Вопрос 33 Стандарт по обеспечению информационной безопасности гост р исо/мэк 27001. Система менеджмента информационной безопасности.
Стандарт ISO/IEC 27001 был подготовлен с целью создания некоторой модели для установления, реализации, эксплуатации, мониторинга, пересмотра, поддержки и совершенствования системы менеджмента информационной безопасности (СМИБ). Этот международный стандарт может использоваться для оценки соответствия заинтересованными внутренними или внешними сторонами.
Целью является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон. Должны быть определены ресурсы, которые предназначены для обеспечения функционирования. Описаны требования, которые должны быть выполнены.
Чтобы функционировать эффективно, организация должна идентифицировать и управлять многими видами деятельности. Любая деятельность, использующая ресурсы и управляющая преобразованием входных данных в выходные данные, может рассматриваться как некоторый процесс. Часто выходные данные одного процесса непосредственно формируют входные данные для следующего процесса.
Применение в организации системы определенных и взаимодействующих процессов и управление этими процессами называется «процессно-ориентированным подходом».
В
основе лежит модель (цикл Деминга) РDСА:
«Планирование – Реализация – Проверка
‑ Совершенствование»:
Планирование – разработать политику, цели, процессы и процедуры СМИБ, относящиеся к менеджменту риска и совершенствованию информационной безопасности, для достижения результатов, соответствующих общим политикам и целям организации. Относится: 1) определение корпоративных целей и стратегии ИБ; 2) формирование КПИБ; 3) оценка рисков ИБ; 4) выбор ЗМ; 5) принятие рисков ИБ; 6) формирование ПИБАС; 7) формирование плана реализации ЗМ АС.
Реализация – внедрить и применить политику, меры (средства) контроля, процессы и процедуры СМИБ. Относится 1) реализация защитных мер; 2) техническое обслуживание (ТО) защитных мер; 3) правление изменениями АС; 4) реализация программы осведомления об ИБ; 5) реализация программы обучения ИБ; 6) обработка инцидентов ИБ; 7) принятие решения о соответствии ИБАС политике ИБАС.
Проверка – оценить и, в том числе, где возможно, измерить эффективность процессов относительно требований политики, целей безопасности и практического опыта СМИБ, и информировать высшее руководство о результатах для последующего контрольного анализа. Относится 1)Мониторинг ИБАС 2) Оценка соответствия 3) Анализ ИБАС, со стороны руководства
Совершенствование – провести корректирующие и превентивные действия, основывающиеся на результатах внутреннего аудита и контрольного анализа, осуществляемого высшим руководством, с целью достижения непрерывного совершенствования СМИБ. Относится 1) реализация улучшений ИБАС (реализация корректирующих и предупреждающих действий) 2) информирование об изменениях и их согласование с заинтересованными лицами 3) оценка достижения поставленных целей ИБАС
Организация должна разработать, внедрить, эксплуатировать, вести мониторинг, анализировать, поддерживать и непрерывно совершенствовать документально оформленную СМИБ с учетом особенностей ведения бизнеса и всех рисков организации.