование СМИБ, включая корректирующие и предупреждающие действия.

При разработке проекта СМИБ и связанного с ним планируемого внедрения средств управления должны использоваться квалификация и опыт работников тех частей организации, которые находятся в области действия СМИБ или несут административную ответственность, связанную с системой СМИБ. Аспекты, связанные с системой СМИБ, требуют диалога с руководством.

Для разработки выбранных средств управления, применяемых для обработки риска, важно разработать среду безопасности ИКТ и безопасности физических объектов, а также среду безопасности организации. Безопасность ИКТ связана не только с информационными системами и сетями, но также и с техническими требованиями. Безопасность физических объектов связана со всеми аспектами контроля доступа, неотказуемости, физической защиты информационных активов и хранимой информации, а также сама является средством защиты для управления безопасностью.

Меры и средства контроля и управления, выбранные в действиях, описываемых в пункте 8.3, должны применяться в соответствии с особым структурированным и детализированным планом внедрения, являющимся частью плана проекта СМИБ. Эта особая часть плана проекта СМИБ должна описывать действия в случае возникновения каждого вида риска для достижения целей управления. Эта особая часть плана проекта СМИБ является важной, если необходимо правильно и эффективно применить выбранные меры и средства контроля и управления. Группа управления информационной безопасностью отвечает за составление этой особой части плана внедрения СМИБ, которая затем образует конечный план проекта СМИБ.

9.2 Разработка информационной безопасности организации

9.2.1 Разработка конечной структуры организации для информационной безопасности

Действия

Необходимо сопоставить функции, роли и сферы ответственности в организации, связанные с информационной безопасностью, с обработкой рисков.

Исходные данные

a) выходные данные действия 5.3.2, определение ролей и сфер ответственности для предварительной области действия СМИБ — таблица ролей и сфер ответственности;

На рисунке 7 представлено описание фазы разработки СМИБ.

Рисунок 7 — Описание фазы разработки СМИБ

c) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

d) выходные данные действия 7.2, определение требований к информационной безопасности для процесса СМИБ;

e) выходные данные действия 7.3, определение активов в рамках области действия СМИБ;

f) выходные данные действия 7.4, проведение оценки информационной безопасности;

g) выходные данные действия 8.2, проведение оценки риска — результаты оценки риска;

h) выходные данные действия 8.3, выбор целей и средств управления;

i) ISO/IEC 27002:2005.

Рекомендации

При разработке структуры организации и процессов для внутренних операций СМИБ следует попытаться создать их и объединить с уже существующими, если это практически применимо. Точно так же объединение СМИБ с более широкими ранее существовавшими системами управления (например, внутренний аудит) следует учитывать в процессе разработки СМИБ.

Структура организации, разрабатываемая для СМИБ, должна отражать действия по внедрению и использованию СМИБ, а также, например, проработку методов мониторинга и записи как часть операции СМИБ.

Соответственно структура операций СМИБ должна разрабатываться на основе планируемого применения СМИБ с учетом следующего:

a) нужна ли каждая роль по внедрению СМИБ для выполнения операций СМИБ?

b) отличаются ли определенные роли от ролей по внедрению СМИБ?

c) какие роли должны быть добавлены для внедрения СМИБ?

Например, можно добавить следующие роли для выполнения операций СМИБ:

a) лицо, ответственное за операции по информационной безопасности в каждом подразделении;

b) лицо, ответственное за измерение СМИБ в каждом подразделении.

Рассмотрение пунктов, указанных в Приложении B «Роли и сферы ответственности в области информационной безопасности», способствует принятию решения по структуре и ролям по выполнению операций СМИБ путем пересмотра структуры и ролей по внедрению СМИБ.

Выходные данные

Выходные данные этого действия представляют собой документ, описывающий структуру организации, роли и сферы ответственности.

Дополнительная информация

Приложение B — Роли и сферы ответственности в области информационной безопасности.

Приложение C — Информация по внутреннему аудиту.

9.2.2 Разработка основы для документирования СМИБ

Действия

Необходимо проконтролировать записи и документы в системе СМИБ путем определения требований и основы, позволяющей выполнить требования по текущему контролю записей и документов в системе СМИБ.

Исходные данные

b) область действия и границ СМИБ;

c) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

d) выходные данные действия 8.4, получение санкции руководства на внедрение и использование СМИБ;

e) выходные данные действия 9.2.1, разработка конечной организационной структуры для информационной безопасности;

f) ISO/IEC 27002:2005.

Рекомендации

Разработка записей СМИБ включает следующие действия:

a) основа, описывающая принципы документирования СМИБ, структура процедур документирования СМИБ, связанные роли, форматы данных и каналы передачи данных для отчетности перед руководством;

b) разработка требований к документации;

c) разработка требований к записям.

Документация по СМИБ должна включать записи решений руководства, обеспечивать возможность отслеживания действий для принятия решений и разработки политики руководством и воспроизводимость записанных результатов.

Документы по СМИБ должны содержать признаки того, что меры и средства контроля и управления выбраны на основе результатов оценки риска и обработки риска и что такие процессы применяются в сочетании с политикой и целями СМИБ.

Документация важна для воспроизводимости результатов и процедур. В том, что касается выбранных средств управления, установка и документирование процедур должны содержать ссылку на лицо, ответственное за фактическую часть документации.

Документация по СМИБ должна включать документацию, указанную в ISO/IEC 27001:2005, ссылка: 4.3.1.

Необходимо осуществлять управление документами по СМИБ и сделать их доступными персоналу при необходимости. Эти действия включают:

a) учреждение административной процедуры управления документами по СМИБ;

b) подтверждение соответствия формата документов перед изданием;

c) обеспечение определения изменений и текущего состояния редакций документов;

d) защита и контроль документов как информационных активов организации.

Важно, чтобы соответствующие версии применяемых документов были доступны в пунктах использования, чтобы документы были удобочитаемыми, легко идентифицируемыми, передавались, хранились или, в конечном счете, отклонялись в соответствии с процедурами, применяемыми к их классификации.

Кроме того, важно обеспечить, чтобы документы из внешних источников легко идентифицировались, чтобы контролировалось распространение документов, предотвращая непредусмотренное использование устаревших документов и применяя к ним соответствующие процедуры отслеживания, если они сохраняются с какой-либо целью.

Записи должны создаваться, сохраняться и контролироваться как свидетельство того, что СМИБ организации соответствует стандарту ISO/IEC 27001:2005 и что операции эффективны.

Также требуется сохранять записи состояния внедрения системы для всей фазы PDCA, а также записи об инцидентах и событиях, связанных с информационной безопасностью, записи об образовании, обучении, навыках, опыте и квалификации, внутреннем аудите СМИБ, корректирующих и предупреждающих действиях и организационные записи.

Для контроля записей необходимо выполнить следующие задачи:

a) документировать меры и средства контроля и управления, требуемые для идентификации, хранения, защиты, поиска и удаления данных, и документировать продолжительность хранения;

b) определить, что и в какой степени должно записываться в процессах управления организацией;

c) если соответствующим законодательством определен какой-либо период хранения, он должен быть установлен в соответствии с этими законными требованиями.

Выходные данные

Выходные данные этого действия следующие:

a) документ, описывающий требования к записям СМИБ и контролю документации;

b) хранилища и шаблоны требуемых записей СМИБ.

Дополнительная информация

Дополнительная специальная информация не требуется.

9.2.3 Разработка политики информационной безопасности

Действия

Необходимо документировать стратегическую позицию руководства и администрации, связанную с целями информационной безопасности в отношении использования СМИБ.

Исходные данные

a) выходные данные действия 5.2, определить приоритеты организации для разработки СМИБ — обобщенные цели и перечень требований;

b) выходные данные действия 5.4, составление описания случая применения СМИБ для данного предприятия и плана проекта для утверждения руководством — первоначальное утверждение руководством проекта СМИБ;

c) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ — область действия и границы СМИБ;

d) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

e) выходные данные действия 7.2, определение требований к информационной безопасности для процесса СМИБ;

f) выходные данные действия 7.3, определение активов в рамках области действия СМИБ;

g) выходные данные действия 7.4, проведение оценки информационной безопасности;

h) выходные данные действия 8.2, проведение оценки риска — результаты оценки риска, выходные данные действия 8.3, выбор целей и средств управления;

i) выходные данные действия 9.2.1, разработка конечной структуры организации для информационной безопасности;

j) выходные данные действия 9.2.2, разработка основы для документирования СМИБ;

k) ISO/IEC 27002:2005, ссылка: 5.1.1.

Рекомендации

Политика информационной безопасности документирует стратегическую позицию организации в отношении информационной безопасности во всей организации.

Политика строится на основе информации и знания. Моменты, признанные руководством важными во время ранее проведенного анализа, должны быть сделаны наглядными, им должно быть уделено особое внимание в политике, чтобы обеспечить стимуляцию и мотивацию в организации. Также важно отметить, что происходит, если не следовать выбранной политике, и подчеркнуть влияния законов и регулирующих положений на рассматриваемую организацию.

Примеры политики информационной безопасности можно взять из справочной литературы, сети Интернет, в сообществах по интересам и отраслевых объединениях. Формулировки и подсказки можно найти в годовых отчетах, других документах по политике или документах, сохраняемых руководством.

Относительно фактического объема документации по политике могут существовать различные интерпретации и требования. Эта документация должна быть в достаточной степени суммирована, чтобы работники организации понимали значение политики. Кроме того, она должна достаточно четко показывать, каких целей необходимо достичь, чтобы установить набор правил и целей организации.

Объем и структура политики информационной безопасности должны подкреплять документы, которые используются на следующем этапе процесса, для введения системы управления информационной безопасностью (см. также приложение D — Структура политики).

Для больших организаций со сложной структурой (например, с широким спектром различных областей деятельности) может возникнуть необходимость создания общей политики и множества политик более низкого уровня, адаптированных к конкретным областям деятельности.

Рекомендации по содержанию документов по политике информационной безопасности представлены в стандарте ISO/IEC 27002:2005, пункт 5.1.1.

Предлагаемая политика (с номером версии и датой) должна быть подвергнута перекрестной проверке и учреждена в организации оперативным руководителем. После учреждения в группе управления или аналогичном органе оперативный руководитель утверждает политику информационной безопасности. Затем она доводится до сведения каждого работника организации надлежащим способом, чтобы стать доступной и понятной для читателей.

Выходные данные

Выходными данными этого действия является документ по политике информационной безопасности.

Дополнительная информация

Приложение B — Роли и сфера ответственности.

Приложение D — Структура политики.

9.2.4 Разработка стандартов и процедур обеспечения информационной безопасности

Действия

Необходимо разработать стандарты и процедуры обеспечения информационной безопасности, касающиеся всей организации или ее отдельных частей.

Исходные данные

a) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ — область действия и границы СМИБ;

b) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

c) выходные данные действия 8.2, проведение оценки риска;

d) выходные данные действия 8.3, выбор целей и средств управления;

e) выходные данные действия 8.4, получение санкции руководства на внедрение и использование СМИБ — декларация о применимости, включая цели и выбранные меры и средства контроля и управления;

f) выходные данные действия 9.2.1, разработка конечной структуры организации для информационной безопасности;

g) выходные данные действия 9.2.2, разработка основы для документирования СМИБ;

h) выходные данные действия 9.2.3, разработка политики информационной безопасности;

i) ISO/IEC 27002:2005.

Рекомендации

Чтобы обеспечить основу для работы в области информационной безопасности в организации, стандарты по информационной безопасности, а также набор применяемых законных и обязательных требований должны быть доступны всем, кому нужно их знать.

В процессе разработки стандартов и процедур должны участвовать представители разных частей организации, попадающих в область действия СМИБ. Участники процесса должны иметь полномочия и являться представителями организации. Например, могут быть включены следующие роли:

a) менеджеры по информационной безопасности;

b) представители по вопросам безопасности физических объектов;

c) владельцы информационных систем;

d) владельцы процессов в стратегических и оперативных подразделениях.

Рекомендуется, чтобы редакторская группа была как можно меньше по численности с возможностью назначения специалистов в группу на временной основе по мере необходимости. Каждый представитель должен активно поддерживать связь со своим подразделением в организации для обеспечения непрерывной оперативной поддержки. Впоследствии это должно способствовать дальнейшему совершенствованию в виде процедур и действий на оперативном уровне.

Стандарты и процедуры по информационной безопасности должны впоследствии использоваться в качестве основы для разработки подробных технических и оперативных процедур.

Действенным способом разработки стандартов и процедур по информационной безопасности является учет каждого пункта руководства по внедрению системы менеджмента информационной безопасности в стандартах ISO/IEC 27001:2005 и ISO/IEC 27002:2005, который считается применимым (на основе результатов оценки риска), и точное описание того, как он должен применяться.

Оценка любых существующих стандартов и процедур по информационной безопасности должна рассматриваться. Например, могут ли они усовершенствоваться и развиваться, нет ли необходимости в их полной замене?

Уместная и актуальная документация должна предоставляться каждому сотруднику организации, попадающему в область действия системы. Стандарты и процедуры по информационной безопасности должны применяться ко всей организации или точно указывать, какие роли, системы и подразделения попадают под их действие. Первая версия должна быть выпущена своевременно.

Процесс редактирования и проверки должен быть определен на ранней стадии. Необходимо составить стратегию, касающуюся того, как должна распространяться информация об изменениях политики.

Выходные данные

a) выходные данные этого действия представляют собой структурированный подробный план внедрения средств управления, относящихся к информационной безопасности как часть конечного плана проекта СМИБ, включая документированную основу набора стандартов по информационной безопасности;

b) стандарты по информационной безопасности, включая исходные данные организации;

c) процедуры обеспечения информационной безопасности для получения стандартов по информационной безопасности.

Дополнительная информация

Приложение D — Структура политики.

9.3 Разработка информационной безопасности ИКТ и физических объектов

Действия

Необходимо разработать меры и средства контроля и управления средой безопасности ИКТ и физических объектов.

Исходные данные

b) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

c) выходные данные действия 7.2, определение требований к информационной безопасности для процесса СМИБ;

d) выходные данные действия 7.3, определение активов в рамках области действия СМИБ;

e) выходные данные действия 7.4, проведение оценки информационной безопасности;

f) выходные данные действия 8.3, выбор целей и средств управления;

g) выходные данные действия 8.4, получение санкции руководства на внедрение и использование СМИБ — декларация о применимости, включая цели, выбранные меры, средства контроля и управления;

h) ISO/IEC 27002:2005.

Рекомендации

В этом действии, которое должно стать частью плана проекта СМИБ, необходимо документировать следующую информацию для каждых мер и средств контроля и управления:

a) имя лица, ответственного за внедрение мер и средств контроля и управления;

b) приоритет внедряемых мер и средств контроля и управления;

c) задачи или действия по внедрению;

d) установление времени, в течение которого должно быть внедрено средство управления;

e) лицо, перед которым нужно отчитываться о внедрении мер и средств контроля и управления по его завершению;

f) ресурсы для внедрения (рабочая сила, требуемое пространство, затраты);

Первоначально безопасность ИКТ и физических объектов должна быть разработана на концептуальном уровне. Необходимо учитывать, что сферы ответственности за процесс первоначального внедрения обычно включают:

a) задание целей управления с описанием предполагаемого планируемого состояния;

b) распределение ресурсов (объем работ, финансовые ресурсы);

c) реальное заданное время внедрения мер и средств контроля и управления;

d) варианты объединения с системами безопасности ИКТ, физических объектов и организации.

После разработки концепции необходимо фактически разработать, например, систему, чтобы получить и внедрить лучшие практические методы для организации. Необходимо учитывать следующее:

Сферы ответственности за процесс фактического внедрения включают:

a) разработку каждого из средств управления для области безопасности ИКТ, физических объектов и организации на оперативном уровне рабочего места;

b) конкретизацию каждой меры и каждого средства контроля и управления в соответствии с согласованным проектом;

c) предоставление процедур и информации для органов управления и учебных курсов, способствующих информированию в сфере безопасности;

d) оказание помощи и внедрение средств управления на рабочем месте.

В зависимости от средств управления (ИКТ, физические объекты или организация) проведение отчетливой границы между начальной и конечной частями процесса внедрения не всегда является уместным или необходимым.

Для внедрения средств управления часто требуется взаимодействие между сотрудниками, занимающими различные должности в организации. Таким образом, например, лица, ответственные за системы, могут быть задействованы для приобретения, установки и обслуживания технического оборудования. Других сотрудников целесообразно привлечь для разработки и документирования процедур, контролирующих использование систем.

Информационная безопасность должна быть объединена в процедуры и процессы, применяемые во всей организации. Если для части организации или третьей стороны окажется трудным внедрение этих процедур и процессов, соответствующие стороны должны сообщить об этом немедленно, чтобы согласовать решение проблемы. Решение по подобным вопросам включает изменение процедур или процессов, перераспределение должностей и сфер ответственности и адаптацию технических процедур.

Результаты внедрения средств управления СМИБ должны быть следующими:

a) план внедрения, в котором подробно описывается внедрение средств управления, например, график, структура группы по внедрению и т.д.;

b) записи и документация по результатам внедрения.

Выходные данные

Выходные данные этого процесса представляют собой структурированный подробный план внедрения средств управления, связанных с безопасностью ИКТ и физических объектов, как часть плана проекта СМИБ для каждой меры и средства контроля и управления:

a) подробное описание;

b) сферы ответственности за разработку и внедрение;

c) предполагаемые временные шкалы;

d) связанные задачи;

e) требуемые ресурсы;

f) собственность (линии отчетности).

Дополнительная информация

Дополнительная специальная информация не требуется.

9.4 Создание условий для обеспечения надежного функционирования СМИБ

9.4.1 План проверок, проводимых руководством

Действия

Необходимо разработать план, обеспечивающий участие руководства и выдачу поручений на проверку работы СМИБ и проводимых усовершенствований.

Исходные данные

b) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

c) выходные данные действия 8.4, получение санкции руководства на внедрение и использование СМИБ — декларация о применимости, включая цели, выбранные меры, средства контроля и управления;

d) выходные данные действия 9.2.3, разработка политики информационной безопасности;

e) ISO/IEC 27004:2009.

Рекомендации

Проверка руководством действия по внедрению СМИБ должна начинаться на самых ранних стадиях задания условий для СМИБ и составления описания случая применения СМИБ для данного предприятия и продолжаться вплоть до регулярных проверок операций СМИБ. Это непосредственное участие является средством подтверждения соответствия СМИБ потребностям предприятия и поддержания связи предприятия с системой СМИБ.

Планирование проверок, проводимых руководством, включает установление времени и способа проведения проверок. Подробная информация, касающаяся предварительных условий для проверок, проводимых руководством, содержится в подпункте 7.2 стандарта ISO/IEC 27001:2005.

Чтобы запланировать проверку, необходимо определить, какие должностные лица должны в ней участвовать. Назначенные должностные лица должны быть утверждены руководством и проинформированы об этом как можно раньше. Рекомендуется предоставлять руководству соответствующие данные, касающиеся необходимости и цели проведения процесса проверки (более подробную информацию о ролях и сферах ответственности см. в Приложении В).

Проверки, проводимые руководством, должны основываться на результатах измерений СМИБ и другой информации, накопленной за время использования СМИБ. Эта информация используется для выполнения действий руководством СМИБ для определения готовности и эффективности СМИБ. Требуемые исходные и выходные данные для измерений СМИБ приведены в ISO/IEC 27001:2005, а дополнительная информация по измерениям СМИБ — в Приложении E и ISO/IEC 27004:2009.

Также следует отметить, что эти проверки должны включать проверки методологии и результатов оценки риска. Проверки должны проводиться с запланированным интервалом с учетом изменения среды, например, организации и технологии.

Планирование внутреннего аудита СМИБ должно выполняться для того, чтобы иметь возможность регулярно оценивать систему СМИБ по мере ее внедрения. Результаты внутреннего аудита СМИБ являются важными исходными данными для проверок СМИБ, проводимых руководством. Следовательно, до проведения проверки руководством необходимо запланировать внутренний аудит. Внутренний аудит СМИБ должен включать проверку того, эффективно ли внедряются и сохраняются цели, меры и средства контроля и управления, процессы и процедуры СМИБ и соответствуют ли они:

a) требованиям ISO/IEC 27001:2005;

b) действующему законодательству и правилам;

c) определенным требованиям к информационной безопасности.

(Дополнительную информацию по планированию аудита см. в Приложении C).

Предварительным условием для проведения проверок руководством является информация, собранная на основе внедренной и используемой СМИБ. Информация, предоставляемая группе руководителей, проводящих проверку, может включать следующее:

a) отчеты об инцидентах за последний период использования системы;

b) подтверждение эффективности управления и обнаруженные несоответствия;

c) результаты других регулярных проверок (более подробные, если во время проверки были обнаружены несоответствия с политикой информационной безопасности);

d) рекомендации по усовершенствованию СМИБ.

В плане мониторинга должны документироваться его результаты, которые должны записываться и сообщаться руководству (дополнительную информацию по мониторингу см. в Приложении E).

Выходные данные

Выходные данные этого действия представляют собой документ, содержащий план, необходимый для организации проверок, проводимых руководством:

a) исходные данные, требуемые для проверки СМИБ руководством;

b) процедуры проверок, проводимых руководством и касающихся аспектов аудита, мониторинга и измерения.

Дополнительная информация

Приложение B — Роли и сферы ответственности в области информационной безопасности.

Приложение C — Информация по внутреннему аудиту.

Приложение E — Мониторинг и измерения.

9.4.2 Разработка программы информирования, обучения и образования в области информационной безопасности

Действия

Необходимо разработать программу информирования, обучения и образования в области информационной безопасности.

Исходные данные

b) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

c) выходные данные действия 7.2, определение требований к информационной безопасности для процесса СМИБ;

d) выходные данные действия 8.4, получение санкции руководства на внедрение и использование СМИБ — декларация о применимости, включая цели и выбранные меры и средства контроля и управления;

e) выходные данные действия 8.3, выбор целей и средств управления — План обработки риска;

f) выходные данные действия 9.2.3, разработка политики информационной безопасности;

g) выходные данные действия 9.2.4, разработка стандартов и процедур обеспечения информационной безопасности;

h) обзор общей программы образования и обучения в организации.

