04. Требования к системе управления ИБ (ISO/IEC 27001-2013)

В 1998 году появилась вторая часть британского национального стандарта - BS 7799-2 «СУИБ. Спецификация и руководство по применению», в 2002 году она была пересмотрена, а в конце 2005 года была принята в качестве международного стандарта ISO/IEC 27001 «ИТ. Методы защиты. СУИБ. Требования». В Украине стандарт ISO/IEC 27001 как национальный введен в действие только с 1 июля 2012 года. 25 сентября 2013 года состоялось последнее обновление стандарта. 

Стандарт состоит из следующих разделов:
  Предисловие
  0. Введение
  1. Сфера применения
  2. Нормативные ссылки
  3. Термины и определения
  4. Контекст организации
  5. Лидерство
  6. Планирование
  7. Поддержка
  8. Эксплуатация
  9. Оценка результативности
10. Улучшение

Этапам модели «РDСА» соответствуют следующие разделы стандарта:
- планирование;
- эксплуатация;
- оценка результативности;
- улучшение.

Стандарт был подготовлен для реализации требований по созданию, внедрению, сопровождению и постоянному улучшению СУИБ. Принятие СУИБ является стратегическим решением для организации. Разработка и внедрение СУИБ организации зависит от потребностей и целей организации, требований по безопасности, существующих процессов организации, размера и структуры организации. Все эти факторы влияния, как известно, со временем меняются.

СУИБ обеспечивает конфиденциальность, целостность и доступность информации за счет применения процесса управления рисками и придает уверенность заинтересованным сторонам в том, что риски адекватно управляются.

Важно, чтобы СУИБ являлась частью и была интегрирована с процессами организации и общей структурой управления, а также ИБ была применена при разработке процессов, ИС и элементов управления. Как правило, внедрение СУИБ масштабируется в соответствии с потребностями организации.

1. Сфера применения

Стандарт устанавливает в контексте организации требования к созданию, внедрению, сопровождению и постоянному улучшению СУИБ. Стандарт также включает требования по оценке и обработке рисков ИБ в соответствии с потребностями организации. Требования, изложенные в стандарте, носят общий характер и предназначены для применения всеми организациями, независимо от типа, размера или характера. Исключение любого из требований, указанных в следующих разделах, не является приемлемым, если организация заявляет о соответствии стандарту.

Разделы «2. Нормативные ссылки» и «3. Термины и определения» пропускаем.

4. Контекст организации

Организация должна определить внешние и внутренние аспекты, которые имеют отношение к ее цели и влияют на ее способность к достижению ожидаемых результатов от СУИБ.

Организация должна определить:
- заинтересованные стороны, имеющие отношение к СУИБ;
- требования этих заинтересованных сторон, имеющих отношение к ИБ.

Организация для определения сферы применения СУИБ должна определить границы и возможность применения СУИБ.

При определении сферы применения СУИБ организация должна рассмотреть вопросы, упомянутые выше:
- внешние и внутренние аспекты;
- требования заинтересованных сторон;
- взаимосвязи и зависимости между деятельностью, выполняемой организацией, и деятельностью, выполняемой другими организациями.

Сфера применения должна быть доступна в виде документированной информации.

5. Лидерство

Лидерство и обязательства

Высшее руководство должно продемонстрировать лидерство и обязательства в отношении СУИБ путем:
- обеспечения политики ИБ и целей ИБ, которые разработаны и совместимы со стратегическими задачами организации;
- обеспечения интеграции требований СУИБ в процессы организации;
- обеспечения того, чтобы ресурсы, необходимые для СУИБ, были доступны;
- информирования о важности достижения результативности УИБ и о соответствии требованиям СУИБ;
- обеспечения того, что СУИБ позволяет достигать желаемых результатов;
- поддержки и управления персоналом, способствующим эффективности СУИБ;
- содействия постоянному улучшению;
- поддержки других соответствующих управленческих ролей для демонстрации их лидерства, насколько это применимо к сфере их ответственности.

Политика

Высшее руководство должно разработать политику ИБ, которая должна:
- соответствовать целям ИБ;
- содержать цели ИБ или обеспечивать основу для достижения целей ИБ;
- включать обязательства по соблюдению требований ИБ;
- включать обязательства по постоянному улучшению СУИБ.

Политика ИБ должна быть:
- доведена до персонала организации;
- доступна как документированная информация;
- доступна всем заинтересованным сторонам.

