Раздел 0. «Введение»
Для результативного функционирования организации необходимо идентифицировать и осуществлять управление многими видами деятельности. Любая деятельность, использующая ресурсы и имеющая своей целью преобразовывать входные данные в выходные, может рассматриваться как процесс. Нередко выход одного процесса может непосредственно являться входом следующего процесса.
Применение системы процессов в организации, наряду с идентификацией и взаимодействием этих процессов, а также управление ими может быть названо «процессным подходом».
Процессный подход для СМИБ, представленной в стандартах серии СМИБ, основан на принципе действия, принятом в стандартах систем менеджмента под названием процесса «Планируй – Выполняй – Проверяй – Действуй» (PDCA).
Модель PDCA применительно к СМИБ:
планирование (создание СМИБ) – определение политики, целей, процессов и процедур СМИБ, относящихся к менеджменту риска и совершенствованию ИБ, для достижения результатов, соответствующих общим политикам и целям организации;
реализация (внедрение и эксплуатация СМИБ) – внедрение и применение политики, средств управления, процессов и процедур СМИБ;
проверка (мониторинг и анализ СМИБ) – оценка и, где применимо, измерение производительности процессов относительно требований политики, целей и практического опыта СМИБ, и информирование высшего руководства о результатах для последующего анализа;
совершенствование (поддержка и улучшение СМИБ) – проведение корректирующих и предупреждающих действий, базирующихся на результатах внутреннего аудита, анализа руководства, а также другой релевантной информации для достижения непрерывного улучшения СМИБ.
Модель PDCA в применении к процессам СМИБ представлена на схеме 1.
Схема 1 – Модель PDCA в применении к процессам СМИБ
Настоящий стандарт согласован со стандартами ISO 9001:2000 и ISO 14001:2004 с целью поддержки его последовательного и интегрированного внедрения и использования совместно с другими родственными стандартами менеджмента. Таким образом, правильно построенная система менеджмента может удовлетворять требованиям всех этих стандартов.
Данный стандарт разработан с целью оказания содействия организации в согласовании или интеграции своей СМИБ с требованиями соответствующей системы менеджмента.
Интеграция с ISO 9001 представлена на рисунке 10.
Рисунок 10 – Интеграция с ISO 9001
5.2 Раздел 1. «Область применения»
Настоящий международный стандарт охватывает все типы организаций (например, коммерческие предприятия, государственные органы, некоммерческие организации).
Этот международный стандарт определяет требования для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения документированной СМИБ в контексте общих деловых рисков организации.
СМИБ разрабатывается для того, чтобы обеспечить выбор адекватных и пропорциональных средств управления защитой, которые защищают информационные активы и придают уверенность заинтересованным сторонам.
Требования, установленные в настоящем международном стандарте, являются общими и предназначены для применения ко всем организациям, независимо от их типа, размера или особенностей.
Исключение каких-либо требований, указанных в пунктах 4, 5, 6, 7 и 8, не допускается, если организация заявляет о соответствии данному международному стандарту.
Любое исключение от применения того или иного управляющего воздействия, обусловленное необходимостью удовлетворения критериев принятия рисков, должно быть обосновано, и необходимо наличие адекватных доказательств того, что связанные с такими исключениями риски были соответствующим образом утверждены ответственными лицами.
В случае исключения каких-либо средств управления заявления о соответствии организации данному стандарту неприемлемы, кроме тех случаев, когда исключения не влияют на способность и/или обязанность организации обеспечивать ИБ, которая отвечает требованиям безопасности, определенным в соответствии с оценкой риска и применимых законодательных или нормативных требований.
Далее следуют второй и третий разделы – Нормативные ссылки и Термины и определения.
5.3 Раздел 4. «Система менеджмента информационной безопасности»
Структура четвертого раздела приведена на рисунке 11.
Рисунок 11 – Структура раздела 4
Организация должна создать, ввести в действие, эксплуатировать, осуществлять мониторинг, анализировать, поддерживать и улучшать документированную СМИБ в контексте общей деятельности организации и рисков, с которыми она сталкивается. Применительно к целям настоящего стандарта, данный процесс основан на модели PDCA.
Для создания и управления СМИБ организация должна выполнить следующее:
определить область применения и границы СМИБ;
определить политику СМИБ;
определить подход к оценке риска в организации;
идентифицировать риски;
проанализировать и оценить риски;
определить и оценить возможности для обработки рисков;
выбрать цели и средства управления для обработки рисков;
получить одобрение руководства в отношении предлагаемых остаточных рисков;
получить полномочия от руководства на внедрение и эксплуатацию СМИБ;
подготовить заявление о применимости.
Заявление о применимости должно быть подготовлено и содержать следующее:
цели и средства управления и обоснование их выбора;
цели и средства управления, реализованные в настоящее время;
исключение любых целей и средств управления, указанных в Приложении А и обоснование их исключения.
Заявление о применимости предоставляет свод решений, касающиеся обработки риска. Обоснование исключений обеспечивает перекрестную проверку того, что ни одно средство управления не было непреднамеренно упущено.
Для внедрения и эксплуатации СМИБ организация должна сделать следующее:
сформулировать план обработки риска, определяющий подходящие действия менеджмента, ресурсы, ответственность и приоритеты менеджмента рисков ИБ;
реализовать план обработки риска для того, чтобы достичь определенных целей управления;
реализовать средства управления;
определить, как измерять результативность выбранных средств управления или их групп, и как должны быть использованы эти измерения для оценки результативности средств управления, чтобы получить сравнимые и воспроизводимые результаты;
реализовать программы по обучению и повышению осведомленности;
управлять функционированием СМИБ;
управлять ресурсами СМИБ;
внедрить процедуры и другие средства управления, способные содействовать быстрому обнаружению и реагированию на инциденты ИБ.
Для мониторинга и анализа СМИБ организация должна сделать следующее:
осуществлять процедуры мониторинга и анализа, а также применять другие средства управления;
выполнять регулярный анализ результативности СМИБ, принимая во внимание результаты аудитов ИБ, инциденты, результаты измерений результативности, предложения и обратную связь от всех заинтересованных сторон;
измерять результативность средств управления для проверки выполнения требований ИБ;
пересматривать оценки риска через запланированные интервалы времени и анализировать остаточный риск и уровень приемлемого риска, учитывая изменения;
проводить внутренние аудиты СМИБ через запланированные интервалы време-
ни;
предпринимать анализ СМИБ со стороны руководства на регулярной основе для
подтверждения адекватности области применения СМИБ и выявления улучшений в про-
цессах СМИБ;
обновлять планы безопасности с учетом результатов деятельности по мониторин-
гу и анализу;
регистрировать действия и события, которые могли бы негативно повлиять на результативность или функционирование СМИБ.
Для поддержки и совершенствования СМИБ организация должна регулярно выполнять следующее:
внедрять выявленные улучшения в СМИБ;
предпринимать надлежащие корректирующие и предупреждающие действия. Применять полученный опыт работы в области безопасности, полученный как в собственной, так и в других организациях;
обмениваться информацией о действиях и улучшениях со всеми заинтересованными сторонами с уровнем подробности, соответствующим обстоятельствам и, если уместно, согласовывать дальнейшую деятельность;
обеспечивать, чтобы улучшения достигали ожидаемых целей.
Требования к документации.
Документация должна включать записи управленческих решений, обеспечивать прослеживаемость действий до управленческих решений и политик, а также обеспечивать воспроизводимость результатов.
Документация СМИБ должна включать:
документированные заявления о политике и целях в области ИБ;
область применения СМИБ;
процедуры и средства управления, поддерживающие СМИБ;
описание методологии оценки риска;
отчет по оценке риска;
план обработки риска;
документированные процедуры, необходимые организации для обеспечения результативности планирования, функционирования и управления процессами ИБ и описания того, как измерить результативность средств управления;
записи, требуемые настоящим МС;
заявление о применимости.
Управление документами.
Документы, требуемые СМИБ, должны быть защищены и управляться. Должна
быть разработана документированная процедура, определяющая действия руководства.
Управление записями.
Записи должны вестись и поддерживаться в рабочем состоянии для обеспечения доказательств того, что СМИБ соответствует установленным требованиям и результативно функционирует. Записи должны быть защищены и управляться. В рамках СМИБ необходимо учитывать все применимые законодательные или регламентирующие требования и договорные обязательства. Записи должны оставаться четкими, легко идентифицируемыми и восстанавливаемыми. Средства управления, необходимые для идентификации, хранения, защиты, восстановления, а также сроки хранения и уничтожения записей должны быть задокументированы и реализованы.
Примерами записей являются журнал регистрации посетителей, отчеты о результатах аудитов, заполненные формы авторизации доступа.