Iso IEC 27001 Плюсы и минусы

INTERNATIONAL

STANDARD 

    ISO/IEC

    27001 

                      First edition 2005-10-15 

 
 
 
 
 
 
Information technology — Security techniques — Information security management systems — Requirements

Technologies de /'information Techniques de securite Systemes de gestion de securite de /'information Exigences

 
Технологии информационные. Методы обеспечения защиты. Системы управления информации. Требования

    
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 

Reference number

ISO/IEC 27001:2005(Е)

     
    © ISO/IEC 2005

 

 

Содержание

 

Предисловие

МОС (Международная организация по стандартизации) и МЭК (Международная электротехническая комиссия) формируют специализированную систему стандартизации, распространённую во всём мире. Национальные организации, являющиеся членами МОС и МЭК, участвуют в развитии Международных Стандартов посредством технических комиссий, учреждённых соответствующей организацией, чтобы работать с особыми сферами технической деятельности. Технические комиссии МОС и МЭК сотрудничают в сферах взаимного интереса. Другие международные организации, государственные либо негосударственные, совместно с МОС и МЭК также участвуют в работе. В сфере информационных технологий МОС и МЭК учредили совместную комиссию, МОС/МЭК ОТК.

Международные Стандарты проектируются в соответствии с правилами, описанными в Положениях МОС/МЭК, Часть 2.

Главная задача объединённой технической комиссии состоит в подготовке Международных Стандартов. Проекты Международных Стандартов, принимаемые объединённой технической комиссией, передаются национальным комиссиям на рассмотрение и голосование. Для издания Международных Стандартов необходимо набрать 75% голосов национальных организаций.

Особое  внимание привлекает вероятность того, что некоторые элементы данного  документа могут быть запатентованы. МОС и МЭК не несут ответственность  за определение некоторых или  всех таких патентов.

Стандарт МОС/МЭК 27001 был подготовлен Объединённой Электротехнической Комиссией МОС/МЭК ОТК 1, Информационные технологии, Подкомиммия ПК 27, Способы защиты ИТ. 

 

0   Введение 

0.1 Общие положения 

Данный Международный Стандарт разработан для создания модели по созданию, внедрению, использованию, мониторингу, проверке, поддержке и совершенствованию Системы Менеджмента Информационной Безопасности (СМИБ). Утверждение СМИБ должно стать стратегическим решением для организации. Проектирование и внедрение СМИБ в организации зависит от ёё нужд и целей, требований безопасности, применяющихся процессов (технологических приёмов), а также её размера и структуры. Предполагается, что со временем такие системы, а также их поддерживающие, изменятся. Полагают, что внедрение СМИБ будет проводиться по определённой шкале в соответствии с нуждами организации, например, простая ситуация требует и простого решения СМИБ.

Данный Международный  Стандарт может быть использован заинтересованными внутренней и внешней сторонами для определения соответствия системы нормам безопасности. 

0.2 Концепция процесса менеджмента 

Данный Международный  Стандарт утверждает концепцию процесса создания, внедрения, использования, мониторинга, проверки, поддержки и совершенствования СМИБ организации.

Для эффективного функционирования организации приходится идентифицировать и управлять многими процессами. Процессом может считаться любое действие, использующее ресурсы, и управляемое в целях преобразования входных данных в выходные. Зачастую результат одного процесса обращается непосредственно во входной сигнал другого.

Применение  системы процессов в рамках организации  наряду с идентификацией и взаимодействием  этих процессов, их менеджментом, можно  рассматривать как “концепцию процесса”.

Представленная в данном Международном Стандарте концепция процесса менеджмента информационной безопасности заставляет тех, кто её использует, задуматься о важности таких моментов, как:

а) понимание  требований информационной безопасности организации и необходимости  проводить политику и устанавливать  цели информационной безопасности;

б) введение директив по внедрению и эксплуатации для управления рисками информационной безопасности организации в контексте  суммарных бизнес-рисков организации;

в) мониторинг и проверка качества функционирования и эффективности СМИБ; а также

г) постоянное совершенствование, основанное на реальных оценках.