Организационные роли, обязанности и полномочия

Высшее руководство должно быть уверенным, что обязанности и полномочия ролей, относящихся к ИБ, обозначены и сообщены.

Высшее руководство должно обозначить обязанности и полномочия для:
- обеспечения соответствия СУИБ требованиям этого стандарта;
- оповещения высшего руководства о результативности СУИБ.

6. Планирование (первый этап)

Этап планирования СУИБ обеспечивают следующие мероприятия:
- определение целей ИБ и мер по их достижению;
- действия по обработке рисков и возможностей.

Определение целей ИБ и мер по их достижению

Организация должна установить цели ИБ для соответствующих функций и на соответствующих уровнях.

Цели ИБ должны:
- соответствовать политике ИБ;
- быть измеримыми (если это возможно);
- принимать во внимание действующие требования ИБ, результаты оценки и обработки рисков;
- быть известны соответствующему персоналу организации;
- обновляться по мере необходимости.

Организация должна сохранять документированную информацию о целях ИБ.

При планировании мер по достижению целей ИБ организация должна определить:
- что будет сделано;
- какие ресурсы потребуются;
- кто будет нести ответственность;
- когда меры будут реализованы;
- как будут оцениваться результаты.

Действия по обработке рисков и возможностей

При планировании СУИБ организация должна учитывать аспекты и требования, указанные в контексте организации, и определить риски и возможности, которые должны быть направлены на:
- обеспечение того, чтобы СУИБ позволило достигать желаемых результатов;
- предотвращение или уменьшение нежелательных эффектов;
- обеспечение непрерывного совершенствования.

Организация должна планировать:<
- процессы оценки и обработки рисков;<
- действия по осуществлению и интеграции работ в процессах СУИБ и оценке их результативности.

Оценка рисков ИБ

Организация должна определить и внедрить процесс оценки рисков ИБ, состоящий из разработки критериев, определения, анализа рисков и сравнения его результатов с критериями для рисков ИБ.

На основании процесса оценки рисков ИБ организации следует:

- установить и поддерживать критерии для рисков ИБ, которые состоят из критериев для проведения оценки и принятия рисков ИБ;

- определить риски ИБ:
  • применить процесс оценки рисков ИБ для выявления рисков, связанных с потерей конфиденциальности, целостности и доступности информации в рамках СУИБ;
  • определить владельцев рисков;

- проанализировать риски ИБ:
  • определить реалистичную вероятность возникновения рисков;
  • определить потенциальные последствия, которые могут возникнуть в случае возникновения рисков;
  • определить уровни риска;

- оценить риски ИБ:
  • сравнить результаты анализа рисков с установленными критериями для рисков;
  • установить приоритеты по обработке рисков для проанализированных рисков;

- гарантировать, что повторная оценка рисков ИБ позволит получить логичные, обоснованные и сопоставимые результаты.

Организация должна сохранять документированную информацию о процессе оценки рисков ИБ.

Обработка рисков ИБ

Организация должна определить и внедрить процесс обработки рисков ИБ, состоящий из выбора варианта обработки, его реализации и принятия остаточных рисков ИБ.

На основании процесса обработки рисков ИБ организации следует:

- выбрать подходящий вариант обработки рисков ИБ, принимая во внимание результаты оценки рисков;

- определить все элементы управления, которые необходимы для реализации выбранного варианта обработки рисков ИБ;

- сравнить определенные элементы управления с теми, которые приведены в Приложении А и убедиться в том, что не были упущены необходимые элементы;

- разработать Положение о Применимости (Statement of Applicability, SoA), которое содержит необходимые элементы управления и обоснования их включения (независимо от того, реализованы они или нет), а также обоснования исключений элементов управления из Приложения А;

- сформулировать план по обработке рисков ИБ;

- согласовать с владельцами рисков план по обработке рисков ИБ и получить (от владельцев рисков) согласие на принятие остаточных рисков ИБ.

Организация должна сохранять документированную информацию о процессе обработки рисков ИБ.

7. Поддержка

Поддержка СУИБ определяется следующими составляющими:
- ресурсы;
- компетенции;
- осведомленность;
- коммуникации;
- документированная информация.

Ресурсы

Организация должна определить и предоставить ресурсы, необходимые для разработки, внедрения, сопровождения и постоянного улучшения СУИБ.

Компетенции

Организация должна:

- определять необходимую компетентность персонала, который самостоятельно выполняет работу, что влияет на результативность ИБ;

- обеспечить то, что этот персонал обладает необходимыми компетенциями на основе соответствующего обучения, тренингов или опыта;

- при необходимости принять меры для получения необходимых компетенций и оценить эффективность принятых мер;

- сохранять соответствующую документированную информацию в качестве доказательств наличия компетенций.

Соответствующие меры могут включать, например, проведение тренинга, наставничество или переаттестацию действующих сотрудников; или наем / привлечение по контракту компетентных лиц.

Осведомленность

Персонал, выполняющий работы в рамках организации, должен быть осведомлен:
- о политике ИБ;
- о вкладе в повышение результативности СУИБ, включая выгоды от улучшения состояния ИБ;
- о последствиях в результате не выполнения требований СУИБ.

Коммуникации

Организация должна определить необходимые внутренние и внешние коммуникации, относящиеся к СУИБ, включая:
- о чем сообщать;
- когда сообщать;
- кому сообщать;
- кто должен участвовать в коммуникациях;
- процессы осуществления коммуникаций.

Документированная информация

СУИБ организации должна включать документированную информацию:
- требуемую настоящим стандартом;
- определенную организацией в качестве необходимой для обеспечения результативности СУИБ.

Степень (детализация) документированной информации для СУИБ одной организации может отличаться от другой в зависимости от:
- размера организации и ее вида деятельности, процессов, продуктов и услуг;
- сложности процессов и их взаимодействия;
- компетенции персонала.

При создании и обновлении документированной информации организация должна обеспечить соответствующее:
- идентификацию и описание (например: название, дата, автор или ссылка);
- оформление (например: язык, версия ПО, рисунки) и тип носителя (например: электронный, бумажный);
- рассмотрение и утверждение на предмет пригодности для применения и адекватности.

Документированная информация СУИБ должна управляться для обеспечения:
- доступности и пригодности для использования;
- адекватной защиты (например: от потери конфиденциальности, неправильного использования или потери целостности).

Для управления документированной информацией организация должна рассмотреть следующие мероприятия (где применимо):
- распространение информации, доступ, восстановление и использование;
- хранение и сохранность, в том числе сохранение удобочитаемости;
- контроль изменений (например, управление версиями);
- архивирование и уничтожение.

Документированная информация внешнего происхождения, определенная организацией в качестве необходимой для планирования и функционирования СУИБ, должна соответствующим образом определяться и управляться. Доступ предполагает принятия решения о доступе только на просмотр документированной информации или предоставлении полномочий для просмотра и внесения изменений в документированной информации и т.д.

8. Эксплуатация (второй этап)

Этап эксплуатации СУИБ обеспечивают следующие мероприятия:
- оперативное планирование и контроль;
- оценка рисков ИБ;
- обработка рисков ИБ.

Оперативное планирование и контроль

Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований ИБ и реализации действий по обработке рисков и возможностей. Организация также должна выполнять планы по достижению целей ИБ.

Организация должна сохранять документированную информацию в объеме, необходимом для получения уверенности в том, что процессы осуществляются так, как запланировано.

Организация должна управлять планируемыми изменениями и рассматривать последствия случайных изменений, принимать меры по смягчению неблагоприятных последствий при необходимости. Организация должна обеспечить, что переданные на аутсорсинг процессы определены и управляются.

Оценка рисков ИБ

Организация должна выполнять оценку рисков ИБ через запланированные интервалы времени, либо в случае предполагающихся или уже происходящих существенных изменений, с учетом установленных критериев. Организация должна сохранять документированную информацию о результатах оценки рисков ИБ.

Обработка рисков ИБ

Организация должна реализовать план обработки рисков ИБ. Организация должна сохранять документированную информацию о результатах обработки рисков ИБ.

9. Оценка результативности (третий этап)

Этап оценки результативности СУИБ обеспечивают следующие мероприятия:
- мониторинг, измерение, анализ и оценка;
- внутренний аудит;
- анализ со стороны руководства.

Мониторинг, измерение, анализ и оценка

Организация должна оценивать состояние ИБ и результативность СУИБ.

Организация должна определить:
- что необходимо отслеживать и& измерять, в том числе процессы ИБ и элементы управления;
- методы мониторинга, измерения, анализа и оценки, в зависимости от обстоятельств, в целях обеспечения достоверных результатов;
- когда должны проводиться действия по мониторингу и измерениям;
- кто должен осуществлять мониторинг и измерения;
- когда результаты мониторинга и измерений должны быть проанализированы и оценены;
- кто должен анализировать и оценивать эти результаты.

