обучение по исо 27001
Сертификация ISO27001
Однажды мой хороший друг сказал мне: «вся индустрия аудита основана на том, что люди друг другу врут». Это как нельзя лучше отражало истинную причину почему банкам и другим финансовым институтам нужно получать заключение внешних аудиторов каждый год – для того, чтобы другие институты верили их финансовой отчетности.
Похожая ситуация в ИТ. Любая компания может сказать: «мы защищаем свои системы и следим за безопасностью передачи данных. Но так ли это? И насколько хорошо защищают? Cертификация ISO 27001 отвечает на эти вопросы за вас, и позволяет сэкономить время на доказательствах. Под катом пример подготовки к сертификации ISO 27001 одной маленькой, европейской ИТ компании.
Предыстория
ISO 27001 — это международный стандарт, в котором собраны требования для создания и развития системы менеджмента информационной безопасности. Сертификация ISO 27001 особенно актуальна для крупных компаний, но в последнее время его стали требовать от маленьких компаний на этапе обсуждения контракта.
Раньше было так: Заказчик предоставляет альтернативу: либо у подрядчика есть сертификат ISO 27001, либо если компания не прошла сертификацию, можно продемонстрировать в соответствии с официальными договорными обязательствами, что у компании есть «план безопасности».
Сегодня альтернатива становится сложной, все больше и больше компаний выбирая между двумя разными подрядчиками, остановятся на тех, у кого уже есть ISO сертификат.
Компания, в которой проходила подготовка к сертификации, продает услуги по информационной безопасности, поэтому здесь вопрос получения сертификата стал по сути вопросом сохранения своего места на рынке:
Коротко о стандарте
ISO 27001 состоит из двух частей – Body (основная часть стандарта, своего рода стратегия) и Annex A (114 потенциально применимых контролей).
Body of the Standard:
О компании, которая получает сертификацию:
ИТ консалтинг, всего 25 человек сотрудников, из которых двое это топ менеджмент и двое это администрация. Основные данные хранятся на внешних облачных серверах. В процессе 2020 года администрация (бухгалтерия, учет времени сотрудников) также переехали с внутренних серверов на внешние сервисы.
Из поставщиков – внешние услуги техподдержки, а также все «физические» поставщики, охрана офиса, уничтожение старого оборудования, документов.
В команду проекта по подготовке к сертификации вошли старший консультант, он же внутренний сотрудник, который понятия не имел о том, как устроены информационные системы компании и внешний консультант по информационной безопасности и законодательству. И, конечно, топ менеджмент.
С чего начать и чем закончить
Вот здесь хорошо описаны стадии принятия сертификации. Особенно остро отрицание, гнев, ярость проходят в маленькой и уютной компании. Здесь любая бюрократическая новация наталкивается на стену непонимания, документация устаревает раньше чем ее успеваешь дописать, а основная сложность это объяснить сотруднику-старожилу зачем ему вдруг нужно менять годами устоявшиеся практики.
Зато именно в маленьких компаниях нагляднее всего видны результаты подготовки.
Несколько практических советов на этапе старта проекта:
Стандарт диктует: «определите границы и сферы информационных систем».
Это можно сделать либо простым изложением на бумаге, но для нас по-настоящему все началось с нарисованной схемы информационных систем. Это кажется очень просто, и в маленькой компании даже лишним – и так все все понимают, — но, удивительное дело, картинка меняет все.
Первая кривоватая схема где были обозначены ноутбуки, сервера, VPN и Firewalls была встречена на ура и указала на много не замеченных деталей: протоколы VPN, backups, позже добавились облачные серверы, etc.
Самый простой инструмент работы и самый эффективный – общая папка в SharePoint, где под каждый контроль и пункт стандарта есть отдельная подпапка с соответствующим названием, где сохраняется вся документация.
В нашем случае то, что мы давали «отлежаться» нашим политикам и потом возвращались к ним и переписывали, сказалось на качестве только лучшим образом. Они получились своего рода «выдержанным». Все лишнее стало нагляднее отследить, к тому же за год, то, что мы начинали писать в начале 2020 уже потеряло актуальность. Но слегка изменить политику всегда проще, чем заново ее написать.
План vs реальность
План подготовки к ISO 27001 был следующий:
▍Из положительного:
▍Из отрицательного:
▍Из практических результатов:
Оповещение сотрудников
Оповещение сотрудников о подготовке к сертификации это одновременно и возможность закрыть пункт A_7.2.2 Awareness, а также получить обратную связь на все написанные политики и процедуры.
В нашем случае удачной находкой стал чеклист для сотрудников. Политик много, и часто уже после прочтения первой появляется сонливость и уверенность в том, что все всему соответствует и нет необходимости читать дальше.
Загвоздка в том, что сертифицирующий орган будет спрашивать с сотрудников чтобы их действия соответствовали формальным процедурам написанным в документах. И желательно чтобы все отвечали примерно одно и то же.
Чеклист это просто список вопросов, разбитых по темам, например:
Тема: Безопасность офиса
— Я знаю, как активировать систему сигнализации
— Я знаю, как действовать в случае утери входного баджа
И т.д., такой чеклист сильно упрощает коммуникацию и снимает головную боль, появляется что-то практическое, с чем можно работать.
Что было дальше
Подготовка к сертификации не означает саму сертификацию. Впереди аудит сертифицирующего органа, интервью, предоставление доказательств действующих контролей. Кроме того, когда все пройдет успешно, надо будет подтверждать сертификацию каждый год. Но со временем это перестает казаться чем-то сложным или необычным. Совсем как простой финансовый аудит.
Как внедрить ISO 27001: инструкция по применению
На сегодняшний день вопрос информационной безопасности (далее – ИБ) компаний является одним из наиболее актуальных в мире. И это неудивительно, ведь во многих странах происходит ужесточение требований к организациям, которые хранят и обрабатывают персональные данные. В настоящее время российское законодательство требует сохранения значительной доли документооборота в бумажном виде. При этом ощутим тренд на цифровизацию: многие компании уже хранят большое количество конфиденциальной информации как в цифровом формате, так и в виде бумажных документов.
По итогам опроса аналитического центра Anti-Malware 86% респондентов отметили, что за год им хотя бы раз пришлось урегулировать инциденты после кибератак или в результате нарушения пользователями установленных регламентов. В связи с этим приоритетное внимание в бизнесе к информационной безопасности стало необходимостью.
В настоящее время корпоративная информационная безопасность – это не только комплекс технических средств, таких как антивирусы или межсетевые экраны, это уже комплексный подход к обращению с активами компании в целом и с информацией – в частности. Компании по-разному подходят к решению данных проблем. Сегодня мы хотели бы рассказать о внедрении международного стандарта ISO 27001 в качестве решения подобной проблемы. Для компаний на российском рынке наличие подобного сертификата упрощает взаимодействие с зарубежными клиентами и партнерами, у которых есть высокие требования в данном вопросе. ISO 27001 широко применяется на Западе и охватывает требования в области ИБ, которые должны покрываться используемыми техническими решениями, а также способствовать выстраиванию бизнес-процессов. Таким образом, данный стандарт может стать вашим конкурентным преимуществом и точкой соприкосновения с зарубежными компаниями. 
Данная сертификация Системы управления информационной безопасностью (далее – СУИБ) собрала в себе лучшие практики проектирования СУИБ и, что немаловажно, предусмотрела возможность выбора средств управления для обеспечения функционирования системы, требования к технологическому обеспечению безопасности и даже к процессу управления персоналом в компании. Ведь необходимо понимать, что технические сбои – это только часть проблемы. В вопросах ИБ огромную роль играет человеческий фактор, исключить или минимизировать который значительно сложнее.
Если ваша компания собирается пройти сертификацию по стандарту ISO 27001, то, возможно, вы уже пытались найти легкий путь, чтобы сделать это. Нам придется вас разочаровать: легких путей здесь нет. Однако есть определенные шаги, которые помогут подготовить организацию к международным требованиям по информационной безопасности:
1. Получите поддержку со стороны руководства
Вы можете считать это очевидным, но на практике этот момент часто упускают из виду. Более того, это одна из основных причин, почему зачастую проекты по внедрению ISO 27001 проваливаются. Без понимания значимости проекта по внедрению стандарта руководство не предоставит либо достаточное количество человеческих ресурсов, либо достаточный бюджет для сертификации.
2. Разработайте план подготовки к сертификации
Подготовка к сертификации по ISO 27001 – это комплексная задача, которая включает в себя разные виды работ, требует вовлечения большого количества людей и может длиться долгие месяцы (или даже годы). Поэтому очень важно составить детальный план проекта: распределить ресурсы, время и вовлечение людей на строго определенные задачи и следить за соблюдением дедлайнов – иначе вы можете никогда не закончить работу.
3. Определите периметр сертификации
Если у вас крупная организация с диверсифицированной деятельностью, вероятно, имеет смысл сертифицировать по ISO 27001 только часть бизнеса компании, что значительно снизит риски вашего проекта, а также его сроки и стоимость.
4. Разработайте политику информационной безопасности
Одним из важнейших документов является Политика информационной безопасности компании. В нем следует отразить цели вашей компании в области информационной безопасности и основные принципы управления ИБ, которая должны соблюдаться всеми сотрудниками. Задача этого документа – определить, чего руководство компании хочет достичь в области ИБ, а также каким образом это будет осуществляться и контролироваться.
5. Определите методологию оценки рисков
Одна из самых сложных задач – определение правил оценки рисков и управления ими. Важно понимать, какие риски компания может считать приемлемыми для себя, а какие требуют немедленных действий для их снижения. Без этих правил СУИБ не будет работать.
При этом стоит помнить об адекватности вырабатываемых мер, предпринимаемых для уменьшения рисков. Но не стоит сильно увлекаться процессом оптимизации, ведь они несут за собой в том числе и большие временные или финансовые затраты или могут быть просто невыполнимы. Рекомендуем вам при разработке мер по снижению рисков пользоваться принципом «минимальной достаточности».
6. Управляйте рисками согласно утвержденной методологии
Следующий этап – последовательное применение методологии управления рисками, то есть их оценка и обработка. Этот процесс должен осуществляться на регулярной основе с большой тщательностью. Поддерживая реестр рисков ИБ в актуальном состоянии, вы сможете эффективно распределять ресурсы компании и предотвращать серьезные инциденты.
7. Планируйте обработку рисков
Риски, превышающие приемлемый для вашей компании уровень, должны обязательно попадать в план обработки рисков. В нем должны фиксироваться действия, направленные на снижение рисков, а также ответственные за них лица и сроки.
8. Заполните Положение о применимости
Это ключевой документ, который будет изучаться специалистами из сертифицирующего органа при проведении аудита. В нем должно быть описано, какие механизмы контроля в области информационной безопасности применимы к деятельности вашей компании.
9. Определите, как будет измеряться эффективность средств управления ИБ
Любое действие должно иметь результат, ведущий к выполнению установленных целей. Поэтому важно четко определить, по каким параметрам будет измеряться достижение целей как для всей системы управления ИБ, так и для каждого выбранного механизма контроля из Приложения о применимости.
10. Внедрите средства управления ИБ
И только после реализации всех предыдущих шагов нужно приступить к внедрению применимых средств управления ИБ из Приложения о применимости. Самой большой сложностью здесь, конечно, будет являться внедрение совершенно нового образа действий во многих процессах вашей организации. Люди обычно сопротивляются новым политикам и процедурам, поэтому обратите внимание на следующий пункт.
11. Внедрите программы обучения для сотрудников
Все описанные выше пункты будут бессмысленны, если ваши сотрудники не понимают важности проекта и не действуют в соответствии с политиками ИБ. Если вы хотите, чтобы ваш персонал соблюдал все новые правила, сначала нужно объяснить людям, почему они необходимы, а затем провести обучение по СУИБ, осветив все важные политики, которые должны учитывать сотрудники в своей ежедневной работе. Отсутствие обучения персонала является распространенной причиной провала проекта по ISO 27001.
12. Поддерживайте процессы СУИБ
На этом этапе ISO 27001 становится повседневной рутиной в вашей организации. Чтобы подтвердить внедрение средств управления ИБ в соответствии со стандартом, аудиторам нужно будет предоставить записи – доказательства реальной работы механизмов контроля. Но в первую очередь записи должны помочь вам отслеживать, выполняют ли ваши сотрудники (и поставщики) свои задачи в соответствии с утвержденными правилами.
13. Подвергайте СУИБ мониторингу
Что происходит с вашей СУИБ? Сколько у вас инцидентов, какого они вида? Должным ли образом выполняются все процедуры? С помощью этих вопросов вы должны проверить, достигает ли компания целей в области информационной безопасности. Если нет, вы должны разработать план исправления ситуации.
14. Проводите внутренний аудит СУИБ
Цель внутреннего аудита – выявить несоответствие реальных процессов в компании утвержденным политикам в области ИБ. По большей части это проверка того, насколько ваши сотрудники выполняют правила. Это очень важный пункт, ведь если вы не контролируете работу своего персонала, организации может быть нанесен ущерб (умышленный или неумышленный). Но задача здесь не в том, чтобы найти виновных и наложить на них дисциплинарные взыскания за несоблюдение политик, а в том, чтобы исправить ситуацию и предотвратить будущие проблемы.
15. Организуйте анализ со стороны руководства
Руководство не должно настраивать ваш файрволл, но оно должно знать, что происходит в СУИБ: например, выполняют ли все свои обязанности и достигает ли СУИБ целевых результатов. Основываясь на этом, руководство должно принимать ключевые решения по совершенствованию СУИБ и внутренних бизнес-процессов.
16. Введите систему корректирующих и превентивных действий
Как и любой стандарт ISO 27001 требует «непрерывного улучшения»: систематического исправления и предотвращения несоответствий в системе управления информационной безопасностью. С помощью корректирующих и превентивных действий можно исправить несоответствие и предотвратить его повторное появление в будущем.
В заключение хочется сказать, что на самом деле пройти сертификацию намного сложнее, чем это описано в различных источниках. Подтверждением является тот факт, что в России на сегодняшний день всего 78 компаний прошли сертификацию на соответствие. При этом за рубежом это один из наиболее популярных стандартов, отвечающих растущим запросам бизнеса в области ИБ. Такая востребованность внедрения обусловлена не только ростом и усложнением типов угроз, но и требованиями законодательства, а также клиентов, которым необходимо сохранение полной конфиденциальности их данных.
Несмотря на то, что сертификация СУИБ является непростой задачей, сам факт выполнения требований международного стандарта ISO/IEC 27001 может дать серьезное конкурентное преимущество на глобальном рынке. Надеемся, что наша статья дала первичное понимание ключевых этапов при подготовке компании к сертификации.
Обучение по исо 27001
Ближайшие семинары
Новости
Институт приглашает представителей организаций различных отраслей принять участие в уникальных практических семинарах по тематике внедрения ISO 9001:2015, ISO 14001:2015, ISO 45001:2018, ISO 31000:2018, ISO/IEC 27001:2013, ISO 13485:2016, IATF 16949:2016, AS 9100, GDP, GMP, GLP, GPP, а также по проблемным вопросам технического регулирования в ЕАЭС и ЕС.
Институт реализует проект по взаимодействию с предприятиями из различных отраслей, ВУЗами, научными центрами, специалистами, молодыми учеными и предпринимателями.
Интернет журнал
ITRC
Видео
Подписка
на новости
Исследования
Система менеджмента информационной безопасности (СМИБ) является одним из наиболее эффективных инструментов, обеспечивающих защиту информационных активов и доверие заинтересованных сторон. Стандарт ISO/IEC 27001:2013 разработан совместным техническим комитетом Международной организации по стандартизации (ИСО) и Международной электротехнической комиссией (МЭК) в целях снижения рисков, влияющих на информационную безопасность организации, и устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению системы менеджмента информационной безопасности, а также требования к внедрению мер управления информационной безопасностью и ее контроля.
На разработку и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации. В свою очередь ISO/IEC 27001:2013 может использоваться организациями любой отрасли и формы собственности (например, коммерческими, государственными и некоммерческими организациями).
В Российской Федерации действует ГОСТ Р ИСО/МЭК 27001-2006, идентичный предыдущей версии международного стандарта ISO/IEC 27001:2005. Новая версия стандарта ISO/IEC 27001:2013 отменяет и заменяет предыдущую редакцию ISO/IEC 27001:2005.
При разработке стандарта ISO/IEC 27001:2013 были учтены положения ISO 9001 и ISO 14001, что дает возможность организациям осуществлять последовательное и интегрированное внедрение стандартов в рамках единой системы менеджмента.
Стандарт ISO/IEC 27001:2013, также как и основополагающий стандарт в области систем менеджмента (ISO 9001) основан на процессном подходе. Сотрудники Института технического регулирования, стандартизации и сертификации (ITRC) участвуют в разработке основополагающих международных стандартов на системы менеджмента – стандартов ИСО серии 9000 и являются представителями Российской Федерации в международном техническом комитете Международной организации по стандартизации ИСО/ТК 176 «Менеджмент качества и обеспечение качества», который координирует деятельность по разработке международных стандартов на системы менеджмента качества. Как международным экспертам по стандартизации нам важно, чтобы заложенные в международных стандартах требования были понятны пользователям, однозначны и при их реализации выполнялись основные принципы менеджмента и достигались основные цели применения стандартов. В связи с этим одной из основных задач Института технического регулирования, стандартизации и сертификации, как научно-методического центра в области систем менеджмента в Российской Федерации, является демонстрация организациям различных отраслей подходов к эффективному внедрению стандартов на системы менеджмента, что позволит организациям на системной основе повышать удовлетворенность как своих потребителей, так и собственного персонала и других заинтересованных сторон. Результат нашей деятельности – эффективные системы менеджмента.
Институт технического регулирования, стандартизации и сертификации (ITRC) оказывает следующие виды услуг:
— Разработка, внедрение и подготовка к сертификации систем менеджмента информационной безопасности в организациях различных отраслей на соответствие требованиям стандарта ISO/IEC 27001:2013;
— Разработка, внедрение и подготовка к сертификации систем менеджмента информационной безопасности в финансовых организациях на основе ISO/IEC 27001:2013 «Информационные технологии. Методы обеспечения безопасности. Руководство по менеджменту информационной безопасности для финансовых операций»;
— Разработка, внедрение и подготовка к сертификации систем менеджмента информационной безопасности в организациях энергетики на основе ISO/IEC 27001:2013 и ISO/IEC TR 27019:2017 «Информационные технологии. Методы обеспечения безопасности. Руководящие указания, касающиеся менеджмента информационной безопасности, на основе ISO/IEC 27002 для систем управления процессами, характерными для энергетики»;
— Внедрение метода оценки систем менеджмента информационной безопасности поставщиков и партнеров организаций на соответствие требованиям ISO/IEC 27001:2013 (аудит СМИБ 2-ой стороны);
— Интегрированное внедрение стандартов ISO/IEC 27001 и ISO/IEC 20000-1 в организациях различных отраслей на основе ISO/IEC 27013:2012 «Информационные технологии. Методы обеспечения безопасности. Руководство по интегрированному внедрению ISO/IEC 27001 и ISO/IEC 20000-1»;
— Предсертификационный аудит системы менеджмента информационной безопасности организации для получения уверенности в готовности к сертификации на соответствие требованиям ISO/IEC 27001:2013;
— Внедрение в организации методов менеджмента рисков информационной безопасности на основе ISO/IEC 27005:2011 «Информационные технологии. Методы обеспечения безопасности. Менеджмент рисков информационной безопасности»;
— Совершенствование методов измерений и мер измерения для оценки эффективности системы менеджмента информационной безопасности организации на основе ГОСТ Р ИСО/МЭК 27004-2011 (ISO/IEC 27004:2009) «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения»;
— Совершенствование систем менеджмента организаций на основе внедрения современных методов менеджмента (см. раздел «Методы менеджмента качества» на сайте);
— Автоматизация процессов систем менеджмента организаций (см. раздел «Автоматизация систем менеджмента»);
— Подготовка экспертов по разработке, внедрению и подготовке к сертификации системы менеджмента информационной безопасности на соответствие требованиям ISO/IEC 27001:2013, а также руководителей экспертных групп и экспертов по внутренним аудитам систем менеджмента информационной безопасности на основе ISO 19011:2018 и ISO/IEC 27007:2017 (см. раздел «Обучение»).
Обучение по исо 27001
ГОСТ Р ИСО/МЭК 27001-2006
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Information technology. Security techniques. Information security management systems. Requirements
Дата введения 2008-02-01
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России») и Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл») на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
6 ПЕРЕИЗДАНИЕ. Январь 2019 г.
Введение
0.1 Общие положения
Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). Внедрение СМИБ является стратегическим решением организации. На проектирование и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации. Предполагается, что вышеуказанные факторы и поддерживающие их системы будут изменяться во времени. Предполагается также, что СМИБ будет изменяться пропорционально потребностям организации, т.е. для простой ситуации потребуется простое решение по реализации СМИБ.
Положения настоящего стандарта могут быть использованы как внутри организации, так и внешними организациями для оценки соответствия.
0.2 Процессный подход
Настоящий стандарт предполагает использовать процессный подход для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации.
Для успешного функционирования организация должна определить и осуществить менеджмент многочисленных видов деятельности. Деятельность, использующая ресурсы и управляемая в целях преобразования входов в выходы, может быть рассмотрена как процесс. Часто выход одного процесса непосредственно формирует вход для следующего процесса.
Использование внутри организации системы процессов наряду с идентификацией и взаимодействием этих процессов, а также менеджмент процессов могут быть определены как «процессный подход».
Согласно предлагаемому настоящим стандартом процессному подходу применительно к менеджменту информационной безопасности (ИБ) особую значимость для пользователей имеют следующие факторы:
a) понимание требований информационной безопасности организации и необходимости установления политики и целей информационной безопасности;
b) внедрение и использование мер управления для менеджмента рисков ИБ среди общих бизнес-рисков организации;
c) мониторинг и проверка производительности и эффективности СМИБ;
d) непрерывное улучшение СМИБ, основанное на результатах объективных измерений.
Принятие модели PDCA также отражает принципы, установленные в директивах Организации экономического сотрудничества и развития (ОЭСР) и определяющие безопасность информационных систем и сетей [1]. Настоящий стандарт представляет наглядную модель для реализации на практике указанных принципов, которые позволяют осуществить оценку рисков, проектирование и реализацию системы информационной безопасности, ее менеджмент и переоценку.
1 Требование может заключаться в том, чтобы нарушения информационной безопасности не приводили к значительному финансовому ущербу для организации и/или к существенным затруднениям в ее деятельности.
2 Ожидаемым результатом может быть наличие в организации достаточно хорошо обученных сотрудников для проведения процедур, позволяющих минимизировать возможные неблагоприятные последствия в случае серьезного инцидента, например несанкционированного проникновения (атаки хакеров) на веб-сайт организации, через который она осуществляет электронную торговлю.
Связи между процессами, описанными в разделах 4, 5, 6, 7 и 8, представлены также в таблице 1.
Планирование (разработка СМИБ)
Разработка политики, установление целей, процессов и процедур СМИБ, относящихся к менеджменту риска и улучшению информационной безопасности, для достижения результатов, соответствующих общей политике и целям организации
Осуществление (внедрение и обеспечение функционирования СМИБ)
Внедрение и применение политики информационной безопасности, мер управления, процессов и процедур СМИБ
Проверка (проведение мониторинга и анализа СМИБ)
Оценка, в том числе, по возможности, количественная, результативности процессов относительно требований политики, целей безопасности и практического опыта функционирования СМИБ и информирование высшего руководства о результатах для последующего анализа
Действие (поддержка и улучшение СМИБ)
Проведение корректирующих и превентивных действий, основанных на результатах внутреннего аудита или другой соответствующей информации, и анализа со стороны руководства в целях достижения непрерывного улучшения СМИБ
0.3 Совместимость с другими системами менеджмента
Настоящий стандарт согласован со стандартами ИСО 9001:2000 «Системы менеджмента качества. Требования» [2] и ИСО 14001:2004 «Системы управления окружающей средой. Требования и руководство по применению» [3] в целях поддержки последовательного и интегрированного внедрения и взаимодействия с другими подобными взаимосвязанными стандартами в области менеджмента. Таким образом, одна правильно построенная система менеджмента в организации может удовлетворять требованиям всех этих стандартов.
Таблица С.1 иллюстрирует взаимосвязь между разделами настоящего стандарта, а также ИСО 9001:2000 и ИСО 14001:2004.
Настоящий стандарт позволяет организации регулировать СМИБ или интегрировать ее с соответствующими требованиями других систем менеджмента.
1 Область применения
1.1 Общие положения
Настоящий стандарт предназначен для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями). Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности (СМИБ) среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности (ИБ).
Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
1.2 Применение
Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности. Исключение любого из требований, указанных в разделах 4, 5, 6, 7 и 8, не допускается, если организация заявляет о соответствии ее СМИБ настоящему стандарту.
Любой отказ от применения той или иной меры управления, обусловленный необходимостью удовлетворения критериев принятия рисков, должен быть обоснован. Необходимо также наличие адекватных доказательств того, что подобные риски были уже приняты ответственными лицами. При исключении каких-либо мер управления заявления о соответствии организации настоящему стандарту неправомочны, кроме случаев, когда эти исключения не влияют на способность и/или обязанность организации обеспечивать информационную безопасность, которая соответствует требованиям безопасности, установленным соответствующими законодательными актами или определенными на основе оценок рисков.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующий стандарт:
Заменен на ISO/IEC 27002:2005.
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 активы (asset): Все, что имеет ценность для организации.
[ИСО/МЭК 13335-1:2004] [4]
3.2 доступность (availability): Свойство объекта находиться в состоянии готовности и возможности использования по запросу авторизованного логического объекта.
[ИСО/МЭК 13335-1:2004] [4]
3.3 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.
[ИСО/МЭК 13335-1:2004] [4]
3.4 информационная безопасность; ИБ (information security): Свойство информации сохранять конфиденциальность, целостность и доступность.
3.5 событие информационной безопасности (information security event): Идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью.
[ИСО/МЭК ТО 18044:2004] [5]
3.6 инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
— утрата услуг, оборудования или устройств;