Данный Международный  Стандарт утверждает модель “Планируй-Делай-Проверяй-Действуй” (PDCA), которая призвана структурировать все процессы СМИБ. Рисунок 1 иллюстрирует как в СМИБ поступающие на вход требования и ожидания безопасности заинтересованных сторон, проходя все необходимые операции и процессы, превращаются на выходе в информационную безопасность, отвечающую этим требованиям и ожиданиям. Также на Рисунке 1 изображены связи процессов, представленных в параграфах 4,5,6,7и 8.

Утверждение модели PDCA также может отразить принципы, изложенные в директивах ОЭСР (2002) по управлению безопасностью информационных систем и сетей. Данный Международный Стандарт предоставляет прочную модель внедрения правил в инструкции по управлению оценкой рисков, моделированием и обеспечением безопасности, менеджментом и переоценкой безопасности.

ПРИМЕР 1

Требование  может быть таким: нарушения в  информационной безопасности, которые  не приведут к серьёзному финансовому  ущербу организации и/или только доставят организации некоторые трудности.

ПРИМЕР 2

Ожидание  может быть такое: на случай происшествия серьёзного инцидента – возможно атака на веб-сайт, через который организация осуществляет Интернет-бизнес, – должны быть сотрудники, достаточно квалифицированные для проведения соответствующих мероприятий в целях минимизации воздействия атаки. 

            Планирование (создание СМИБ) Введение политики, установление целей, процессов и  процедур, относящихся к  управлению риском и совершенствованию информационной безопасности для достижения результатов в соответствии с политиками и целями организации.
            Осуществление (внедрение и использование СМИБ) Внедрение и использование  политик, директив, процессов и мероприятий  СМИБ.
            Испытание (мониторинг и проверка СМИБ) Оценка, а где возможно, и измерение эксплуатационных характеристик  процессов в соответствии с политикой, целями СМИБ и практическим опытом, отчёт по полученным результатам для проверки.
            Выполнение (поддержка и совершенствование СМИБ) Проведение корректирующих и превентивных мероприятий, основанных на результатах внутреннего аудита СМИБ и проверки или другой значимой информации, в целях достижения постоянного  совершенствования СМИБ.
 

0.3 Совместимость с другими системами менеджмента 

В целях обеспечения совместимого и комплексного внедрения и использования данного Международного Стандарта с родственными ему стандартами менеджмента, такими, как ISO 9001:2000 и ISO 14001:2004, его разработка велась в соответствии с принципами и определениями вышеперечисленных стандартов. Потому одна надлежащим образом разработанная система менеджмента может удовлетворять требованиям всех этих стандартов. В таблице С.1 изображена связь между параграфами данного Международного Стандарта, стандартов ISO 9001:2000 и ISO 14001:2004.

Цель данного  Международного Стандарта – позволить  организации урегулировать либо интегрировать свою СМИБ с соответствующими требованиями систем менеджмента.  

Информационные технологии — Концепции безопасности — Системы менеджмента информационной безопасности — Требования 

ВАЖНО — Данное издание не подразумевает включение всех требуемых положений документа. Только пользователи ответственны за их корректное применение. Само по себе соответствие Международному Стандарту не освобождает от правовых обязательств. 

1   Обзор 

    1. Общие положения
 

Данный Международный  Стандарт охватывает все виды организаций (например, коммерческие структуры, правительственные  учреждения, некоммерческие предприятия)

Данный Международный  Стандарт определяет требования для создания, внедрения, использования, мониторинга, проверки, поддержки и совершенствования документированной СМИБ в контексте суммарного количества бизнес-рисков организации. Он определяет требования для внедрения средств обеспечения защиты, переделанных под нужды отдельных организаций и их частей. 

Цель разработки СМИБ – обеспечить отбор только отвечающих требованиям и соразмерных средств обеспечения безопасности, способных защитить информационные активы и предоставить уверенность в безопасности заинтересованным лицам. 

ПРИМЕЧАНИЕ 1: Понятие “бизнеса” в данном Международном Стандарте следует интерпретировать в широком смысле для обозначения деятельности, необходимой для существования организации. 

ПРИМЕЧАНИЕ 2: МОС/МЭК 17799 предоставляет руководство по обеспечению безопасности, которое можно использовать для разработки директив. 

1.2 Применение 

Требования, представленные в данном Международном Стандарте, являются общими и применимы ко всем организациям, независимо от их вида, размера и характера деятельности. Исключение любых требований, определённых в параграфах 4, 5, 6, 7 и 8  недопустимо, если организация предъявляет требования соответствия данному Международному Стандарту. 

Любое исключение директив, необходимое, чтобы соответствовать критерию принятия риска, должно быть обосновано, и также должны быть предъявлены доказательства о принятии ответственными лицами связанных с этим рисков. В тех случаях, когда какие-либо пункты исключаются, претензии к согласованности с данным Международным Стандартом не принимаются до тех пор, пока подобные исключения ради обеспечения информационной безопасности, отвечающей требованиям безопасности, определённым оценкой рисков, и соответствующим юридическим и регулятивным требованиям, не влияют на производительность организации и/или обязательства. 

ПРИМЕЧАНИЕ: Если в организации уже действует  оперативная система менеджмента  бизнес-процессами (например, в соответствии со стандартами МОС 9001 или МОС1 4001), в большинстве случаев будет  предпочтительнее удовлетворять требованиям этого международного стандарта в рамках этой существующей системы менеджмента. 

2   Нормативные ссылки

Следующие нормативно-справочные документы обязательны в качестве приложения к этому документу. Для датированных ссылок применимо только упомянутое издание. Для недатированных ссылок применимо последнее издание нормативно-справочного материала (включая поправки). 
 

МОС/МЭК 17799:2005, Информационные технологии – Методы обеспечения защиты – Свод правил практического применения менеджмента информационной безопасности. 

3   Термины и определения 

В данном документе  используются следующие термины  и определения.

 

3.1

ценные активы

всё, что имеет ценность для организации 

[МОС/МЭК 13335-1:2004] 

3.2

доступность

свойство быть доступным и используемым по требованию авторизованного субъекта 

[МОС/МЭК 13335-1:2004] 

3.3

конфиденциальность

свойство, обеспечивающее недоступность и закрытость информации для неавторизованных индивидов, субъектов или процессов 

[МОС/МЭК 13335-1:2004] 

3.4

информационная безопасность

обеспечение конфиденциальности, целостности и доступности информации; также возможно обеспечение и других свойств, таких как аутентичность, идентифицируемость, отказоустойчивость и надёжность. 

[МОС/МЭК 17799:2005] 

3.5

событие в информационной безопасности

установленное происшествие (эпизод) в системе, службе или сети, свидетельствующее о возможной бреши в политике информационной безопасности или отсутствии мер безопасности, или же о до этого неизвестном случае, возможно имеющем отношение к безопасности 

[МОС/МЭК ТУ 18044:2004] 

3.6

инцидент в информационной безопасности

единичное событие или же ряд нежелательных или неожиданных событий в информационной безопасности, которые подвергают большому риску бизнес-процессы или же угрожают информационной безопасности 

[МОС/МЭК ТУ 18044:2004] 

3.7

система менеджмента информационной безопасности

СМИБ

это часть комплексной системы менеджмента, основанная на  концепции бизнес-рисков, предназначена для создания, внедрения, использования, мониторинга, проверки, поддержки и совершенствования информационной безопасности 

ПРИМЕЧАНИЕ: Система менеджмента включает организационную структуру, политики безопасности, мероприятия по планированию управления, обязательства, инструкции, методики проведения,  процедуры и ресурсы 

3.8

целостность

свойство сохранения точности и полноты активов 

[МОС/МЭК 13335-1:2004] 

3.9

остаточный  риск

риск, остающийся после сокращения риска 

[МОС/МЭК Руководство 73:2002] 

3.10

принятие  риска

решения принять  риск 

[МОС/МЭК Руководство 73:2002] 

3.11

анализ рисков

систематическое использование информации для определения источников риска и оценки рисков 

[МОС/МЭК Руководство 73:2002] 

3.12

оценка рисков

процесс, охватывающий и анализ рисков, и оценку рисков 

[МОС/МЭК Руководство 73:2002] 

3.13

оценивание  риска

процесс сравнения оцененного риска с данными критериями риска для определения значимости риска. 

[МОС/МЭК Руководство 73:2002] 

3.14

управление рисками

согласованные действия по руководству и управлению организацией в отношении риска 

[МОС/МЭК Руководство 73:2002] 

3.15

сокращение риска

процесс отбора и проведения мероприятий по изменению риска 

[МОС/МЭК Руководство 73:2002] 

ПРИМЕЧАНИЕ: В данном международном стандарте термин «управление» употребляется как синоним к термину «мера». 

3.16

предписание по применимости

документированное положение, описывающее цели и средства управления, уместные и применимые в СМИБ организации 

ПРИМЕЧАНИЕ: Цели и выбор средств управления основаны на результатах и выводах процессов оценки и сокращения рисков, юридических или регулятивных требованиях, договорных обязательствах и требованиях касательно бизнеса организации в целях обеспечения информационной безопасности.

4 Система менеджмента информационной безопасности

 

4.1 Общие требования 

Организация должна вводить, выполнять, использовать, контролировать, пересматривать, поддерживать и совершенствовать документированные положения СМИБ в рамках всей бизнес-деятельности организации, а также рисков, с которыми она сталкивается. Ради практической пользы данного Международного Стандарта используемый процесс основывается на модели PDCA, показанной на рис. 1. 
 

4.2 Создание и менеджмент  СМИБ 

4.2.1 Создание СМИБ  

Организация должна сделать следующее. 

a) Учитывая особенности деятельности организации, самой организации, ее месторасположения, активов и технологии, определить масштаб и границы СМИБ, включая детали и обоснования исключений каких-либо положений документа из проекта СМИБ (см.1.2). 

b) Учитывая особенности деятельности организации, самой организации, ее месторасположения, активов и технологии, разработать политику СМИБ которая:

  1. включает систему постановки целей (задач) и устанавливает общее направление руководства и принципы действия относительно информационной безопасности;
  2. принимает во внимание деловые и юридические или регулятивные требования, договорные обязательства по безопасности;
  3. присоединена к стратегической среде управления риском, в которой имеет место создание и поддержка СМИБ;
  4. устанавливает критерии, по которым будет оцениваться риск (см. 4.2.1 с)); и
  5. утверждена руководством.
 

ПРИМЕЧАНИЕ: В целях этого Международного Стандарта, политикой СМИБ считается расширенный набор политик информационной безопасности. Эти политики могут быть описаны в одном документе. 

c) Разработать концепцию оценки риска в организации. 

  1. Определить  методологию оценки риска, которая  подходит СМИБ, и установленной деловой  информационной безопасности, юридическим  и регулятивным требованиям.
  2. Разрабатывать критерии принятия риска и определять приемлемые уровни риска (см. 5.1f).

    Выбранная методология оценки риска должна гарантировать, что оценка риска  приносит сравнимые и воспроизводимые  результаты. 

ПРИМЕЧАНИЕ: Существуют различные методологии оценки риска. Примеры методологий оценки риска рассмотрены в МОС/МЭК ТУ 13335-3, Информационные технологии – Рекомендации к менеджменту IT Безопасности – Методы менеджмента IT Безопасности. 

d) Выявить риски. 

    1) Определить  активы в рамках положений  СМИБ, и владельцев2 (2 Термин «владелец» отождествляется с индивидом или субъектом, которая утверждена нести ответственность за контроль производства, развития, технического обслуживания, применения и безопасности активов. Термин «владелец» не означает, что персона действительно имеет какие-либо права собственности на актив) этих активов.  

    2) Выявить  опасности для этих активов. 

  1. Выявить уязвимые места в системе защиты.
 