Организация должна сохранять соответствующую документированную информацию в качестве подтверждения результатов мониторинга и измерений.

Внутренний аудит

Организация должна проводить внутренние аудиты через запланированные промежутки времени для получения информации о состоянии СУИБ:
- на предмет соответствия собственным требованиям организации для своей СУИБ и требованиям настоящего стандарта;
- с целью оценки результативности внедрения и поддержки.

Перед проведением аудита организация должна определить программу, критерии и сферу применения для каждого аудита, а также аудиторов. Программа аудита должна включать методы, распределение ответственности, требования к планированию и отчетности и учитывать важность процессов и результаты предыдущих аудитов.

Организация должна обеспечить:
- объективность и беспристрастность процесса аудита;
- направление результатов аудитов руководству соответствующего уровня;
- хранение документированной информации как свидетельства о программе аудита и результатах аудита.

Анализ со стороны руководства

Высшее руководство должно анализировать СУИБ организации через запланированные интервалы времени для обеспечения ее постоянной пригодности, адекватности и результативности.

Анализ со стороны руководства должен включать следующее:
- статус действий по результатам предыдущих анализов со стороны руководства;
- изменения внешних и внутренних аспектов, которые имеют отношение к СУИБ;
- обратную связь о состоянии ИБ, включая:
  • несоответствия и корректирующие действия;
  • результаты мониторинга и измерений;
  • результаты аудита;
  • результат достижения целей ИБ;
- обратную связь от заинтересованных сторон;
- результаты оценки рисков и статус выполнения плана по обработке рисков;
- возможности для постоянного улучшения.

Выводы анализа со стороны руководства должны включать решения, связанные с реализацией возможностей постоянного улучшения, и любые необходимые изменения в СУИБ. Организация должна сохранять документированную информацию в качестве свидетельства о результатах анализа со стороны руководства.

10. Улучшение (четвертый этап)

Этап улучшения СУИБ обеспечивают следующие мероприятия:
- корректирующие действия;
- постоянное улучшение.

Корректирующие действия

При появлении несоответствия организация должна:

- реагировать на несоответствие и в зависимости от обстоятельств принять меры по его управлению и исправлению или проработать последствие;

- оценить необходимость принятия действий для устранения причин несоответствия с целью предотвращения его повторения или появления в другом месте, для этого:
  • изучить несоответствие;
  • определить причину несоответствия;
  • определить, существуют ли подобные несоответствия или потенциальные возможности их возникновения;

- реализовать любые необходимые корректирующие действия;
- проанализировать результативность выполненных корректирующих действий;
- при необходимости внести изменения в СУИБ.

Корректирующие действия должны быть адекватными последствиям выявленных несоответствий. Организация должна сохранять документированную информацию как свидетельства о:
- характере несоответствий;
- любых корректирующих действиях;
- результатах корректирующих действий.

Постоянное улучшение

Организация должна постоянно улучшать пригодность, адекватность и результативность СУИБ.

Приложение А. Цели и средства СУИБ

А.5 Политика ИБ

А.5.1 Руководящие положения для ИБ
Цель: Реализовать требования политики ИБ и обеспечить поддержку для ИБ в соответствии с требованиями бизнеса и действующим законодательством

А.6 Организация ИБ

A.6.1 Внутренняя организация
Цель: Создать структуру управления с целью инициировать и управлять внедрением и
обеспечением ИБ в организации

A.6.2 Мобильные устройства и удаленная работа
Цель: Обеспечить безопасность удаленной работы и использования мобильных устройств

A.7 Безопасность, связанная с персоналом

A.7.1 Перед приемом на работу
Цель: Гарантировать, что сотрудники и подрядчики понимают свою ответственность и подходят для должностей, на которые они рассматриваются

A.7.2 Во время работы
Цель: Гарантировать, что все сотрудники и подрядчики осведомлены о своей ответственности и корректно выполняют свои обязанности в сфере ИБ

А.7.3 При увольнении или изменении должности
Цель: Защищать интересы организации при увольнении или изменении должности сотрудника

А.8 Управление активами

А.8.1 Ответственность за активы
Цель: Определить активы организации и соответствующие ответственности по их защите

A.8.2 Безопасность информации
Цель: Обеспечить надлежащий уровень защиты информации в соответствии с ее важностью для организации