Рекомендации

Руководство отвечает за образование и обучение, чтобы сотрудники, назначенные на определенные должности, имели необходимые знания для выполнения требуемых операций. В идеале содержание программы образования и обучения должно помогать всем сотрудникам знать и понимать значение и важность операций по обеспечению информационной безопасности, в которых они участвуют, и то, как они могут способствовать достижению целей.

На этом этапе важно обеспечить, чтобы каждый работник в рамках области действия СМИБ получил необходимое обучение и (или) образование. В больших организациях одного набора материалов по обучению, как правило, недостаточно, поскольку он должен содержать слишком много данных, относящихся только к отдельным типам работ, и, следовательно, будет большим, сложным и трудным в использовании. В таких случаях обычно рекомендуется иметь разные наборы материалов по обучению, разработанных для разных групп ролей, например, офисных работников, обслуживающих работников или руководителей в области информационных технологий, которые обеспечивают конкретные нужды этих работников.

Программа обучения и образования с целью информирования по вопросам информационной безопасности должна обеспечивать составление записей по обучению и образованию в области информационной безопасности. Эти записи должны регулярно проверяться для обеспечения получения требуемою обучения всеми сотрудниками. Необходимо назначить должностное лицо, ответственное за этот процесс.

Материалы по обучению в области информационной безопасности должны быть разработаны таким образом, чтобы они были связаны с другими обучающими материалами, используемыми в организации, особенно учебные курсы для пользователей информационных систем. Обучение по существенным аспектам информационной безопасности в идеале должно включаться в каждый учебный курс для пользователей информационных технологий.

Обучающие материалы по информационной безопасности должны включать как минимум следующие пункты в зависимости от целевой аудитории:

a) риски и угрозы, связанные с информационной безопасностью;

b) основные термины по информационной безопасности;

c) четкое определение инцидента безопасности: рекомендации по обнаружению инцидента, его устранению и отчетности;

d) политики информационной безопасности, стандарты и процедуры организации;

e) сферы ответственности и каналы отчетности, связанные с информационной безопасностью в организации;

f) рекомендации по оказанию помощи в повышении информационной безопасности;

g) рекомендации, связанные с нарушениями информационной безопасности и отчетностью;

h) где получить дополнительную информацию.

Необходимо определить группу по обучению информационной безопасности, которая может выполнять следующие задачи:

a) создание и управление записями по информационной безопасности;

b) составление и управления материалами по обучению;

c) проведение обучения.

Эти задачи могут ставиться с учетом использования существующего обучающего персонала. Но для существующего персонала может потребоваться обучение концепциям информационной безопасности, чтобы обеспечить их эффективное и точное представление.

Программа информирования, образования и обучения в области информационной безопасности должна включать процедуру, обеспечивающую регулярную проверку и обновление обучающих материалов. Для проверки и обновления обучающих материалов можно назначить специальное должностное лицо.

Выходные данные

Выходные данные этого действия следующие:

a) материалы по информированию, обучению и образованию в области информационной безопасности;

b) формирование программ информирования, образования и обучения в области информационной безопасности, включая роли и сферы ответственности;

c) планы информирования, образования и обучения в области информационной безопасности;

d) актуальные записи, показывающие результаты информирования, образования и обучения работников в области информационной безопасности.

Дополнительная информация

Дополнительная специальная информация не требуется.

9.5 Составление окончательного плана проекта СМИБ

Действия

Необходимо составить конечный план проекта СМИБ, включая действия, необходимые для внедрения выбранных средств управления.

Исходные данные

b) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руководства — политика СМИБ;

c) выходные данные действия 9.2 — разработка информационной безопасности организации;

d) выходные данные действия 9.3 — разработка информационной безопасности ИКТ и физических объектов;

e) выходные данные действия 9.4 — разработка информационной безопасности, связанной с системой СМИБ;

f) ISO/IEC 27002:2005.

Рекомендации

Действия, требуемые для внедрения выбранных средств управления и выполнения других действий, связанных с системой СМИБ, должны быть оформлены в виде подробного плана внедрения как части конечного проекта СМИБ. Подробный план внедрения системы также может подкрепляться описаниями предложенных инструментов и методов внедрения. Поскольку проект СМИБ включает множество различных ролей в организации, важно, чтобы действия были четко определены для ответственных сторон и план был распространен на ранних стадиях проекта во всей организации.

В отношении других проектов необходимо, чтобы лицо, ответственное за проект, обеспечило выделение достаточных ресурсов для проекта.

Выходные данные

Выходные данные этого действия представляют собой конечный план проекта внедрения СМИБ.

Дополнительная информация

Дополнительная специальная информация не требуется.

Приложение A
(справочное)

Описание контрольного перечня

Цель:

— представить контрольную таблицу с описанием действий, требуемых для учреждения и внедрения СМИБ;

— способствовать мониторингу процесса выполнения работ по внедрению СМИБ;

— связать определенные действия по внедрению СМИБ с соответствующими требованиями ISO/IEC 27001.

Таблица A.1


Фаза внедрения ISO/IEC 27003	Номер этапа	Действия, ссылка на ISO/IEC 27003	Предвари- тельные условия для данного этапа	Документированные выходные данные	Ссылка на ISO/IEC 27001
5 Получение одобрения руководства для внедрения СМИБ	1	Собрать корпоративные цели предприятия	Нет	Список корпоративных целей предприятия	Не применяется
	2	Приобретение знаний о существующих системах управления	Нет	Описание существующих систем управления	Не применяется
	3	5.2 Определить цели, потребности информационной безопасности и требования предприятия к СМИБ	1, 2	Описание целей, потребностей информационной безопасности и требований предприятия к СМИБ	Не применяется
	4	Собрать соответствующие регулятивные стандарты, стандарты соответствия и отраслевые стандарты, применяемые к корпорации	Нет	Описание регулятивных стандартов, стандартов соответствия и отраслевых стандартов, применяемых к корпорации	Не применяется
	5	5.3 Определить предварительную область действия СМИБ	3, 4	Описание предварительной области действия СМИБ (5.3.1)	Не применяется
				Определение ролей и сфер ответственности в области СМИБ (5.3.2)
	6	5.4 Составить описание случая применения СМИБ для данного предприятия и план проекта для утверждения руководством	5	Описание случая применения СМИБ для данного предприятия и план проекта	Не применяется
	7	5.5 Получить одобрение руководства и поручение на запуск проекта внедрения СМИБ	6	Одобрение руководством запуска проекта внедрения СМИБ	Не применяется
6 Определение области действия и политики СМИБ	8	6.2 Определить границы организации	7	Описание границ организации; Функции и структура организации; Обмен информацией через границы; Производственные процессы и сферы ответственности за информационные активы в области действия СМИБ и за ее пределами	4.2.1, a) (частично)
	9	6.3 Определение границ технологии передачи информации	7	Описание границ ИКТ Описание информационных систем и телекоммуникационных сетей, описывающее системы и сети внутри области действия СМИБ и за ее пределами	4.2.1, а) (частично)
	10	6.4 Определение физических границ	7	Описание физических границ СМИБ Описание организации и ее географических характеристик, описывающее внутреннюю и внешнюю области действия	4.2.1, a) (частично)
	11	6.5 Окончательно определить границы области действия СМИБ	8, 9, 10	Документ, описывающий область действия и границы СМИБ	4.2.1, a)
	12	6.6 Разработка политики СМИБ	11	Утвержденная руководством политика СМИБ	4.2.1, b)
7 Проведение анализа организации	13	7.2 Определение требований к информационной безопасности, подкрепляющих СМИБ	12	Список основных процессов, функций, объектов, информационных систем, коммуникационных сетей	Не применяется
				Требования организации, касающиеся конфиденциальности, доступности и целостности	Не применяется
				Требования организации, касающиеся законных, обязательных, контрактных и отраслевых требований к информационной безопасности	4.2.1, c) 1) (частично)
				Перечень известных уязвимостей в организации	4.2.1, d) 3)
	14	7.3 Определение активов в рамках области действия СМИБ	13	Описание основных процессов в организации	Не применяется
				Определение информационных активов основных процессов в организации	4.2.1, d) 1)
				Классификация важнейших процессов (активов)	Не применяется
	15	7.4 Запуск оценки информационной безопасности	14	Документ по фактическому состоянию и оценке информационной безопасности в организации, включая существующие меры и средства контроля и управления информационной безопасностью	4.2.1, е) 2) (частично)
8 Проведение оценки риска и выбор вариантов обработки риска	16	8.2 Проведение риска	15	Область действия для оценки риска Утвержденная методология оценки риска, совмещенная с контекстом стратегического менеджмента риска в организации Критерии принятия риска	4.2.1, с) 1)
	17	8.3 Выбор целей и средств управления	16	Документированная оценка риска высокого уровня	4.2.1, е) 3) (частично)
				Определение необходимости дополнительной глубокой оценки риска	Не применяется
				Документированная глубокая оценка риска	4.2.1, e) 3) (частично)
				Сгруппированные результаты оценки риска	Не применяется
	18	8.4 Получить одобрение руководства для внедрения СМИБ	17	Риски и определенные для них варианты оценки риска	4.2.1, f)
				Выбранные цели, меры и средства контроля и управления для снижения риска	4.2.1, g)
	19	Утверждение руководством остаточных рисков	18	Документированное утверждение руководством предложенных остаточных рисков (должно входить в число выходных данных действия 8.4)	4.2.1, h)
	20	Санкция руководства на внедрение и использование СМИБ	19	Документированная санкция руководства на внедрение и использование СМИБ (должно входить в число выходных данных действия 8.4)	4.2.1, i)
	21	Подготовка декларации о применимости	18	Декларация о применимости	4.2.1, j)
9 Разработка СМИБ	22	9.2 Разработка безопасности организации	20	Структура организации, связанная с ролями и сферами ответственности, связанными с информационной безопасностью	5.1, c)
				Определение документации, связанной со СМИБ. Шаблоны записей по СМИБ и инструкции по их использованию и хранению	4.3
				Документ по политике информационной безопасности	ISO/IEC 27002; 5.1.1
				Основа политики и процедур обеспечения информационной безопасности (и планы разработки конкретных политики, процедур и т.д., если таковые применяются)
	23	9.3 Разработка информационной безопасности ИКТ и физических объектов	20, 21	Планы проектов внедрения для процессов внедрения выбранных средств управления безопасностью, связанных с информационной безопасностью ИКТ и физических объектов	4.2.2, c) частично
	24	9.4 Разработка информационной безопасности, связанной со СМИБ	22, 23	Процедуры, описывающие процессы отчетности и проверки, проводимой руководством	7.1
	25			Описания аудита, мониторинга и измерения	4.2.3, a) частично; 4.2.3, d) частично; 6
	26			Программа обучения и информирования	5.2.2
	27	9.5 Составление конечного плана проекта СМИБ	25	План проекта внедрение для процессов внедрения*, утвержденный руководством	Не применяется
	___________________ * Текст документа соответствует оригиналу. — .
	28	Окончательный план проекта СМИБ	28	План проекта внедрения СМИБ организацией, охватывающий запланированное выполнение действий по информационной ее безопасности, ИКТ и физических объектов, а также связанные с системой СМИБ требования по ее внедрению в соответствии с результатами действий, описываемых в ISO/IEC 27003	Не применяется

Приложение B
(справочное)

Роли и сферы ответственности в области информационной безопасности

Данное приложение содержит дополнительные рекомендации по ролям и сферам ответственности в организации, связанным с информационной безопасностью. Роли сначала указаны с точки зрения организации для внедрения СМИБ. В таблице B.1 изложена эта информация и представлены общие примеры ролей и сфер ответственности.

Таблица B.1 — Перечень примерных ролей и сфер ответственности, связанных с информационной безопасностью


Роль	Краткое описание сферы ответственности
Высшее руководство (например, главный управляющий, исполнительный директор, директор по безопасности и финансовый директор)	Отвечает за видение СМИБ, стратегические решения и координирует действия по управлению и контролю организации
Линейные руководители	Несут высшую ответственность за функции организации
Директор по информационной безопасности	Несет полную ответственность и осуществляет руководство информационной безопасностью, обеспечивая правильное управление информационными активами
Комитет по информационной безопасности (члены)	Осуществляют управление информационными активами и играют ведущую роль в работе СМИБ в организации
Группа по планированию информационной безопасности (члены)	Работает во время операций, пока учреждается СМИБ. Группа по планированию работает со всеми подразделениями и разрешает противоречия, пока учреждается СМИБ
Заинтересованная сторона	В контексте описаний других ролей, связанных с информационной безопасностью, в данном документе заинтересованные стороны определяются, главным образом, как лица организации, не связанные с обычной работой организации — например, совет, собственники (организации-собственники, если организация является частью группы или правительственной организации и (или) непосредственные собственники, например, акционеры в частной организации). Другими примерами заинтересованных сторон могут служить дочерние компании, клиенты, поставщики или более публичные организации, такие как правительственные органы финансового контроля или соответствующие фондовые биржи, если указана организация
Системный администратор	Системный администратор отвечает за систему информационных технологий
Управляющие по информационным технологиям	Управляющий всеми информационными ресурсами (например, начальник отдела информационных технологий)
Безопасность физических объектов	Лицо, ответственное за безопасность физических объектов, например, зданий и т.д., часто называемый руководителем объекта
Управление рисками	Лицо (лица), ответственные за структуру управления рисками в организации, включая оценку, обработку и мониторинг риска
Юрисконсульт	Многие риски для информационной безопасности имеют юридические аспекты, и юрисконсульт отвечает за их учет
Кадры	Лицо (лица), несущее(ие) полную ответственность за эти разработки
Архив	Все организации имеют архивы, содержащие важную информацию, которую необходимо хранить в течение длительного времени. Информация может находиться на разных типах носителей, и необходим специальный сотрудник, отвечающий за ее хранение
Персональные данные	Если того требуют государственные законы, может быть назначен сотрудник, отвечающий за связь с органом контроля данных или аналогичной официальной организацией, осуществляющей контроль защиты персональных данных и прав собственности
Разработчик систем	Если организация разрабатывает собственные информационные системы, кто-то должен отвечать за эти разработки
Специалист/ эксперт	Специалисты и эксперты, отвечающие за некоторые операции в организации, должны привлекаться к работам по СМИБ по мере возникновения проблем, относящихся к их компетенции
Внешний консультант	Внешние консультанты могут предоставлять консультации на основе их макроскопического видения организации и опыта работы в данной отрасли. Однако консультанты могут не располагать глубокими знаниями организации и ее работы
Работник/персонал/пользователь	Каждый работник несет равную ответственность за поддержание информационной безопасности на рабочем месте и в своем окружении
Аудитор	Аудитор отвечает за оценку СМИБ
Инструктор	Инструктор реализует программы обучения и информирования
Ответственный за информационные технологии или информационную безопасность на месте	В крупных организациях часто назначаются сотрудники на местах, ответственные за вопросы информационных технологий на месте, и, возможно, также за информационную безопасность
Независимый эксперт	Это по существу не ответственное лицо, но в крупных организациях может быть очень полезным на стадии внедрения системы. Желательно иметь людей, обладающих глубокими знаниями в области внедрения СМИБ, которые могут поддерживать понимание и доводы в пользу применения СМИБ. Они могут положительно влиять на мнение участников работ по внедрению СМИБ и часто называются «посредниками»

1. Роль комитета по информационной безопасности

Комитет по информационной безопасности должен играть ведущую роль в СМИБ в организации. Комитет по информационной безопасности должен отвечать за управление информационными активами организации и обладать достаточным пониманием информационной безопасности в отношении управления, мониторинга и выполнения необходимых задач.

Далее приведены примеры возможных ролей комитета по информационной безопасности:

a) управление рисками, составление плана работы с документами по СМИБ, ответственность за определение содержания этих документов и получение одобрения руководства;

b) планирование приобретения нового оборудования и (или) принятие решений о повторном использовании существующего оборудования, которым уже располагает организация;

c) решение любых проблем при их возникновении;

d) рассмотрение усовершенствований, которые могут быть достигнуты в результате дальнейшего внедрения и измерения СМИБ;

e) стратегическое управление СМИБ (при выполнении проекта внедрения и использовании системы);

f) обеспечение связи между высшим руководством, группой по внедрению проекта и работниками, занятыми в сфере информационной безопасности.

2. Роли группы по планированию информационной безопасности

Проектная группа, ответственная за СМИБ при планировании проекта, должна получать поддержку от членов, хорошо понимающих важные информационные активы в рамках области действия СМИБ и обладающих достаточными знаниями, чтобы обсуждать, как распорядиться этой информацией. Например, при определении того, как распорядиться информационными активами, могут иметь место разные мнения среди подразделений, находящихся в области действия СМИБ, поэтому может возникнуть необходимость согласовать положительные и отрицательные последствия выполнения плана. Проектная группа должна координировать противоречия, возникающие между разными подразделениями. Для этого членам группы потребуются навыки общения, накопленные по опыту работы, и возможности координации, а также высокий уровень знаний в области безопасности.

3. Специалисты и внешние консультанты

Организации необходимо выбрать сотрудников для выполнения вышеуказанных задач (желательно сотрудников с одной исключительной ролью), прежде чем учредить СМИБ. Однако этим сотрудникам потребуются обширные знания и опыт в области информационной безопасности, например «ИТ», «управленческих решений» и «понимания организации». Лица, ответственные за выполнение данных операций в организации, могут лучше знать свои специфические сферы деятельности. Многие специалисты, являющиеся экспертами в отдельных областях в своей организации, должны привлекаться к работе над СМИБ, если она имеет отношение к использованию системы в их областях деятельности. Также важен баланс их профессиональных и обширных знаний, необходимых для того, чтобы достичь целей организации. Внешние консультанты могут давать рекомендации на основе своих макроскопических точек зрения на организацию и опыта действий в подобных случаях, даже несмотря на то, что они не обязательно обладают глубокими знаниями специфики организации и знают подробности ее работы. Термины, используемые в вышеприведенных примерах, например, «комитет по информационной безопасности» и «группа по планированию информационной безопасности» не так важны. Необходимо понимать только функцию каждой структуры.

В идеальном варианте это должны быть внутренние структуры, координирующие информационную безопасность организации, поддерживающие связь и работающие в тесном сотрудничестве с каждым техническим отделом.

4. Владельцы информационных активов

Необходимо назначить сотрудника для каждого процесса в организации и области применения специальных знаний; этот сотрудник действует в качестве так называемого «владельца информационного актива» по всем вопросам информационной безопасности, связанным с обработкой данных в рамках конкретного процесса в организации. Контактное лицо или владелец процесса отвечает, например, за постановку задач и обработку информации в рамках процессов в организации, для которых они назначены.

В случае распределения риска, предотвращения риска и удержания риска должны быть приняты необходимые действия с точки зрения безопасности организации. Если было принято решение о переносе рисков, необходимо предпринять соответствующие действия с использованием контрактов, гарантий и структуры организации, например партнерства или совместных предприятий.

На рисунке В.1 показан пример структуры организации для учреждения СМИБ. Основные роли и сферы ответственности в организации, приведенные ниже, основаны на этом примере.

Рисунок В.1 — Пример структуры организации для учреждения СМИБ

Взаимодействие в рамках организации

Все вовлеченные стороны должны изучить и очень хорошо знать существующие требования по защите активов организации. Участвовать в анализе организации должны сотрудники, обладающие хорошим знанием организации и среды, в которой она функционирует. Эти сотрудники должны быть выбраны таким образом, чтобы представлять широкий круг работников организации и должны включать:

a) высшее руководство (например, главный управляющий и финансовый директор);

b) членов комитета по информационной безопасности;

c) членов группы по планированию информационной безопасности;

d) линейных руководителей (например, руководителей подразделений организации);

e) владельцев процессов (т.е. представителей важных оперативных подразделений);

f) специалистов и внешних консультантов.

Примеры общих ролей и сфер ответственности, связанных с информационной безопасностью

Информационная безопасность является обширной областью, влияющей на всю организацию. По существу четко определенные сферы ответственности в области информационной безопасности являются важными для успешного внедрения СМИБ. Поскольку роли и сферы ответственности, связанные с информационной безопасностью, могут различаться, понимание различных ролей является крайне важным для понимания некоторых действий, описываемых далее в данном международном стандарте. В таблице ниже изложены роли и сферы ответственности, связанные с безопасностью. Следует отметить, что эти роли являются общими, и для каждого отдельного случая внедрения СМИБ требуются конкретные описания.

Приложение C
(справочное)

Информация по внутреннему аудиту

В данном приложении содержатся дополнительные рекомендации по планированию аудита.

Внедрение СМИБ должно оцениваться с постоянным интервалом путем внутреннего и независимого аудита. Аудит также служит для упорядочения и оценки опыта, накапливаемого в ходе повседневной практики. Для внедрения СМИБ необходимо планировать формы аудита.

При аудите СМИБ результаты аудита должны определяться на основе конкретных признаков. Следовательно, необходимо назначать подходящие периоды времени для выполнения операций, связанных со СМИБ, для сбора необходимых доказательств.

Внутренний аудит СМИБ должен внедряться и осуществляться регулярно для оценки того, соответствуют ли цели и меры и средства контроля и управления, процессы и процедуры СМИБ требованиям ISO/IEC 27001 и соответствующим законам или нормам, соответствуют ли они определенным требованиям к информационной безопасности, и эффективно ли они внедряются и поддерживаются.

Однако выбор аудиторов для внутреннего аудита СМИБ может оказаться сложным для небольших компаний. Если у организации недостаточно ресурсов для проведения таких видов аудита, выполняемых опытными сотрудниками организации, следует привлекать для выполнения аудита внешних экспертов. Когда организация привлекает внешних аудиторов, следует принять во внимание следующее: внешние аудиторы хорошо знакомы с процедурой внутреннего аудита СМИБ, однако не обладают достаточными знаниями об организационной среде организации. Эта информация должна быть им предоставлена сотрудниками организации. С другой стороны, внутренние аудиторы могут иметь возможность проводить подробный аудит, принимая по внимание организационную среду организации, но могут не обладать достаточными знаниями о выполнении аудита СМИБ. Организации должны учитывать характеристики и потенциальные недостатки внутреннего аудита по сравнению с внешним при проведении внутреннего аудита СМИБ.

Эффективность и результативность применяемых средств управления (см. ISO/IEC 27004:2009) следует проверять в рамках внутреннего аудита.

Важно отметить, что аудит не проводится сотрудниками, которые были заняты в планировании и разработке целей безопасности, поскольку сложно найти свои собственные ошибки. Следовательно, в качестве аудиторов руководство должно привлекать подразделения организации или сотрудников, находящихся вне области действия внутреннего аудита СМИБ. Эти аудиторы должны планировать и проводить внутренний аудит СМИБ и составлять отчеты для получения дальнейших распоряжений руководства. В зависимости от размера организации может быть полезным отзыв внешних аудиторов, чтобы избежать ситуации, в которой сотрудники ограничены в своей работе.

При проведении внутреннего аудита СМИБ следует проверить, чтобы система эффективно работала, поддерживалась и оправдывала все ожидания. При планировании программы аудита аудиторы должны учитывать состояние и важность целей руководства, средств управления, процессов и процедур, подлежащих аудиту, а также результаты предыдущего аудита.

При проведении аудита необходимо документировать критерии, применяемую область действия, частоту проведения и метод аудита.

При выборе аудиторов необходимо обеспечить объективность и честность процесса аудита. При проведении серии процессов аудита аудиторы должны быть компетентны в следующих областях:

a) планирование и проведение аудита;

b) отчетность по результатам;

c) предложение корректирующих и предупреждающих действий и т.д.

Кроме того, организация должна определить сферы ответственности аудиторов и серию процессов аудита в процедурной документации.

Руководитель, отвечающий за процесс подвергаемый аудиту, должен обеспечить, чтобы несоответствия и их причины должным образом устранялись без задержки. Однако это не означает, что несоответствие обязательно нужно устранить немедленно. Кроме того, выполняемые корректирующие действия должны включать проверку выполняемого действия и отчет по результатам проверки.

С точки зрения управления внутренний аудит СМИБ может проводиться эффективно, как часть других видов внутреннего аудита организации или в сочетании с ними. При проведении аудита следует обращаться к документу «Требования к организациям, проводящим аудит и сертификацию СМИБ ISO/IEC 27006:2007».

Приложение D
(справочное)

Структура политики

В данном приложении содержатся дополнительные рекомендации по структуре политики, включая политику информационной безопасности.

Политика — это общие намерения и указания, официально выраженные руководством (см. FCD 27000 и ISO/IEC 27002). Содержание политики управляет действиями и решениями, касающимися предмета политики. Организация может иметь несколько политик, по одной для каждой сферы деятельности, важной для организации. Некоторые политики независимы одна от другой, в то время как другие политики находятся в иерархическом соотношении. В области безопасности политики, как правило, иерархически организованы. Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику информационной безопасности и политику системы менеджмента информационной безопасности. В свою очередь, политика информационной безопасности может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам информационной безопасности. Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика информационной безопасности подкрепляется политиками, касающимися контроля доступа, политики «чистого стола» и «чистого экрана», использования сетевых служб и криптографического контроля. В некоторых случаях возможно включение дополнительных уровней политики. Эта классификация показана на рисунке D1.

Рисунок D.1 — Иерархия политики

Согласно стандарту ISO/IЕС 27001 требуется, чтобы организации имели политику СМИБ и политику информационной безопасности. Однако это не подразумевает каких-либо конкретных соотношений между этими политиками. Требования к политике СМИБ приведены в пункте 4.2.1 стандарта ISO/IEC 27001. Рекомендации по политике информационной безопасности приведены в пункте 5.1.1 стандарта ISO/IEC 27002. Эти политики могут разрабатываться как равноправные политики: политика СМИБ может подчиняться политике информационной безопасности, или, наоборот, политика информационной безопасности может подчиняться политике СМИБ.

Содержание политики основано на контексте, в котором работает организация. В частности, при разработке любой политики в рамках основ политики нужно учитывать следующее:

1) цели и задачи организации;

2) стратегии, адаптированные для достижения этих целей;

3) структуру и процессы, адаптированные организацией;

4) цели и задачи, связанные с предметом политики;

5) требования связанных политик более высокого уровня.

Этот процесс показан на рисунке D.2.

Рисунок D.2 — Исходные данные для разработки политики

Политики могут иметь следующую структуру:

1. Краткое изложение политики — общее описание из одного-двух предложений. (Иногда может объединяться с введением).

2. Введение — краткое объяснение предмета политики.

3. Область действия — описывает части или действия организации, находящиеся под влиянием политики. При необходимости в пункте «Область действия» перечисляются другие политики, подкрепляемые данной политикой.

4. Цели — описание назначения политики.

5. Принципы — описание правил, касающихся действий и решений для достижения целей. В некоторых случаях может быть полезным определить ключевые процессы, связанные с предметом политики, и затем — правила выполнения процессов.

6. Сферы ответственности — кто отвечает за действия по выполнению требований политики. В некоторых случаях этот пункт может содержать описание организационных соглашений, а также сферы ответственности лиц с определенными ролями.

7. Ключевые результаты — описание результатов, получаемых предприятием, если цели достигнуты.

8. Связанные политики — описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.

Примечание — Содержание политики может быть организовано различными способами. Например, организации, которые делают акцент на ролях и сферах ответственности, могут упростить описание целей и применять принципы конкретно к ролям и сферам ответственности.

Далее приведен пример политики информационной безопасности, показывающий ее структуру и пример содержания.

Политика информационной безопасности (пример)

Краткое изложение политики

Информация всегда должна быть защищена независимо от ее формы и способа ее распространения, передачи и хранения.

Введение

Информация может существовать во многих различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных устройств, показываться на пленках или передаваться устно в процессе общения.

Информационная безопасность — это защита информации от различных угроз, призванная обеспечить непрерывность бизнес-процессов, минимизировать риск для бизнеса и максимизировать возвращение вложений и обеспечить возможности деловой деятельности.

Область действия

Данная политика подкрепляет общую политику безопасности организации.

Данная политика применяется ко всем сотрудникам организации.

Цели информационной безопасности

1) Понимание и обработка стратегических и оперативных рисков для информационной безопасности, чтобы они были приемлемы для организации.

2) Защита конфиденциальности информации клиентов, разработок продукции и планов маркетинга.

3) Сохранение целостности материалов бухгалтерского учета.

4) Соответствие общих веб-сервисов и внутренних сетей соответствующим стандартам доступности.

Принципы информационной безопасности

1) Данная организация способствует принятию рисков и преодолевает риски, которые не могут преодолеть организации с консервативным управлением, при условии понимания, мониторинга и обработки рисков для информации при необходимости. Подробное описание подходов, применяемых для оценки и обработки рисков, можно найти в политике СМИБ.

2) Весь персонал должен быть осведомлен и подотчетен за информационную безопасность в отношении своих должностных обязанностей.

3) Необходимо принять меры для финансирования средств управления информационной безопасностью и процессов управления проектами.

4) Возможности мошенничества и злоупотреблений в области информационных систем должны быть приняты в расчет при общем управлении информационными системами.

5) Отчеты о состоянии информационной безопасности должны быть доступны.

6) Необходимо отслеживать риски для информационной безопасности и предпринимать действия, когда изменения приводят к возникновению непредвиденных рисков.

7) Критерии классификации рисков и приемлемости рисков можно найти в политике СМИБ.

Ситуации, которые могут привести организацию к нарушению законов и установленных норм, не должны допускаться.

Сферы ответственности

1) Группа руководителей высшего эвена отвечает за обеспечение соответствующей проработки информации во всей организации.

2) Каждый руководитель высшего звена отвечает за то, чтобы сотрудники, работающие под его руководством, осуществляли защиту информации в соответствии со стандартами организации.

3) Начальник отела безопасности консультирует группу руководителей высшего звена, оказывает экспертную помощь сотрудникам организации и обеспечивает доступность отчетов о состоянии информационной безопасности.

4) Каждый сотрудник организации отвечает за информационную безопасность как часть выполнения своих должностных обязанностей.

Ключевые результаты

1) Инциденты информационной безопасности не должны приводить к серьезным непредвиденным затратам или серьезным срывам работы служб и деятельности предприятия.

2) Потери из-за мошенничества должны быть известны и находиться в рамках приемлемых ограничений.

3) Вопросы информационной безопасности не должны оказывать неблагоприятного влияния на прием заказчиками продукции и услуг.

Связанные политики

Следующие детальные политики содержат принципы и рекомендации по отдельным аспектам информационной безопасности:

1) Политика системы менеджмента информационной безопасности (СМИБ);

2) Политика контроля доступа;

3) Политика чистого стола и чистого экрана;

4) Политика неразрешенного программного обеспечения;

5) Политика, касающаяся получения файлов программного обеспечения из внешних сетей или через них;

6) Политика, касающаяся мобильного кода;

7) Политика резервного копирования;

Политика, касающаяся обмена информацией между организациями;

9) Политика, касающаяся допустимого использования электронных средств связи;

10) Политика сохранения записей;

11) Политика использования сетевых служб;

12) Политика, касающаяся мобильных вычислений и связи;

13) Политика дистанционной работы;

14) Политика использования криптографического контроля;

15) Политика соответствия;

16) Политика лицензирования программного обеспечения;

17) Политика удаления программного обеспечения;

18) Политика защиты и секретности данных.

Все эти политики подкрепляют:

идентификацию риска путем предоставления основы средств управления, которые могут использоваться для обнаружения недостатков в проектировании и внедрении систем;

обработку риска путем оказания помощи в определении способов обработки для определенных уязвимостей и угроз.

Идентификация риска и обработка риска — это процессы, определенные в разделе политики «Принципы». Подробности см. в политике СМИБ.

Приложение E
(справочное)

Мониторинг и измерения

В данном приложении представлены дополнительные рекомендации по поддержке планирования и разработки мониторинга и измерений.

Информация о назначении мониторинга и измерений

Разработка особых требований к СМИБ включает программу мониторинга и измерения безопасности для СМИБ, поддерживающую проверки, осуществляемые руководством.

Разработка мониторинга

На рисунке E.1 представлена последовательность процесса мониторинга.

Рисунок E.1 — Последовательность процесса мониторинга

Подготовка и координация: Определение соответствующих активов для мониторинга

Следует отметить, что мониторинг является непрерывным процессом, и при его разработке следует учитывать наладку процесса мониторинга, а также разработку фактических потребностей и действий по мониторингу. Эти действия необходимо координировать, что является частью процесса разработки.

На основе предыдущей информации, установленной на основе определенной области действия и активов, в сочетании с результатами анализа риска и выбора средств управления можно определить цели мониторинга. Эти цели должны включать:

— что нужно определить;

— когда;

— против чего.

С практической точки зрения ранее установленные действия (процессы) в организации и связанные с ними активы являются основной областью действия для мониторинга (пункт «против чего» выше). Для разработки мониторинга может потребоваться выбор, чтобы охватить активы, важные с точки зрения информационной безопасности. Также следует принять во внимание обработку риска и выбор средств управления, чтобы определить, что нужно отслеживать в активах и связанных с ними действиях (процессах) в организации. (При этом устанавливаются пункты «что нужно определить» и «когда»).

Поскольку мониторинг может включать юридические аспекты, разработку мониторинга необходимо проверять, чтобы он не имел юридических последствий.

Для обеспечения реальной эффективности мониторинга важно координировать и проводить конечную разработку всех действий по мониторингу.

Действия по мониторингу

Для поддержания уровня информационной безопасности меры и средства контроля и управления информационной безопасностью, определенные как подходящие, должны правильно применяться; обнаружение инцидентов безопасности и реагирование на них должны производиться своевременно, а функционирование системы менеджмента информационной безопасности должно регулярно отслеживаться. Необходимо проводить регулярные проверки, чтобы определить, все ли меры и средства контроля и управления применяются и внедряются, как запланировано в концепции информационной безопасности. В число этих проверок должны входить проверки соответствия технических средств управления (например, в отношении конфигурации) и организационных средств управления (например, процессов, процедур и операций). Проверки, прежде всего, должны быть направлены на устранение недостатков. Если проверки подлежат принятию, важно, чтобы эта мотивация осознавалась всеми вовлеченными сотрудниками как цель проверки. Необходимо обсуждать возможные решения проблем с участниками во время проверок и заранее готовить соответствующие средства для устранения недостатков.

Проверки должны тщательно подготавливаться для обеспечения как можно более эффективного достижения их целей, вызывая как можно меньше нарушений в обычной работе организации. Общее осуществление проверок должно заранее координироваться с руководством. Действия по разработке можно заключить в три различных основных формы:

— отчеты об инцидентах;

— подтверждение соответствия или несоответствия функциональности средств управления;

— другие регулярные проверки.

Кроме того, необходимо разработать представление результатов действия в отношении того, как выполняется запись и как информация передается руководству. Необходимо составлять официальную документацию для описания разработки, принципа действий и их цели, а также различных сфер ответственности.

Требования к результатам мониторинга

Результаты должны быть следующими:

a) записи действий по мониторингу с требуемой степенью детализации

По результатам действий по мониторингу руководству должен быть представлен отчет. Вся информация, которая требуется руководству для выполнения своих надзорных и управленческих функций, должна быть записана в отчете с требуемой степенью детализации.

b) информация, необходимая руководству для принятия решений, когда это требуется для принятия срочных мер.

Отчет для руководства всегда заканчиваются перечнем рекомендуемых действий с четко определенными приоритетами вместе с реальной оценкой предполагаемых затрат на выполнение каждого из этих действий. Это обеспечивает возможность принятия руководством решений без лишних задержек.

Планирование программы измерений, связанных с информационной безопасностью. Обзор разработки программы измерений, связанных с информационной безопасностью

Процесс измерения должен быть плавно введен в цикл СМИБ проекта или организации и использоваться для непрерывного усовершенствования процессов, связанных с безопасностью, и результатов в рамках этого процесса или организации. Это называется программой измерения информационной безопасности (ISO/IEC 27004:2009). Разработку программы необходимо рассматривать в отношении цикла СМИБ. На рисунке E.2 показано, как процесс измерения вписывается в цикл СМИБ.

Рисунок E.2 — Два аспекта измерения эффективности СМИБ с помощью процесса PDCA и примеры процессов внутри организации

Следующие функции систем управления требуются для обеспечения выполнения требований и ожиданий, таких как структурирование необходимых PDCA, измерение и подтверждение выходных данных и их эффективности, и обеспечение передачи результатов измерений руководителю процесса.

Чтобы провести правильные измерения, необходима ранее полученная информация, особенно:

a) политика СМИБ, включая область действия и границы;

b) результаты оценки риска;

c) выбор средств управления;

d) цели управления;

e) конкретные цели информационной безопасности;

f) заданные процессы и ресурсы и их классификация.

Руководство должно назначить и сохранять обязательства по всему процессу измерения. При осуществлении процесса измерения руководство должно:

a) принять требования к измерениям; подробности см. в стандарте ISO/IEC 27004:2009;

b) уделить внимание потребностям в информации, подробности см. в стандарте ISO/IEC 27004:2009;

c) установить обязательства персонала по следующим критериям:

— организация должна продемонстрировать свои обязательства, например, посредством политики измерений для организации, распределения ответственности и обязанностей, обучения и распределения бюджета и других ресурсов;

— должно быть назначено лицо или подразделение организации, отвечающее за программу измерения;

— должно быть назначено лицо или подразделение организации, отвечающее за обмен информацией по значимости и результатам измерений СМИБ во всей организации для обеспечения их принятия и использования, и это лицо или подразделение должно получать поддержку руководства;

— необходимо обеспечить сбор и анализ данных по измерениям СМИБ и их передачу директору по информационным технологиям и другим заинтересованным сторонам;

— необходимо обучить линейных руководителей программы использованию результатов измерений СМИБ для учреждения политики, распределения ресурсов и принятия решений, касающихся бюджета.

Программа измерения информационной безопасности и ее разработка подразумевают следующие роли:

a) высшее руководство;

b) пользователи программных продуктов, связанных с безопасностью;

c) лица, отвечающие за информационные системы;

d) лица, отвечающие за информационную безопасность.

Программа измерения информационной безопасности учреждается для того, чтобы получить показатели эффективности СМИБ, целей и средств управления. Программа описывается в стандарте ISO/IEC 27004:2009.

Для выполнения этих целей необходимо провести соответствующие измерения в фазе планирования.

Подходящие программы измерения информационной безопасности могут различаться в зависимости от структуры организации, а именно:

— размера;

— сложности;

— общего профиля риска в информационной безопасности.

Чем больше организация и чем сложнее ее структура, тем более обширная программа измерений ей требуется. Но уровень общего риска также влияет на объем программы. Если влияние слабой информационной безопасности серьезно, сравнительно небольшим организациям может потребоваться более обширная программа измерения, чтобы охватить риск, чем для более крупных организаций, не испытывающих такого влияния. Объем программы измерения можно оценить на основе выбора средств управления, которые необходимо охватить, и результатов анализа риска.

Разработка программы измерения информационной безопасности

Лицо, ответственное за программу измерения информационной безопасности, должно принять во внимание следующее:

— область действия;

— измерения;

— выполнение измерений;

— периоды измерений;

— отчетность.

Область действия программы измерения должна охватывать область действия, цели управления и меры и средства контроля и управления СМИБ. В частности, цели и границы измерения СМИБ должны устанавливаться в отношении характеристики организации, самой организации, ее местонахождения, активов и технологий и включать детализацию и обоснование любых исключений из области действия СМИБ. Это может быть одно из средств управления безопасностью, процесс, система, область деятельности, целое предприятие, одно подразделение или организация, состоящая из нескольких подразделений.

При выборе одиночного измерения стандарт ISO/IEC 27004:2009 требует, чтобы начальной точкой выступал объект измерения. Для учреждения программы измерений необходимо определить эти объекты. Этими объектами могут быть процессы или ресурсы. (Дополнительные подробности см. в стандарте ISO/IEC 27004:2009). При разработке программы измерений объекты, определенные областью действия СМИБ, часто расчленяются для выявления конкретных объектов, подлежащих измерению. Этот процесс определения можно проиллюстрировать в виде следующего примера: Организация — это весь объект — процесс в организации A/или система информационных технологий X — это часть объекта, которая сама образует объект — объекты в рамках этого процесса, влияющие на информационную безопасность (люди, правила, сети, программные приложения, оборудование и т.д.), обычно являются объектами измерения, помогающими увидеть эффективность защиты информации.

При выполнении программы измерения информационной безопасности необходимо учитывать, что объекты измерения могут служить для выполнения многих процессов в организации в рамках области СМИБ и, следовательно, могут оказывать более сильное влияние на эффективность СМИБ и цели управления. Обычно в рамках области действия программы следует уделять особое внимание таким объектам, например безопасности организации и связанным с ней процессам, компьютерному залу, коллегам, имеющим отношение к информационной безопасности, и т.д.

Интервалы измерений могут различаться, но желательно, чтобы измерения проводились или суммировались с определенными интервалами для включения их в проверки, проводимые руководством в процессе непрерывного усовершенствования СМИБ. Это условие должно быть учтено при разработке программы.

Отчетность по результатам должна быть организована таким образом, чтобы обеспечить передачу информации в соответствии с ISO/IEC 27004:2009.

Разработка программы измерения информационной безопасности должна быть отражена в документе, определяющем процедуру, который должен быть утвержден руководством. Этот документ должен охватывать следующие аспекты:

a) сферы ответственности за программу измерения информационной безопасности;

b) сферы ответственности за осуществление связи;

c) область действия измерений;

d) как должна выполняться программа (основной используемый метод, внешнее и внутреннее выполнение и т.д.);

e) когда должна выполняться программа;

f) как должна осуществляться отчетность.

Если организация разрабатывает собственные цели измерения, они должны быть документированы как часть фразы разработки; дополнительную справочную информацию см. в стандарте ISO/IEC 27004:2009. Этот документ может быть достаточно обширным и не обязательно должен подписываться руководством, поскольку детали могут изменяться при выполнении программы.

Измерение эффективности СМИБ

При установлении области действия программы измерения информационной безопасности, подлежащей выполнению, необходимо обеспечить, чтобы объектов не было слишком много. Если объектов много, имеет смысл разделить программу на разные части. Область действия этих частей может быть представлена как отдельные измерения для сравнения, но преобладает их основная цель: сочетание измерений обеспечивает показания для оценки эффективности СМИБ. Эти вспомогательные области действия обычно представляют собой подразделения организации, которые могут быть определены с четкими границами. Сочетание объектов, которые служат многим процессам в организации и измерениям объектов в рамках этих вспомогательных областей действия, вместе могут образовывать необходимую область действия для программы измерения информационной безопасности. Это сочетание также можно представить в виде серии действий по СМИБ, которые могут рассматриваться как состоящие из двух или более процессов (объектов). Следовательно, эффективность всей системы СМИБ можно измерить на основе измерения результатов этих двух или более процессов (объектов).

Поскольку целью является измерение эффективности СМИБ, важно измерить цели, определить меры и средства контроля и управления. Один аспект — это количество средств управления, а другой аспект — это достаточность этих средств управления для оценки эффективности СМИБ. Эти аспекты измерения эффективности СМИБ с помощью процесса PDCA и примеры процессов внутри организации приведены на рис.E.2 (Могут быть и другие причины для ограничения области действия программы измерения информационной безопасности, которые упоминаются в ISO/IEC 27004:2009).

При использовании результатов измерения для оценки эффективности СМИБ, целей управления и средств управления необходимо, чтобы руководство было проинформировано об области действия программы измерения информационной безопасности. Лицо, ответственное за программу измерений, должно получить от руководства утверждение области действия программы измерения информационной безопасности перед запуском программы.

Примечания

1 Требование, относящееся к измерению эффективности, в стандарте ISO/IEC 27001:2005 — это «измерение мер и средств контроля и управления или серии средств управления» (см. 4.2.2, d) в ISO/IEC 27001:2005).

2 Требование, относящееся к эффективности всей системы СМИБ, в стандарте ISO/IEC 27001:2005 — это только «проверка эффективности всей системы СМИБ», и «измерение всей системы СМИБ» не требуется (см. 0.2.2 в ISO/IEC 27001:2005).

Фактически проведение измерений может осуществляться работниками организации, специалистами со стороны или теми и другими вместе. Размеры, структура и культура организации — это факторы, которые необходимо принимать во внимание при оценке внутренних или внешних ресурсов. Малые и средние компании имеют больше выгоды от использования поддержки со стороны, чем большие организации. Результаты использования внешних ресурсов могут также обеспечить более надежные результаты в зависимости от культуры организации. Если в организации постоянно проводится внутренний аудит, внутренняя проверка может принести более надежные результаты.

Приложение ДА
(справочное)

Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации

Таблица ДА.1


Обозначение ссылочного международного стандарта	Степень соответствия	Обозначение и наименование соответствующего национального стандарта
ISO/IEC 27001:2005	IDT	ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»
ISO/IEC 27006:2007	IDT	ГОСТ Р ИСО/МЭК 27006-2008 «Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности»
ISO/IEC 27005:2008	IDT	ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»
Примечание — В настоящей таблице использовано следующее обозначение степени соответствия стандартов: — IDT — идентичные стандарты.

Библиография

[1] ISO 9001:2008, Quality management systems — Requirements

[2] ISO 14001:2004, Environmental management systems — Requirements with guidance for use

[3] ISO/I EC 15026 (all parts), Systems and software engineering — Systems and software assurance

________________

Будет опубликован.

[4] ISO/IEC 15408-1:2009, Information technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model

[5] ISO/IEC 15408-2:2008, Information technology — Security techniques — Evaluation criteria for IT security — Part 2: Security functional components

[6] ISO/IEC 15408-3:2008, Information technology — Security techniques — Evaluation criteria for IT security — Part 3: Security assurance components

[7] ISO/IEC TR 15443-1:2005, Information technology — Security techniques — A framework for IT security assurance — Part 1: Overview and framework

[8] ISO/IEC TR 15443-2:2005, Information technology — Security techniques — A framework for IT security assurance — Part 2: Assurance methods

[9] ISO/IEC TR 15443-3:2007, Information technology — Security techniques — A framework for IT security assurance — Part 3: Analysis of assurance methods

[10] ISO/IEC 15939:2007, Systems and software engineering — Measurement process

[11] ISO/IEC 16085:2006, Systems and software engineering — Life cycle processes — Risk management

[12] ISO/IEC 16326:2009, Systems and software engineering — Life cycle processes — Project management

[13] ISO/IEC 18045:2008, Information technology — Security techniques — Methodology for IT security evaluation

[14] ISO/IEC TR 19791:2006, Information technology — Security techniques — Security assessment of operational systems

[15] ISO/IEC 20000-1:2005, Information technology — Service management — Part 1: Specification

[16] ISO/IEC 27001:2005, Information technology — Security techniques — Information security management systems — Requirements

[17] ISO/IEC 27004:2009, Information technology — Security techniques — Information security management — Measurement

[18] ISO/IEC 27005:2008, Information technology — Security techniques — Information security risk management

[19] ISO 21500, Project management — Guide to project management

________________

В процессе подготовки.

[20] ISO/IEC 27006:2007 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems


УДК 004.91:006.354	ОКС 35.040
Ключевые слова: система менеджмента информационной безопасности, документально оформленная процедура, инцидент информационной безопасности

Электронный текст документа

и сверен по:

, 2014

Источник

Время на прочтение
10 мин

Количество просмотров 10K

Первого января 2022 года был введен в действие стандарт ГОСТ Р ИСО/МЭК 27001:2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности» (аутентичный перевод ISO/IEC ISO 27001:2013). Данное событие осталось не особо замеченным уважаемой публикой, хотя любому специалисту по информационной безопасности, стремящемуся к уменьшению бардака в сфере ИБ в своей организации с помощью внедрения процессного подхода, стоит не только понимать, но и уметь применять данный ГОСТ. К тому же в отличие от предыдущей версии 2006 года новый стандарт очень качественно переведен на русский язык.

К сожалению, на неподготовленного читателя данный стандарт, как и любой другой подобный документ, нагнетает скуку своим сухим языком и не всегда очевидной терминологией. Поэтому в этой статье кратко рассмотрим ключевые понятия и концепции, лежащие в основе стандарта. По ходу изложения разберем основные отличия новой версии от предыдущей и узнаем, почему старая версия стандарта позволяла обмануть центры по сертификации, а с вводом новой версии такое провернуть уже невозможно.

Процессный и ситуативный подход к менеджменту

Немного истории

Если вы уже давно в профессии, то этот раздел можно смело пропустить, а начинающим менеджерам по ИБ он может быть интересен.

В 1993 году Министерство торговли и промышленности Великобритании опубликовало документ, содержащий лучшие практики в области менеджмента ИБ (Code of Practice for Information Security Management), который был разработан в тесном сотрудничестве с ведущими британскими корпорациями и банками. Документ содержал описание более 127 мер информационной безопасности, которые были сгруппированы в 10 доменов. В 1995-м году данный документ приняли в качестве британского стандарта BS 7799. Четырьмя годами позже в 1999-м вышла вторая часть стандарта BS 7799-2, в которой уже была предложена концепция системы менеджмента информационной безопасности (СМИБ) на базе цикла Деминга-Шухарта (PDCA), а в 2006-м году появилась и третья часть BS 7799-3, посвященная ядру СМИБ – управлению рисками информационной безопасности. Таким образом британцы сформулировали перечень базовых организационных мер безопасности и дали инструментарий для их обоснованного выбора в конкретной организации.

В 2000-м году BS 7799-1 становится международным и получает код ISO/IEC 17799:2000, а с 2005 года под стандарты в области информационной безопасности уже выделяют целую серию ISO 27000, которая сейчас содержит уже 60 документов.

Ключевыми стандартами серии можно назвать ISO 27000, который содержит описание основных понятий, ISO 27001, содержащий требования к СМИБ (развитие BS 7799-2) и ISO 27002, описывающий меры безопасности (развитие BS 7799-1).

Мало кто знает, но ISO 27000 можно официально и бесплатно скачать с сайта ISO: https://standards.iso.org/ittf/PubliclyAvailableStandards/c073906_ISO_IEC_27000_2018_E.zip

Основные понятия

Ключевыми понятиями для понимания стандарта являются: актив, риск, мера безопасности и, конечно же, сама СМИБ.

Под активом в контексте информационной безопасности понимается информация в любой форме и средства ее обработки, то есть все то, что представляет ценность для организации и требует нашей неусыпной защиты.

Под риском официально понимается «следствие влияния неопределенности на достижение поставленных целей» (ГОСТ Р ИСО 31000-2019), но проще всего данное понятие определить через комбинацию вероятности события и его последствий, о чем, впрочем, также сказано в примечаниях к упомянутому определению.

«Мера безопасности» или более многословно — «мера обеспечения информационной безопасности» (из ГОСТ ИСО/МЭК 27001-2021) представляет собой нечто, что может влиять на риск. Меры могут быть организационными (назначение ответственных, принятие политики/процедуры/стандарта), техническими (установка межсетевого экрана, включение авторизации) и физическими (установка металлической двери в серверной).

Система менеджмента информационной безопасности (СМИБ) является совокупностью внутренних организационно-распорядительных документов и ресурсов, необходимых для защиты активов. СМИБ обеспечивает осознанное принятие решений в области ИБ через механизм управления рисками и не позволяет нам слепо следовать традиции, зафиксированной в народной пословице «Пока гром не грянет, мужик не перекрестится».

Еще важно понимать, что стоит за оценкой риской и аудитом, но об этом поговорим ниже.

Структура стандарта

ГОСТ Р ИСО/МЭК 27001-2021 состоит из двух частей – основной текст стандарта и приложение А. Основной текст стандарта состоит из разделов, которые легко сопоставляются с фазами цикла PDCA, а приложение А содержит структурированный по доменам перечень мер безопасности.

Цикл PDCA состоит из следующих фаз: планирования (Plan), исполнения (Do), проверки (Check) и корректировки (Act).

В ходе фазы планирования организация определяет:

Требования к СМИБ со стороны внешних и внутренних сторон, которые в итоге задают границы системы менеджмента.
Политику ИБ.
Роли и обязанности в области ИБ.
Процессы оценки и обработки рисков.
Задачи по ИБ.
Документы СМИБ.
Ресурсы, необходимые для функционирования СМИБ.

В ходе фазы исполнения организация обеспечивает:

Функционирование процессов ИБ.
Выполнение задач по ИБ.
Оценку рисков.
Обработку рисков.

В ходе фазы проверки организация осуществляет:

Мониторинг деятельности в области ИБ.
Проведение внутренних аудитов.
Контроль со стороны руководства.

В ходе фазы корректировки организация осуществляет:

Выполнение корректирующих действий по устранению выявленных на предыдущей фазе несоответствий.
Улучшение СМИБ.

В приложении А представлены меры безопасности, сгруппированные по следующим доменам:

Политики информационной безопасности.
Организация деятельности по информационной безопасности.
Безопасность, связанная с персоналом.
Менеджмент активов.
Управление доступом.
Криптография.
Физическая безопасность и защита от воздействия окружающей среды.
Безопасность при эксплуатации.
Безопасность системы связи.
Приобретение, разработка и поддержка систем.
Взаимоотношения с поставщиками.
Менеджмент инцидентов информационной безопасности.
Аспекты информационной безопасности в рамках менеджмента непрерывности деятельности организации.
Соответствие требованиям.

В случае, если организация претендует на сертификацию своей СМИБ по требованиям стандарта, то ей необходимо будет доказать выполнение всех пунктов основного текста стандарта, а также подтвердить функционирование выбранных мер безопасности, в том числе соответствующих мерам из приложения А. Исключения каждой меры безопасности должно быть обосновано.

Отличия от предыдущей версии стандарта

Основные отличия ГОСТ Р ИСО/МЭК 27001:2021 от ГОСТ Р ИСО/МЭК 27001:2006 следующие:

Переработана структура стандарта.
Появились новые понятия.
Теперь для постоянного совершенствования СМИБ можно пользоваться не только циклом PDCA (хотя сам PDCA, как мы видели, определяет структуру стандарта).
Набор мер безопасности, как и их группировка, пересмотрены: раньше было 11 доменов и 133 меры безопасности, теперь 114 мер информационной безопасности и 14 доменов.

Для знатоков прошлой версии стандарта приведем таблицу, сопоставляющую разделы двух редакций:

Раздел ГОСТ Р ИСО/МЭК 27001:2021	Раздел ГОСТ Р ИСО/МЭК 27001:2006
0. Введение	0. Введение
1 Область применения	1. Область применения
2 Нормативные ссылки	2. Нормативные ссылки
3 Термины и определения	3 Термины и определения
4 Контекст деятельности организации
4.1 Понимание внутренних и внешних факторов деятельности организации	8.3 Предупреждающие действия
4.2 Понимание потребностей и ожиданий заинтересованных сторон	5.2.1 c) выявления и обеспечения выполнения требований соответствующих законов, нормативных актов, а также договорных обязательств в области информационной безопасности;
4.3 Определение области действия системы менеджмента информационной безопасности	4.2.1 a) определить область и границы действия СМИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий, в том числе детали и обоснование любых исключений из области ее действия (см. 1.2); 4.2.3 f) регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности ее функционирования и определения направлений совершенствования (см.7.1)
4.4 Система менеджмента информационной безопасности	4.1 Общие требования
5 Руководство
5.1 Лидерство и приверженность	5.1 Обязательства руководства
5.2 Политика	4.2.1 b) определить политику СМИБ…
5.3 Роли, обязанности и полномочия в организации	5.1 с) определение функций и ответственности в области ИБ;
6 Планирование
6.1 Действия по рассмотрению рисков и возможностей
6.1.1 Общие положения	8.3 Предупреждающие действия
6.1.2 Оценка рисков информационной безопасности	4.2.1 c) определить подход к оценке риска в организации, для чего необходимо… 4.2.1 d) идентифицировать риски, для чего необходимо… 4.2.1 e) проанализировать и оценить риски, для чего необходимо…
6.1.3 Обработка рисков информационной безопасности6	4.2.1 f) определить и оценить различные варианты обработки рисков. 4.2.1 g) выбрать цели и меры управления для обработки рисков. 4.2.1 h) получить утверждение руководством предполагаемых остаточных рисков; 4.2.1 j) подготовить Положение о применимости, которое включает в себя следующее… 4.2.2 a) разработать план обработки рисков, определяющий соответствующие действия руководства, ресурсы, обязанности и приоритеты в отношении менеджмента рисков ИБ (см. раздел 5);
6.2 Цели информационной безопасности и планы по их достижению	5.1 b) обеспечения разработки целей и планов СМИБ;
7 Обеспечение и поддержка
7.1 Ресурсы	4.2.2 g) управлять ресурсами СМИБ (см. 5.2);
7.2 Квалификация	5.2.2 Подготовка, осведомленность и квалификация персонала
7.3 Осведомленность	4.2.2 e) реализовать программы по обучению и повышению квалификации сотрудников 5.2.2 Подготовка, осведомленность и квалификация персонала
7.4 Взаимодействие	4.2.4 c) передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия; 5.1 d) доведения до всех сотрудников организации информации о важности достижения целей информационной безопасности и соответствия ее требованиям политики организации, об их ответственности перед законом, а также о необходимости непрерывного совершенствования в реализации мер ИБ;
7.5 Документированная информация	4.3 Требования к документации
8 Функционирование
8.1 Оперативное планирование и контроль	4.2.2 f) управлять работой СМИБ;
8.2 Оценка рисков информационной безопасности	4.2.2 d) пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения..
8.3 Обработка рисков информационной безопасности	4.2.2 b) реализовать план обработки рисков для достижения намеченных целей управления, включающий в себя вопросы финансирования, а также распределение функций и обязанностей; 4.2.2 c) внедрить меры управления, выбранные согласно 4.2.1, перечисление д), для достижения целей управления;
9 Оценивание исполнения
9.1 Мониторинг, оценка защищенности, анализ и оценивание	4.2.2 d) пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения.. 4.2.3 b) проводить регулярный анализ результативности СМИБ (включая проверку ее соответствия политике и целям СМИБ и анализ мер управления безопасностью) с учетом результатов аудиторских проверок ИБ, ее инцидентов, результатов измерений эффективности СМИБ, а также предложений и другой информации от всех заинтересованных сторон; 4.2.3 c) измерять результативность мер управления для проверки соответствия требованиям ИБ;
9.2 Внутренний аудит	4.2.3 e) проводить внутренние аудиты СМИБ через установленные периоды времени (см. раздел 6).
9.3 Проверка со стороны руководства	4.2.3 f) регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности ее функционирования и определения направлений совершенствования (см. 7.1); 7. Анализ системы менеджмента информационной безопасности со стороны руководства
10. Улучшение
10.1 Несоответствие и корректирующие действия	4.2.4 Поддержка и улучшение системы менеджмента информационной безопасности 8.2 Корректирующие действия
10.2 Постоянное улучшение	4.2.4 Поддержка и улучшение системы менеджмента информационной безопасности 8.1 Постоянное улучшение

Новые понятия:

Контекст деятельности организации – среда, в которой работает организация.
Планы по достижению целей информационной безопасности – задачи, выполнение которых осуществляется организацией в ходе функционирования СМИБ.
Владелец риска – человек от бизнеса, отвечающий за актив и связанные с ним риски.
Документированная информация – документы, записи, все то, что обеспечивает функционирование СМИБ.

Манипуляции с областью действия СМИБ ушли в прошлое

ISO/IEC 27001:2005 и ГОСТ Р ИСО/МЭК 27001:2006 содержали в себе одну интересную уязвимость, которая позволяла компаниям, подающимся на сертификацию со своими системами менеджмента информационной безопасности серьезно сэкономить. Определение области действия СМИБ в соответствии с прошлыми версиями стандартов полностью лежало на совести заявителей и многие разумно выбирали небольшие процессы, такие как техническая поддержка, управление персоналом, подготовка бухгалтерской отчетности и т.п. и начинали строить СМИБ исключительно вокруг них, защищая, например, только данные в системе 1С:Кадры. В новой же редакции требуется явное определение внешних и внутренних сторон и выявление их требований, в соответствии с которыми уже и определяется область действия СМИБ. Таким образом, сейчас, забыть про требования регуляторов к защите ПДн, КИИ при построении СМИБ уже не получится.

Оценка рисков

Ключевым механизмом определения необходимости внедрения той или иной меры информационной безопасности является оценка рисков.

Оценка рисков (risk assessment) включает в себя идентификацию рисков (risk identification), анализ рисков (risk analysis) и оценивание рисков (risk evaluation). В ходе идентификации рисков составляется список рисков, как правило, связанных с конкретными активами, которые имеет смысл анализировать. В рамках анализа рисков изучается их природа, определяется вероятность, последствия и итоговое значение каждого риска, которое может быть выражено словом (например, «высокий»-«средний»-«низкий»), цветом (например, «красный»-«желтый»-«зеленый») или каким-либо числовым значением (например, в баллах, а иногда и в деньгах). После получения значения риска его сопоставляют с критериями принятия риска, осуществляя так называемое оценивание риска, что в свою очередь необходимо для принятия решения о дальнейших шагах по обработке рисков.

Внутренний аудит

Без грамотно организованного контроля менеджмент чего-либо невозможен. Важной составляющей фазы «Проверка» является внутренний аудит, в ходе которой специально обученный специалист проверяет с помощью доступных ему методов аудита то, что процессы СМИБ и внедренные меры безопасности, соответствуют таким критериям аудита, как:

Внутренние организационно-распорядительные документы в области ИБ.
Применимое законодательство (например, в области ПДн, КИИ).
ГОСТ Р ИСО/МЭК 27001:2021.

Аудитор должен быть беспристрастным, и ни в коем случае не должен быть задействован в проверке собственной работы.

Заключение

В качестве заключения можно отметить, что в области информационной безопасности ГОСТ Р ИСО/МЭК 27001:2021 является одним из самых практичных стандартов так как основан на простом и понятном подходе к структурированию деятельности организации — цикле PDCA. Формулировки требований и мер безопасности за более чем 20-летнее существование стандарта приведены в очень приличный и доступный вид.

Стоит отметить, что жизнь не стоит на месте и международные версии стандартов ISO 27001 и ISO 27002 обновляются в 2022-м году. ISO 27002 уже опубликован на сайте ISO, в течение года выйдет и новая редакция ISO 27001. Основные разделы (4-10) ISO 27001:2022 останутся без изменений, но будет обновлено приложение А: в нем появится 11 новых мер безопасности, а формулировки многих других будут улучшены, также будет изменен их принцип группировки, но это уже материал для отдельной статьи, если читателям будет интересно.

Если стандарт ГОСТ Р ИСО/МЭК 27001:2021 показался интересным, но 5 минут, потраченных на данную статью оказалось недостаточно и есть желание чуть глубже погрузиться в тему, то можно присоединиться к нашим бесплатным вебинарам, которые уже скоро пройдут.

Полезные ссылки

Руководство по переходу с ISO/IEC 27001:2005 и ISO/IEC 27001:2013 от BSI
ISO/IEC 27000:2018

Источник

1 Область применения

2 Нормативные ссылки

3 Термины и определения

4 Структура настоящего стандарта

4.1 Общая структура разделов документа

4.2 Общая структура настоящего стандарта

4.3 Схемы

5 Получение одобрения руководства для запуска проекта СМИБ

5.1 Описание получения одобрения руководства для запуска проекта СМИБ

5.2 Определение приоритетов организации для разработки СМИБ

5.3 Определение предварительной области действия СМИБ

5.4 Разработка технического обоснования и плана проекта для получения санкции руководства

6 Определение области действия СМИБ, границ и политики СМИБ

6.1 Общее описание определения области действия СМИБ, границ и политики СМИБ

6.2 Определение организационной области действия и границ

6.3 Определение области действия и границ для информационных и коммуникационных технологий (ИКТ)

6.4 Определение физической области действия и границ

6.5 Объединение всех областей действия и границ для получения области действия и границ СМИБ

6.6 Разработка политики СМИБ и получение одобрения руководства

7 Проведение анализа требований к информационной безопасности

7.1 Общее описание проведения анализа требований к информационной безопасности

7.2 Определение требований к информационной безопасности для процесса СМИБ

7.3 Определение активов в рамках области действия СМИБ

7.4 Проведение оценки информационной безопасности

8 Проведение оценки риска и планирование обработки риска

8.1 Описание проведения оценки риска и планирования обработки риска

8.2 Выбор целей и средств управления

8.3 Получение санкции руководства на внедрение и использование СМИБ

9 Разработка СМИБ

9.1 Описание разработки СМИБ

9.2 Разработка информационной безопасности организации

9.3 Разработка информационной безопасности ИКТ и физических объектов

9.4 Создание условий для обеспечения надежного функционирования СМИБ

9.5 Составление окончательного плана проекта СМИБ

Приложение A(справочное)

Приложение B(справочное)

Приложение C(справочное)

Приложение D(справочное)

Приложение E(справочное)

Приложение ДА(справочное)

Библиография

Немного истории

Основные понятия

Структура стандарта

Отличия от предыдущей версии стандарта

Манипуляции с областью действия СМИБ ушли в прошлое

Оценка рисков

Внутренний аудит

Заключение

Полезные ссылки

Приложение A
(справочное)

Приложение B
(справочное)

Приложение C
(справочное)

Приложение D
(справочное)

Приложение E
(справочное)

Приложение ДА
(справочное)