  1. Выявить воздействия, которые разрушают конфиденциальность, целостность и доступность активов.
 

e) Проанализировать и оценить риски. 

  1. Оценить ущерб  бизнесу организации, который может быть нанесён вследствие несостоятельности системы защиты, а также являться последствием нарушения конфиденциальности, целостности, или доступности активов.
  2. Определить вероятность провала системы безопасности в свете преобладающих опасностей и уязвимостей, ударов, связанных с активами, и внедренных в настоящее время элементов управления.
  3. Оценить уровни риска.
  4. Определить приемлемость риска, или же требовать его сокращения, используя критерии допустимости риска, установленные в 4.2.1с)2).
 

    f) Выявить и оценить инструменты для сокращения риска. 

    Возможные действия включают:

  1. Применение подходящих элементов управления;
  2. Сознательное и объективное принятие рисков, гарантирующее их безусловное соответствие требованиям политики организации и критериям допустимости риска (см. 4.2.1с)2));
  3. Избежание риска; и
  4. Передача соответствующих бизнес-рисков другой стороне, например, страховым компаниям, поставщикам.
 

    g) Выбрать задачи и средства управления для сокращения рисков. 

    Задачи  и средства управления должны быть выбраны и внедрены в соответствии с требованиями, установленными процессом оценкой риска и сокращения риска. Этот выбор должен учитывать как критерии допустимости риска (см. 4.2.1с)2)), так и юридические, регулятивные и договорные требования. 

    Задачи  и средства управления из Приложения A должны быть выбраны как часть этого процесса, отвечающие установленным требованиям. 

    Т.к. в Приложении А перечислены не все задачи и  средства управления, то могут быть выбраны дополнительные. 

    ПРИМЕЧАНИЕ: Приложение А содержит всесторонний список целей управления, которые были определены как наиболее значимые для организаций. Чтобы не пропустить ни один важный пункт из опций управления, пользующимся данным Международным Стандартом следует ориентироваться на Приложение А как на отправной пункт для контроля выборки.  

    h) Достигнуть утверждения управления предполагаемыми остаточными рисками. 

    i) Достигнуть авторизации управления для функционирования СМИБ. 

    j) Составить Декларацию Применимости 

    А Декларация Применимости должна включать следующее: 

  1. задачи и  средства управления, выбранные в 4.2.1g), и причины их выбора;
  2. задачи и средства управления, действующие в настоящее время (см. 4.2.1e)2)); и
  3. исключение каких-либо задач и средств управления из Приложения А и обоснование их исключения.
 

    ПРИМЕЧАНИЕ: Декларация применимости представляет собой сводку решений относительно сокращения риска. Обоснование исключений обеспечивает перепроверку по разным источникам того, что ни одного элемента управления не было упущено. 
     

    4.2.2 Внедрение и использование СМИБ 

    Организация должна сделать следующее. 

    a) Сформулировать план сокращения риска, который определяет соответствующие управляющие действия, ресурсы, обязательства и приоритеты для управления рисками информационной безопасности (см. 5). 

    b) Осуществить план сокращения рисков для того, чтобы достигнуть установленных целей, которые включают анализ финансирования и распределения ролей и обязанностей. 

    c) Внедрить средства управления, выбранные в 4.2.1g), для достижения поставленных целей. 

    d) Определить, как измерить эффективность выбранных средств управления или групп средств управления, и установить как эта система мер должна использоваться, чтобы оценить эффективность управления и получить соизмеримые и воспроизводимые результаты (см. 4.2.3с)). 

    ПРИМЕЧАНИЕ: Оценка эффективности средств управления позволяет менеджерам и штату служащих определить, насколько хорошо средства управления достигают поставленных целей. 

    e) Внедрить обучающие и информирующие программы (см. 5.2.2). 

    f) Управлять функционированием СМИБ. 

    g) Обеспечить СМИБ трудовыми ресурсами (см. 5.2) 

    h) Внедрить методику и другие средства управления, способные своевременно выявить события безопасности и ответную реакцию на инциденты безопасности (см. 4.2.3а)). 

Iso IEC 27001 Плюсы и минусы