04. Требования к системе управления ИБ (ISO/IEC 27001-2013)

В 1998 году появилась вторая часть британского национального стандарта - BS 7799-2 «СУИБ. Спецификация и руководство по применению», в 2002 году она была пересмотрена, а в конце 2005 года была принята в качестве международного стандарта ISO/IEC 27001 «ИТ. Методы защиты. СУИБ. Требования». В Украине стандарт ISO/IEC 27001 как национальный введен в действие только с 1 июля 2012 года. 25 сентября 2013 года состоялось последнее обновление стандарта. 

Стандарт состоит из следующих разделов:
  Предисловие
  0. Введение
  1. Сфера применения
  2. Нормативные ссылки
  3. Термины и определения
  4. Контекст организации
  5. Лидерство
  6. Планирование
  7. Поддержка
  8. Эксплуатация
  9. Оценка результативности
10. Улучшение

Этапам модели «РDСА» соответствуют следующие разделы стандарта:
- планирование;
- эксплуатация;
- оценка результативности;
- улучшение.

Стандарт был подготовлен для реализации требований по созданию, внедрению, сопровождению и постоянному улучшению СУИБ. Принятие СУИБ является стратегическим решением для организации. Разработка и внедрение СУИБ организации зависит от потребностей и целей организации, требований по безопасности, существующих процессов организации, размера и структуры организации. Все эти факторы влияния, как известно, со временем меняются.

СУИБ обеспечивает конфиденциальность, целостность и доступность информации за счет применения процесса управления рисками и придает уверенность заинтересованным сторонам в том, что риски адекватно управляются.

Важно, чтобы СУИБ являлась частью и была интегрирована с процессами организации и общей структурой управления, а также ИБ была применена при разработке процессов, ИС и элементов управления. Как правило, внедрение СУИБ масштабируется в соответствии с потребностями организации.

1. Сфера применения

Стандарт устанавливает в контексте организации требования к созданию, внедрению, сопровождению и постоянному улучшению СУИБ. Стандарт также включает требования по оценке и обработке рисков ИБ в соответствии с потребностями организации. Требования, изложенные в стандарте, носят общий характер и предназначены для применения всеми организациями, независимо от типа, размера или характера. Исключение любого из требований, указанных в следующих разделах, не является приемлемым, если организация заявляет о соответствии стандарту.

Разделы «2. Нормативные ссылки» и «3. Термины и определения» пропускаем.

4. Контекст организации

Организация должна определить внешние и внутренние аспекты, которые имеют отношение к ее цели и влияют на ее способность к достижению ожидаемых результатов от СУИБ.

Организация должна определить:
- заинтересованные стороны, имеющие отношение к СУИБ;
- требования этих заинтересованных сторон, имеющих отношение к ИБ.

Организация для определения сферы применения СУИБ должна определить границы и возможность применения СУИБ.

При определении сферы применения СУИБ организация должна рассмотреть вопросы, упомянутые выше:
- внешние и внутренние аспекты;
- требования заинтересованных сторон;
- взаимосвязи и зависимости между деятельностью, выполняемой организацией, и деятельностью, выполняемой другими организациями.

Сфера применения должна быть доступна в виде документированной информации.

5. Лидерство

Лидерство и обязательства

Высшее руководство должно продемонстрировать лидерство и обязательства в отношении СУИБ путем:
- обеспечения политики ИБ и целей ИБ, которые разработаны и совместимы со стратегическими задачами организации;
- обеспечения интеграции требований СУИБ в процессы организации;
- обеспечения того, чтобы ресурсы, необходимые для СУИБ, были доступны;
- информирования о важности достижения результативности УИБ и о соответствии требованиям СУИБ;
- обеспечения того, что СУИБ позволяет достигать желаемых результатов;
- поддержки и управления персоналом, способствующим эффективности СУИБ;
- содействия постоянному улучшению;
- поддержки других соответствующих управленческих ролей для демонстрации их лидерства, насколько это применимо к сфере их ответственности.

Политика

Высшее руководство должно разработать политику ИБ, которая должна:
- соответствовать целям ИБ;
- содержать цели ИБ или обеспечивать основу для достижения целей ИБ;
- включать обязательства по соблюдению требований ИБ;
- включать обязательства по постоянному улучшению СУИБ.

Политика ИБ должна быть:
- доведена до персонала организации;
- доступна как документированная информация;
- доступна всем заинтересованным сторонам.

Организационные роли, обязанности и полномочия

Высшее руководство должно быть уверенным, что обязанности и полномочия ролей, относящихся к ИБ, обозначены и сообщены.

Высшее руководство должно обозначить обязанности и полномочия для:
- обеспечения соответствия СУИБ требованиям этого стандарта;
- оповещения высшего руководства о результативности СУИБ.

6. Планирование (первый этап)

Этап планирования СУИБ обеспечивают следующие мероприятия:
- определение целей ИБ и мер по их достижению;
- действия по обработке рисков и возможностей.

Определение целей ИБ и мер по их достижению

Организация должна установить цели ИБ для соответствующих функций и на соответствующих уровнях.

Цели ИБ должны:
- соответствовать политике ИБ;
- быть измеримыми (если это возможно);
- принимать во внимание действующие требования ИБ, результаты оценки и обработки рисков;
- быть известны соответствующему персоналу организации;
- обновляться по мере необходимости.

Организация должна сохранять документированную информацию о целях ИБ.

При планировании мер по достижению целей ИБ организация должна определить:
- что будет сделано;
- какие ресурсы потребуются;
- кто будет нести ответственность;
- когда меры будут реализованы;
- как будут оцениваться результаты.

Действия по обработке рисков и возможностей

При планировании СУИБ организация должна учитывать аспекты и требования, указанные в контексте организации, и определить риски и возможности, которые должны быть направлены на:
- обеспечение того, чтобы СУИБ позволило достигать желаемых результатов;
- предотвращение или уменьшение нежелательных эффектов;
- обеспечение непрерывного совершенствования.

Организация должна планировать:<
- процессы оценки и обработки рисков;<
- действия по осуществлению и интеграции работ в процессах СУИБ и оценке их результативности.

Оценка рисков ИБ

Организация должна определить и внедрить процесс оценки рисков ИБ, состоящий из разработки критериев, определения, анализа рисков и сравнения его результатов с критериями для рисков ИБ.

На основании процесса оценки рисков ИБ организации следует:

- установить и поддерживать критерии для рисков ИБ, которые состоят из критериев для проведения оценки и принятия рисков ИБ;

- определить риски ИБ:
  • применить процесс оценки рисков ИБ для выявления рисков, связанных с потерей конфиденциальности, целостности и доступности информации в рамках СУИБ;
  • определить владельцев рисков;

- проанализировать риски ИБ:
  • определить реалистичную вероятность возникновения рисков;
  • определить потенциальные последствия, которые могут возникнуть в случае возникновения рисков;
  • определить уровни риска;

- оценить риски ИБ:
  • сравнить результаты анализа рисков с установленными критериями для рисков;
  • установить приоритеты по обработке рисков для проанализированных рисков;

- гарантировать, что повторная оценка рисков ИБ позволит получить логичные, обоснованные и сопоставимые результаты.

Организация должна сохранять документированную информацию о процессе оценки рисков ИБ.

Обработка рисков ИБ

Организация должна определить и внедрить процесс обработки рисков ИБ, состоящий из выбора варианта обработки, его реализации и принятия остаточных рисков ИБ...

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика