Діє Редакція від 27.12.2006

Найменування документ	"ІНФОРМАЦІЙНА ТЕХНОЛОГІЯ. МЕТОДИ І ЗАСОБИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ. СИСТЕМИ МЕНЕДЖМЕНТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ. ВИМОГИ. ГОСТ Р ИСО/МЕК270.
Вид документа	наказ, стандарт, держстандарт, ісо
Прийняв орган	зростання регулювання
Номер документа	ІСО/МЕК 27001-2006
Дата прийняття	01.01.1970
Дата редакції	27.12.2006
Дата реєстрації в Мін'юсті	01.01.1970
Статус	діє
Публікація	На момент включення до бази документ опублікований не був
Навігатор	Примітки

"ІНФОРМАЦІЙНА ТЕХНОЛОГІЯ. МЕТОДИ І ЗАСОБИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ. СИСТЕМИ МЕНЕДЖМЕНТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ. ВИМОГИ. ГОСТ Р ИСО/МЕК270.

8. Поліпшення системи управління інформаційної безпеки

8.1. Постійне покращення

Організація повинна постійно підвищувати результативність ЗМІБ за допомогою уточнення політики ІБ, цілей ІБ, використання результатів аудитів, аналізу контрольованих подій, коригувальних та запобіжних дій, а також використання керівництвом результатів аналізу ЗМІБ (див. розділ 7).

8.2. Корегуюча дія

Організація повинна проводити заходи щодо усунення причин невідповідностей вимогам ЗМІБ з метою запобігти їх повторному виникненню. Документована процедура коригувальної дії повинна встановлювати вимоги щодо:

a) виявлення невідповідностей;

b) визначення причин невідповідностей;

C) оцінювання необхідності дій, щоб уникнути повторення невідповідностей;

d) визначення та реалізації необхідних коригувальних дій;

e) ведення записів результатів дій (див. 4.3.3);

f) аналізу вжитої коригуючої дії.

8.3. Попереджувальні дії

Організація повинна визначати дії, необхідні для усунення причин потенційних невідповідностей вимогам ЗМІБ, з метою запобігти їх повторній появі. Запобіжні дії, що вживаються, повинні відповідати наслідкам потенційних проблем. Документована процедура запобіжної дії повинна встановлювати вимоги щодо:

a) виявлення потенційних невідповідностей та їх причин;

b) оцінювання необхідності дії з метою запобігання появі невідповідностей;

c) визначення та реалізацію необхідної запобіжної дії;

d) записи результатів дії (див. 4.3.3);

e) аналізу результатів дії.

Організація має визначити зміни в оцінках ризиків та встановити вимоги до запобіжних дій, при цьому звертаючи особливу увагу на суттєво змінені кількісні показники ризиків.

Пріоритети щодо реалізації запобіжних дій мають бути визначені на основі результатів оцінки ризику.

Примітка - Зазвичай витрати на проведення заходів щодо запобігання невідповідності економічніші, ніж на коригувальні дії.

У світі інформаційних технологій пріоритетним стає питання забезпечення цілісності, надійності та конфіденційності інформації. Тому визнання необхідності наявності організації системи менеджменту інформаційної безпеки (СМИБ) є стратегічним рішенням.

Був розроблений для створення, впровадження, підтримки функціонування та безперервного поліпшенняЗМІБ на підприємстві. Також завдяки застосуванню цього Стандарту зовнішнім партнерам стає очевидною здатність організації відповідати власним вимогам щодо інформаційної безпеки. У цій статті йтиметься про основні вимоги Стандарту та обговорення його структури.

(ADV31)

Основні завдання стандарту ISO 27001

Перш ніж переходити до опису структури Стандарту, обговоримо його основні завдання та розглянемо історію появи Стандарту в Росії.

Завдання Стандарту:

• встановлення єдиних вимог для всіх організацій до створення, впровадження та покращення ЗМІБ;
• забезпечення взаємодії вищого керівництва та співробітників;
• збереження конфіденційності, цілісності та доступності інформації.

При цьому вимоги, встановлені Стандартом, є загальними та призначені для застосування будь-якими організаціями, незалежно від їхнього типу, розміру чи характеру.

Історія Стандарту:

• У 1995 р. Британський інститут стандартів (BSI) прийняв Кодекс управління інформаційною безпекою як національний стандарт Великобританії та зареєстрував його під номером BS 7799 – Part 1.
• У 1998 р. BSI публікує стандарт BS7799-2, що складається з двох частин, одна з яких включила зведення практичних правил, а інша - вимоги до систем менеджменту інформаційної безпеки.
• У процесі наступних переглядів першу частину було опубліковано як BS 7799:1999, Частина1. У 1999 році цю версію стандарту було передано до Міжнародної Організації з Сертифікації.
• Цей документ був затверджений у 2000 році як міжнародний стандарт ISO/IEC 17799:2000 (BS 7799-1:2000). Останньою версією цього стандарту, прийнятою в 2005 році, є ISO/IEC 17799:2005.
• У вересні 2002 року набула чинності друга частина стандарту BS 7799 «Специфікація системи управління інформаційною безпекою». Друга частина BS 7799 переглядалася в 2002 р., а наприкінці 2005 р. була прийнята ISO як міжнародний стандарт ISO/IEC 27001:2005 «Інформаційні технології – Методи забезпечення безпеки – Системи управління інформаційною безпекою – Вимоги».
• У 2005 р. стандарт ISO/IEC 17799 був включений до лінійки стандартів 27-ої серії та отримав новий номер- ISO/IEC 27002:2005.
• 25 вересня 2013 був опублікований оновлений стандарт ISO/IEC 27001:2013 «Системи Менеджменту Інформаційної Безпеки. Вимоги». В даний час сертифікація організацій проводиться за цією версією стандарту.

Структура Стандарту

Однією з переваг даного Стандарту є схожість його структури з ISO 9001, оскільки містить ідентичні заголовки підрозділів, ідентичний текст, загальні терміни та основні визначення. Ця обставина дозволяє заощадити час і гроші, оскільки частина документації вже була розроблена під час сертифікації ISO 9001.

Якщо говорити про структуру Стандарту, то є перелік вимог до ЗМІБ, обов'язкових для сертифікації та складається з наступних розділів:

Основні розділи	Додаток А
0. Вступ	A.5 Політики інформаційної безпеки
1. Область застосування	A.6 Організація інформаційної безпеки
2. Нормативні посилання	A.7 Безпека людських ресурсів (персоналу)
3. Терміни та визначення	A.8 Керування активами
4. Контекст організації	A.9 Керування доступом
5. Лідерство	A.10 Криптографія
6. Планування	A.11 Фізична безпека та захист від навколишнього середовища
7. Підтримка	A.12 Безпека операцій
8. Операції (Експлуатація)	A.13 Безпека комунікацій
9. Оцінка (Вимірювання) результативності	A.14 Придбання, розробка та обслуговування інформаційних систем
10. Вдосконалення (Покращення)	A.15 Взаємини із постачальниками
	A.16 Менеджмент інцидентів
	A.17 Забезпечення безперервності бізнесу
	A.18 Відповідність законодавству

Вимоги «Додатка А» є обов'язковими до виконання, але стандарт дозволяє виключити напрями, які неможливо застосувати для підприємства.

При впровадженні Стандарту на підприємстві для проходження подальшої сертифікації слід пам'ятати, що не допускається винятків вимог, встановлених у розділах 4 - 10. Про ці розділи йтиметься далі.

Почнемо з розділу 4 – Контекст організації

Контекст організації

У цьому розділі Стандарт вимагає від організації визначити зовнішні та внутрішні проблеми, які значущі з точки зору її цілей, та які впливають на здатність її ЗМІБ досягати очікуваних результатів. При цьому слід враховувати законодавчі та нормативні вимоги та договірні зобов'язання щодо інформаційної безпеки. Також організація має визначити та документально зафіксувати межі та застосовність ЗМІБ, щоб встановити її сферу дії.

Лідерство

Найвище керівництво має демонструвати лідерство та зобов'язання щодо системи менеджменту інформаційної безпеки за допомогою, наприклад, гарантії того, що інформаційна політика безпеки та цілі у сфері інформаційної безпеки встановлені та узгоджуються зі стратегією організації. Також вище керівництво має гарантувати забезпечення всіма необхідними ресурсами для ЗМІБ. Іншими словами, для працівників має бути очевидним залучення керівництва у питання інформаційної безпеки.

Повинна бути документально зафіксована та доведена до відома працівників політика у сфері інформаційної безпеки. Цей документ нагадує політику якості ISO 9001. Він також повинен відповідати призначенню організації та включати цілі в галузі інформаційної безпеки. Добре, якщо це будуть реальні цілі, на кшталт збереження конфіденційності та цілісності інформації.

Також від керівництва очікується розподіл функцій та обов'язків, пов'язаних із інформаційною безпекою серед працівників.

Планування

У цьому розділі ми підходимо до першого етапу управлінського принципу PDCA (Plan – Do – Check – Act) – плануй, виконуй, перевіряй, дій.

Плануючи систему управління інформаційною безпекою, організація повинна взяти до уваги проблеми, згадані в розділі 4, а також визначити ризики та потенційні можливості, які необхідно взяти до уваги, щоб гарантувати, що ЗМІБ може досягати очікуваних результатів, запобігти небажаним ефектам і досягати безперервного вдосконалення.

При плануванні, яким чином досягти своїх цілей у сфері інформаційної безпеки, організація має визначити:

• що буде зроблено;
• які ресурси потрібні;
• хто буде відповідальним;
• коли мети буде досягнуто;
• як результати оцінюватимуться.

Крім того, організація повинна зберігати дані щодо цілей у сфері інформаційної безпеки як документовану інформацію.

Забезпечення

Організація повинна визначити та забезпечити ресурси, необхідні для розробки, впровадження, підтримки функціонування та безперервного поліпшення ЗМІБ, це включає як персонал, так і документацію. Щодо персоналу від організації очікується підбір кваліфікованих та компетентних працівників у галузі інформаційної безпеки. Кваліфікація працівників має підтверджуватись посвідченнями, дипломами тощо. Можливе залучення за контрактом сторонніх фахівців або навчання своїх працівників. Щодо документації, вона повинна включати:

• документовану інформацію, потрібну Стандартом;
• документовану інформацію, визнану організацією необхідною задля забезпечення результативності системи менеджменту інформаційної безпеки.

Документованою інформацією, необхідною ЗМІБ та Стандартом, необхідно керувати, щоб гарантувати, що вона:

• доступна та придатна для застосування там, де і коли вона необхідна, та
• належним чином захищена (наприклад, від втрати конфіденційності, неправильного використання чи втрати цілісності).

Функціонування

У цьому розділі йдеться про другий етап управлінського принципу PDCA - необхідності організації керувати процесами для забезпечення відповідності вимогам і виконувати дії, визначені в розділі Планування. Також сказано, що організація повинна оцінювати ризики інформаційної безпеки через заплановані інтервали часу або коли запропоновані або відбулися суттєві зміни. Організація повинна зберігати результати оцінки ризиків інформаційної безпеки як документовану інформацію.

Оцінка результатів діяльності

Третій етап – перевірка. Організація має оцінювати функціонування та результативність ЗМІБ. Наприклад, у ній повинен проводитися внутрішній аудит, щоб отримувати інформацію про те,

1. чи відповідає система менеджменту інформаційної безпеки
   • власним вимогам організації до системи менеджменту інформаційної безпеки;
   • вимог стандарту;
2. що система менеджменту інформаційної безпеки результативно впроваджена та функціонує.

Вочевидь, що обсяг і терміни проведення аудитів мають плануватися заздалегідь. Усі результати необхідно документувати та зберігати.

Поліпшення

Суть цього розділу полягає в тому, щоб визначити порядок дій при виявленні невідповідності. Організації необхідно виправляти невідповідність, наслідки та провести аналіз ситуації, щоб у майбутньому подібне не відбувалося. Усі невідповідності та коригувальні дії повинні документуватися.

На цьому закінчуються основні розділи стандарту. У Додатку А наводяться більш конкретні вимоги, яким має відповідати організація. Наприклад, у плані контролю доступу, користування мобільних пристроївта носіїв інформації.

Вигоди від впровадження та сертифікації ISO 27001

• підвищення статусу організації та відповідно довіри партнерів;
• підвищення стабільності функціонування організації;
• підвищення рівня захисту від загроз інформаційної безпеки;
• забезпечення необхідного рівня конфіденційності інформації зацікавлених сторін;
• розширення можливостей участі організації у великих контрактах.

Економічними перевагами є:

• незалежне підтвердження сертифікаційним органом наявності в організації високого рівняінформаційної безпеки, контрольованого компетентним персоналом;
• доказ дотримання чинних законів та нормативних актів (виконання системи обов'язкових вимог);
• демонстрація певного високого рівня систем менеджменту для забезпечення належного рівня обслуговування клієнтів та партнерів організації;
• демонстрація проведення регулярних аудитів систем менеджменту, оцінки результативності та постійних покращень.

Сертифікація

Організація може бути сертифікована акредитованими агентствами відповідно до цього стандарту. Процес сертифікації складається із трьох етапів:

• 1-ий етап- вивчення аудитором ключових документів ЗМІБ на відповідність вимогам Стандарту-може виконуватися як на території організації, так і шляхом передачі цих документів зовнішньому аудитору;
• Другий етап - детальний аудит, включаючи тестування впроваджених заходів, та оцінка їх ефективності. Включає повне вивчення документів, які потребують стандарту;
• Третій етап - виконання інспекційного аудиту на підтвердження, що сертифікована організація відповідає заявленим вимогам. Виконується на періодичній основі.

Підсумок

Як можна побачити, застосування цього стандарту на підприємстві дозволить якісно підвищити рівень інформаційної безпеки, що в умовах сучасних реалій дорогого вартує. Вимог Стандарт містить чимало, але найголовніша вимога - робити те, що написано! Без реального застосування вимог стандарту він перетворюється на порожній набір папірців.

(СМІБ)- та частина загальної системи менеджменту, яка заснована на підході бізнес-ризиків при створенні, впровадженні, функціонуванні, моніторингу, аналізі, підтримці та покращенні інформаційної безпеки.

У разі побудови відповідно до вимог ISO/IEC_27001 базується на моделі PDCA:

Plan(Планування) - фаза створення ЗМІБ, створення переліку активів, оцінки ризиків та вибору заходів;

Do(Дія) - етап реалізації та впровадження відповідних заходів;

Check(Перевірка) - фаза оцінки ефективності та продуктивності ЗМІБ. Зазвичай виконується внутрішніми аудиторами.

Act(Покращення) - виконання превентивних та коригувальних дій;

Поняття інформаційної безпеки

Стандарт ISO 27001 визначає інформаційну безпеку як: збереження конфіденційності, цілісності та доступності інформації; крім того, можуть бути включені інші властивості, такі як справжність, неможливість відмови від авторства, достовірність ».

Конфіденційність - Забезпечення доступності інформації тільки для тих, хто має відповідні повноваження (авторизовані користувачі).

Цілісність – забезпечення точності та повноти інформації, а також методів її обробки.

Доступність – забезпечення доступу до інформації авторизованим користувачам, коли це необхідно (на вимогу).

4 Система менеджменту інформаційної безпеки

4.1 Загальні вимоги

Організація повинна вводити, виконувати, використовувати, контролювати, переглядати, підтримувати та вдосконалювати документовані положення ЗМІБ у рамках усієї бізнес-діяльності організації, а також ризиків, з якими вона стикається. Заради практичної користі даного Міжнародного Стандартупроцес, що використовується, грунтується на моделі PDCA, показаної на рис. 1.

4.2 Створення та менеджмент ЗМІБ

4.2.1 Створення ЗМІБ

Організація має зробити таке.

a) Враховуючи особливості діяльності організації, самої організації, її розташування, активів та технології, визначити масштаб та межі ЗМІБ, включаючи деталі та обґрунтування виключень будь-яких положень документа з проекту ЗМІБ (див.1.2).

b) Враховуючи особливості діяльності організації, самої організації, її розташування, активів та технології, розробити політику ЗМІБ яка:

1) включає систему постановки цілей (завдань) та встановлює загальний напрямок керівництва та принципи дії щодо інформаційної безпеки;

2) бере до уваги ділові та юридичні чи регулятивні вимоги, договірні зобов'язання з безпеки;

3) приєднана до стратегічного середовища управління ризиком, у якому має місце створення та підтримка ЗМІБ;

4) встановлює критерії, за якими оцінюватиметься ризик (див. 4.2.1 с)); і

5) затверджено керівництвом.

ПРИМІТКА: З метою цього Міжнародного Стандарту політикою ЗМІБ вважається розширений набір політик інформаційної безпеки. Ці політики можна описати в одному документі.

c) Розробити концепцію оцінки ризику організації.

1) Визначити методологію оцінки ризику, що підходить СМІБ, та встановленої ділової інформаційної безпеки, юридичних та регулятивних вимог.

2) Розробляти критерії прийняття ризику та визначати прийнятні рівні ризику (див. 5.1f).

Вибрана методологія оцінки ризику повинна гарантувати, що оцінка ризику приносить порівняні та відтворювані результати.

Існують різні методології оцінки ризику. Приклади методологій оцінки ризику розглянуті у МОС/МЕК ТУ 13335-3, Інформаційні технології – Рекомендації до менеджментуITБезпеки - Методи менеджментуITБезпеки.

d) Виявити ризики.

1) Визначити активи в рамках положень ЗМІБ та власників2 (2 Термін «власник» ототожнюється з індивідом або суб'єктом, яка затверджена нести відповідальність за контроль виробництва, розвитку, технічне обслуговування, застосування та безпеки активів. Термін «власник» не означає, що особа дійсно має будь-які права власності на актив цих активів.

2) Виявити небезпеку для цих активів.

3) Виявити вразливі місця у системі захисту.

4) Виявити впливи, що руйнують конфіденційність, цілісність та доступність активів.

e) Проаналізувати та оцінити ризики.

1) Оцінити збитки бізнесу організації, які можуть бути завдані внаслідок неспроможності системи захисту, і навіть бути наслідком порушення конфіденційності, цілісності, чи доступності активів.

2) Визначити ймовірність провалу системи безпеки у світлі переважаючих небезпек та вразливостей, ударів, пов'язаних з активами та впроваджених в даний час елементів управління.

3) Оцінити рівні ризику.

4) Визначити прийнятність ризику або ж вимагати його скорочення, використовуючи критерії допустимості ризику, встановлені в 4.2.1с)2).

f) Виявити та оцінити інструменти для скорочення ризику.

Можливі дії включають:

1) застосування відповідних елементів управління;

2) Свідоме та об'єктивне прийняття ризиків, що гарантує їхню безумовну відповідність вимогам політики організації та критеріям допустимості ризику (див. 4.2.1с)2));

3) Уникнення ризику; і

4) Передача відповідних бізнес-ризиків іншій стороні, наприклад, страховим компаніям, постачальникам.

g) Вибрати завдання та засоби керування для скорочення ризиків.

Завдання та засоби управління повинні бути обрані та впроваджені відповідно до вимог, встановлених процесом оцінки ризику та скорочення ризику. Цей вибір повинен враховувати як критерії допустимості ризику (див. 4.2.1с)2), так і юридичні, регулятивні та договірні вимоги.

Завдання та засоби керування з Додатка A мають бути обрані як частина цього процесу, що відповідають встановленим вимогам.

Оскільки в Додатку А перераховані не всі завдання та засоби управління, то можуть бути обрані додаткові.

ПРИМІТКА: Додаток А містить всебічний список цілей управління, визначених як найбільш значущі для організацій. Щоб не пропустити жоден важливий пункт з опцій керування, цим Міжнародним Стандартом слід орієнтуватися на Додаток А як на відправний пункт для контролю вибірки.

h) Досягти затвердження управління ймовірними залишковими ризиками.

4) сприяти виявленню подій безпеки і, таким чином, використовуючи певні показники, попереджати інциденти безпеки; і

5) визначити ефективність дій, вжитих для запобігання порушенням безпеки.

b) Проводити регулярні перевірки ефективності ЗМІБ (включаючи обговорення політики ЗМІБ та її завдань, перевірку засобів управління безпекою), беручи до уваги результати аудитів, інцидентів, результати вимірювань ефективності, пропозиції та рекомендації всіх заінтересованих сторін.

c) Оцінити ефективність засобів управління, щоб виявити, чи задоволені вимоги безпеки.

d) Перевірити оцінку ризиків за запланованими періодами та перевірити залишкові ризики та допустимі рівні ризиків, беручи до уваги зміни в:

1) організації;

2) технології;

3) бізнес-цілях та процесах;

4) ідентифіковані загрози;

5) ефективності впроваджених засобів управління; і

6) зовнішні події, такі як зміни в юридичному та управлінському середовищі, змінені договірні зобов'язання, зміни соціального клімату.

e) Проводити внутрішні аудитиЗМІБ у заплановані періоди (див. 6)

ПРИМІТКА: Внутрішні аудити, які іноді називають первинними аудитами, проводяться від імені самої організації в її власних цілях.

f) На регулярній основі проводити перевірку управління ЗМІБ, щоб переконатися, що становище залишається придатним, а ЗМІБ удосконалюється.

g) Оновлювати плани безпеки з урахуванням даних, отриманих у результаті моніторингу та перевірки.

h) Записувати дії та події, які можуть вплинути на ефективність або продуктивність ЗМІБ (див. 4.3.3).

4.2.4 Підтримка та вдосконалення ЗМІБ

Організація має постійно робити таке.

a) Впроваджувати до ЗМІБ певні виправлення.

b) Вживати відповідних коригувальних та превентивних заходів відповідно до 8.2 та 8.3. Застосовувати знання, накопичені самою організацією та отримані з досвіду інших організацій.

c) Повідомляти про свої дії та вдосконалення всім зацікавленим сторонаму ступені деталізації, що відповідає обстановці; і, відповідно, узгоджувати свої дії.

d) Переконатися, що покращення досягли наміченої мети.

4.3 Вимоги щодо забезпечення документацією

4.3.1 Загальні положення

Документація повинна містити протоколи (записи) управлінських рішень, переконувати у цьому, що необхідність дій обумовлена ​​рішеннями та політикою менеджмента; і переконувати у відтворюваності записаних результатів.

Важливо вміти демонструвати Зворотній зв'язокобраних засобів управління з результатами процесів оцінки ризику та його скорочення, і далі з політикою ЗМІБ та її цілями.

До документації ЗМІБ необхідно включити:

a) документовані формулювання політики та цілей ЗМІБ (див. 4.2.1b));

b) положення ЗМІБ (див. 4.2.1);

c) концепцію та засоби управління на підтримку ЗМІБ;

d) опис методології оцінки ризику (див. 4.2.1с));

e) звіт про оцінку ризику (див. 4.2.1с) – 4.2.1g));

f) план скорочення ризику (див. 4.2.2b));

g) документовану концепцію, необхідну організаціюдля забезпечення ефективності планування, функціонування та управління процесами її інформаційної безпеки та опису способів вимірювання ефективності засобів управління (див. 4.2.3с));

h) документи, потрібні цим Міжнародним стандартом (див. 4.3.3); і

i) Затвердження про застосовність.

ПРИМІТКА 1: У рамках цього Міжнародного Стандарту термін "документована концепція" означає, що концепція впроваджена, документована, виконується та дотримується.

ПРИМІТКА 2: Розмір документації ЗМІБ у різних організаціях може коливатися залежно від:

Розміру організації та типу її активів; і

Масштабу та складності вимог безпеки та керованої системи.

ПРИМІТКА 3: Документи та звіти можуть надаватись у будь-якій формі.

4.3.2 Контроль документів

Документи, потрібні ЗМІБ, необхідно захищати та регулювати. Необхідно затвердити процедуру документації, необхідну для опису управлінських дій щодо:

a) встановлення відповідності документів певним нормам до їх опублікування;

b) перевірку та оновлення документів як необхідності, перезатвердження документів;

c) забезпечення відповідності змін поточному стану виправлених документів;

d) забезпечення доступності важливих версій чинних документів;

e) забезпечення зрозумілості та читабельності документів;

f) забезпечення доступності документів тим, кому вони необхідні; а також їх передачі, зберігання та, нарешті, знищення відповідно до процедур, що застосовуються залежно від їх класифікації;

g) встановлення справжності документів із зовнішніх джерел;

h) контролю за поширенням документів;

i) запобігання ненавмисному використанню документів; і

j) застосування до них відповідного способу ідентифікації, якщо вони зберігаються просто про всяк випадок.

4.3.3 Контроль записів

Записи повинні створюватися та зберігатися для того, щоб забезпечити підтвердження відповідності вимогам та ефективне функціонування ЗМІБ. Записи необхідно захищати та перевіряти. ЗМІБ має враховувати будь-які юридичні та регулятивні вимоги та договірні зобов'язання. Записи мають бути зрозумілі, легко ідентифіковані та відновні. Засоби управління, необхідні для ідентифікації, зберігання, захисту, відновлення, тривалості зберігання та знищення записів, повинні бути документально затверджені та введені в дію.

У записі необхідно включати інформацію про проведення заходів, описаних у 4.2, та про всі події та значущі для безпеки інциденти, що стосуються ЗМІБ.

Прикладами записів є гостьова книга, протоколи аудиту та заповнені форми авторизації доступу.

Справді, ніяково. Ми повідомляли про швидкий вихід стандарту ISO 45001, який має замінити нинішній стандарт управління охороною праці OHSAS 18001, говорили, що чекати його треба наприкінці 2016 року… Вже опівночі наближається, а Германа все немає. Настав час визнати — ISO 45001 затримується. Щоправда, з поважних причин. У експертної спільноти виникло дуже багато запитань до неї. […]

Подвійна стаття планується. Міжнародна організаціяіз стандартизації чітко висловила свою позицію щодо використання маркування її стандартів на продукції — ISO каже «не можна». Проте підприємці хочуть таки хочуть робити це. Як ним бути? Чому ні, власне? Передісторія питання є такою. Як ви розумієте, стандарти ISO не мають безпосереднього відношення до продукції, що випускається сертифікованими підприємствами. […]

Доб'ємо тему. Минулої статті ми з вами розпочали розмову про вісім принципів СУЯ. Принципи, на яких будується будь-яка система менеджменту якості. Наша мета полягає в тому, щоб перевести ці принципи з мови бізнес-тренерів на людську мову. Щоб із них можна було отримати реальну користь. Про орієнтацію на споживача говорили. Говорили, як робити не «щось […]

Про менеджмент якості говорять багато хто. Але кажуть чомусь так, що нічого незрозуміло. Отже, менеджмент якості залишається словами. Занадто розумними словами. Давайте перекладемо їх на нормальну мову і зрозуміємо, чим принципи управління якістю реально допомагають покращити діяльність компанії. Обійдемося без довгих прелюдій. Загалом актуальні зараз системи управління якістю, найпопулярнішою з яких є […]

Проектний менеджмент… Упевнений, знайдеться чимало людей, які надто довго спілкувалися з усілякими бізнес-консультантами — і тепер від одного словосполучення починають відчувати легку нудоту. Що робити? Давайте просто викинемо бізнес-консультантів із голови та викладемо справу людською мовою. Проектний менеджмент — це не обов'язково людина у білій сорочці, яка малює складні діаграми та блок-схеми маркером на […]

ГОСТ Р ІСО/МЕК 27001-2006 « Інформаційна технологія. Методи та засоби забезпечення безпеки. Системи управління інформаційної безпеки. Вимоги»

Розробники стандарту відзначають, що він був підготовлений як модель для розробки, впровадження, функціонування, моніторингу, аналізу, підтримки та покращення системи менеджменту інформаційної безпеки (СМІБ). ЗМІБ (англ. - information security management system; ISMS) визначається як частина загальної системи менеджменту, заснована на використанні методів оцінки бізнес-ризиків для розробки, впровадження, функціонування, моніторингу, аналізу, підтримки та покращення інформаційної безпеки. Система менеджменту включає в себе організаційну структуру, політики, діяльність з планування, розподіл відповідальності, практичну діяльність, процедури, процеси та ресурси

Стандарт передбачає використання процесного підходу для розробки, впровадження, забезпечення функціонування, моніторингу, аналізу, підтримки та покращення ЗМІБ організації. Він заснований на моделі «Планування (Plan) – Здійснення (Do) – Перевірка (Check) – Дія (Act)» (PDCA), яка може бути застосована при структуруванні всіх процесів ЗМІБ. На рис. 4.4 показано, як ЗМІБ, використовуючи як вхідні дані вимоги ІБ та очікувані результати заінтересованих сторін, за допомогою необхідних дій та процесів видає вихідні дані за результатами забезпечення інформаційної безпеки, які відповідають цим вимогам та очікуваним результатам.

Рис. 4.4.

На етапі "Розробка системи менеджменту інформаційної безпеки"організація має здійснити таке:

• - визначити область та межі дії ЗМІБ;
• - визначити політику ЗМІБ на основі характеристик бізнесу, організації, її розміщення, активів та технологій;
• - Визначити підхід до оцінки ризику в організації;
• - Ідентифікувати ризики;
• - проаналізувати та оцінити ризики;
• - Визначити та оцінити різні варіанти обробки ризиків;
• - вибрати цілі та заходи управління для обробки ризиків;
• - Отримати затвердження керівництвом передбачуваних залишкових ризиків;
• - отримати дозвіл керівництва на впровадження та експлуатацію ЗМІБ;
• - підготувати Положення про застосування.

Етап « Впровадження та функціонування системи менеджменту інформаційної безпеки»передбачає, що організація має:

• - розробити план обробки ризиків, який визначає відповідні дії керівництва, ресурси, обов'язки та пріоритети щодо менеджменту ризиків ІБ;
• - реалізувати план обробки ризиків для досягнення намічених цілей управління, що включає питання фінансування, а також розподіл функцій і обов'язків;
• - Впровадити обрані заходи управління;
• - Визначити спосіб вимірювання результативності обраних заходів управління;
• - реалізувати програми з навчання та підвищення кваліфікації співробітників;
• - керувати роботою ЗМІБ;
• - керувати ресурсами ЗМІБ;
• - впровадити процедури та інші заходи управління, що забезпечують швидке виявлення подій ІБ та реагування на інциденти, пов'язані з ІБ.

Третій етап « Проведення моніторингу та аналізу системи менеджменту інформаційної безпеки»вимагає:

• - виконувати процедури моніторингу та аналізу;
• - проводити регулярний аналіз результативності ЗМІБ;
• - Вимірювати результативність заходів управління для перевірки відповідності вимогам ІБ;
• - переглядати оцінки ризиків через встановлені періоди часу, аналізувати залишкові ризики та встановлені прийнятні рівні ризиків з огляду на зміни;
• - проводити внутрішні аудити ЗМІБ через встановлені періоди;
• - регулярно проводити керівництвом організації аналіз ЗМІБ з метою підтвердження адекватності сс функціонування та визначення напрямів удосконалення;
• - оновлювати плани ІБ з урахуванням результатів аналізу та моніторингу;
• - реєструвати дії та події, здатні вплинути на результативність або функціонування ЗМІБ.

І нарешті, етап «Підтримка та покращення системи менеджменту інформаційної безпеки»передбачає, що організація має регулярно проводити такі заходи:

• - виявляти можливості покращення ЗМІБ;
• - робити необхідні коригувальні та попереджувальні дії, використовувати на практиці досвід із забезпечення ІБ, отриманий як у власній організації, так і в інших організаціях;
• - передавати докладну інформацію про дії щодо покращення ЗМІБ усім заінтересованим сторонам, при цьому ступінь її деталізації має відповідати обставинам та, за необхідності, узгоджувати подальші дії;
• - забезпечувати впровадження покращень ЗМІБ для досягнення запланованих цілей.

Далі в стандарті наводяться вимоги до документації, яка повинна включати положення політики ЗМІБ та опис галузі, опис методики та звіт про оцінку ризиків, план обробки ризиків, документування пов'язаних процедур. Також має бути визначений процес управління документами ЗМІБ, що включає актуалізацію, використання, зберігання та знищення.

Для надання свідоцтв відповідності вимогам та результативності функціонування ЗМІБ необхідно вести та підтримувати у робочому стані облікові записита записи про виконання процесів. Як приклади називаються журнали реєстрації відвідувачів, звіти про результати аудиту тощо.

Стандарт визначає, що керівництво організації є відповідальним за забезпечення та управління ресурсами, необхідними для створення ЗМІБ, а також організацію підготовки персоналу.

Як уже зазначалося раніше, організація повинна відповідно до затвердженого графіка проводити внутрішні аудити ЗМІБ, що дозволяють оцінити її функціональність та відповідність стандарту. А керівництво має проводити аналіз системи управління інформаційної безпеки.

Також повинні проводитися роботи з поліпшення системи менеджменту інформаційної безпеки: підвищення її результативності та рівня відповідності поточного стану системи та вимог, що висуваються до неї.