A.8.3 Безопасность носителей информации
Цель: Предотвратить несанкционированные действия с информацией, хранящейся на носителях информации

A.9 Управление доступом

A.9.1 Требования разграничения доступа
Цель: Ограничить доступ к информации и средствам обработки информации

A.9.2 Управление доступом пользователей
Цель: Обеспечить авторизованный доступ пользователей и предотвратить несанкционированный доступ к системам и сервисам

A.9.3 Ответственность пользователя
Цель: Пользователи должны выполнять установленный в организации порядок использования информации аутентификации (пароля)

A.9.4 Управление доступом к системе и приложениям
Цель: Предотвратить несанкционированный доступ к системам и приложениям

A.10 Криптография

A.10.1 Средства криптографии
Цель: Обеспечить корректное и эффективное использование криптографии для защиты конфиденциальности, подлинности и/или целостности информации

A.11 Физическая и экологическая безопасность

A.11.1 Зоны безопасности
Цель: Предотвратить несанкционированный физический доступ, повреждение и вмешательство в информацию организации и средства обработки информации

A.11.2 Безопасность оборудования
Цель: Предупредить потерю, порчу, хищение или компрометацию активов и прерывание деятельности организации

А.12 Безопасность операций

А.12.1 Операционные процедуры и ответственность
Цель: Обеспечить правильное и безопасное использование средств обработки информации

А.12.2 Защита от вредоносного ПО
Цель: Обеспечить защиту информации и средств ее обработки от вредоносного ПО

А.12.3 Резервное копирование
Цель: Обеспечить защиту от потери данных

А.12.4 Протоколирование и мониторинг
Цель: Записывать события и получать фактические данные

А.12.5 Контроль системного ПО
Цель: Обеспечить целостность операционных систем

А.12.6 Управление техническими уязвимостями
Цель: Предотвратить использование технических уязвимостей

А.12.7 Проведение аудита ИС
Цель: Минимизировать влияние аудиторских действий на действующие системы

А.13 Безопасность связи

А.13.1 Управление сетевой безопасностью
Цель: Обеспечить защиту информации в сетях и поддерживающих средствах обработки
информации

А.13.2 Передача информации
Цель: Поддерживать безопасность информации, передаваемой внутри организации и в любую стороннюю организацию

А.14 Покупка, разработка и сопровождение ИС

А.14.1 Требования безопасности ИС
Цель: Обеспечить, что ИБ является неотъемлемой частью ИС в течение всего жизненного цикла. Это также включает требования к ИС, которые предоставляют сервисы в общедоступных сетях

А.14.2 ИБ при разработке ИС
Цель: Обеспечить разработку и внедрение ИБ в рамках жизненного цикла разработки ИС

А.14.3 Тестовые данные
Цель: Обеспечить защиту данных, используемых при тестировании

А.15 Взаимоотношения с поставщиками

А.15.1 ИБ в отношениях с поставщиками
Цель: Обеспечить защиту активов организации, доступных поставщикам

А.15.2 Управление оказанием услуг
Цель: Поддерживать согласованный уровень ИБ и оказания услуг согласно договоров с поставщиками

А.16 Управление инцидентами ИБ

А.16.1 Управление инцидентами ИБ и улучшение
Цель: Обеспечить бесперебойный и результативный подход к управлению инцидентами ИБ, включая сообщения о событиях безопасности и уязвимости

А.17 Аспекты ИБ при управлении непрерывностью бизнеса

А.17.1 Непрерывность ИБ
Цель: Непрерывность ИБ должна быть неотъемлемой частью системы управления непрерывностью бизнеса организации

А.17.2 Избыточность средств
Цель: Обеспечить доступность средств обработки информации

A.18 Соответствие требованиям

A.18.1 Выполнение требований
Цель: Избежать нарушения правовых, нормативных или договорных обязательств, связанных с ИБ, и любых требований безопасности

A.18.2 Проверки ИБ
Цель: Убедиться, что ИБ внедрена и управляется в соответствии с организационными политиками и процедурами

Положение о применимости (пример)

Параграф в Прил. А

Отметка о прим-сти

Ссылки на соответствующие документы

Коментарии

A.9.4.3

Да

Инструкция по управлению паролями в информационной системе

A.11.1.4

Частично

Инструкция на случай пожара
Инструкция на случай наводнения

Другие угрозы не рассматриваются

А.14.2.7

Нет

Аутсорсинг отсутствует

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика