На бирже курсовых и дипломных проектов можно найти образцы готовых работ или получить помощь в написании уникальных курсовых работ, дипломов, лабораторных работ, контрольных работ, диссертаций, рефератов. Так же вы мажете самостоятельно повысить уникальность своей работы для прохождения проверки на плагиат всего за несколько минут.

ЛИЧНЫЙ КАБИНЕТ 

 

Здравствуйте гость!

 

Логин:

Пароль:

 

Запомнить

 

 

Забыли пароль? Регистрация

Повышение уникальности

Предлагаем нашим посетителям воспользоваться бесплатным программным обеспечением «StudentHelp», которое позволит вам всего за несколько минут, выполнить повышение уникальности любого файла в формате MS Word. После такого повышения уникальности, ваша работа легко пройдете проверку в системах антиплагиат вуз, antiplagiat.ru, etxt.ru или advego.ru. Программа «StudentHelp» работает по уникальной технологии и при повышении уникальности не вставляет в текст скрытых символов, и даже если препод скопирует текст в блокнот – не увидит ни каких отличий от текста в Word файле.

Результат поиска


Наименование:


реферат Iso IEC 27001 Плюсы и минусы

Информация:

Тип работы: реферат. Добавлен: 04.05.2012. Сдан: 2011. Страниц: 26. Уникальность по antiplagiat.ru: < 30%

Описание (план):


INTERNATIONAL
STANDARD 

    ISO/IEC
    27001 

                      First edition 2005-10-15 

 
 
 
 
 
 
Information technology — Security techniques — Information security management systems — Requirements
Technologies de /'information Techniques de securite Systemes de gestion de securite de /'information Exigences
 
Технологии информационные. Методы обеспечения защиты. Системы управления информации. Требования
    
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 

Reference number
ISO/IEC 27001:2005(Е)
     
    © ISO/IEC 2005
 

 

Содержание
 

Предисловие
МОС (Международная организация по стандартизации) и МЭК (Международная электротехническая комиссия) формируют специализированную систему стандартизации, распространённую во всём мире. Национальные организации, являющиеся членами МОС и МЭК, участвуют в развитии Международных Стандартов посредством технических комиссий, учреждённых соответствующей организацией, чтобы работать с особыми сферами технической деятельности. Технические комиссии МОС и МЭК сотрудничают в сферах взаимного интереса. Другие международные организации, государственные либо негосударственные, совместно с МОС и МЭК также участвуют в работе. В сфере информационных технологий МОС и МЭК учредили совместную комиссию, МОС/МЭК ОТК.
Международные Стандарты проектируются в соответствии с правилами, описанными в Положениях МОС/МЭК, Часть 2.
Главная задача объединённой технической комиссии состоит в подготовке Международных Стандартов. Проекты Международных Стандартов, принимаемые объединённой технической комиссией, передаются национальным комиссиям на рассмотрение и голосование. Для издания Международных Стандартов необходимо набрать 75% голосов национальных организаций.
Особое  внимание привлекает вероятность того, что некоторые элементы данного  документа могут быть запатентованы. МОС и МЭК не несут ответственность  за определение некоторых или  всех таких патентов.
Стандарт МОС/МЭК 27001 был подготовлен Объединённой Электротехнической Комиссией МОС/МЭК ОТК 1, Информационные технологии, Подкомиммия ПК 27, Способы защиты ИТ. 

 

0   Введение 

0.1 Общие положения 

Данный Международный Стандарт разработан для создания модели по созданию, внедрению, использованию, мониторингу, проверке, поддержке и совершенствованию Системы Менеджмента Информационной Безопасности (СМИБ). Утверждение СМИБ должно стать стратегическим решением для организации. Проектирование и внедрение СМИБ в организации зависит от ёё нужд и целей, требований безопасности, применяющихся процессов (технологических приёмов), а также её размера и структуры. Предполагается, что со временем такие системы, а также их поддерживающие, изменятся. Полагают, что внедрение СМИБ будет проводиться по определённой шкале в соответствии с нуждами организации, например, простая ситуация требует и простого решения СМИБ.
Данный Международный  Стандарт может быть использован заинтересованными внутренней и внешней сторонами для определения соответствия системы нормам безопасности. 

0.2 Концепция процесса менеджмента 

Данный Международный  Стандарт утверждает концепцию процесса создания, внедрения, использования, мониторинга, проверки, поддержки и совершенствования СМИБ организации.
Для эффективного функционирования организации приходится идентифицировать и управлять многими процессами. Процессом может считаться любое действие, использующее ресурсы, и управляемое в целях преобразования входных данных в выходные. Зачастую результат одного процесса обращается непосредственно во входной сигнал другого.
Применение  системы процессов в рамках организации  наряду с идентификацией и взаимодействием  этих процессов, их менеджментом, можно  рассматривать как “концепцию процесса”.
Представленная в данном Международном Стандарте концепция процесса менеджмента информационной безопасности заставляет тех, кто её использует, задуматься о важности таких моментов, как:
а) понимание  требований информационной безопасности организации и необходимости  проводить политику и устанавливать  цели информационной безопасности;
б) введение директив по внедрению и эксплуатации для управления рисками информационной безопасности организации в контексте  суммарных бизнес-рисков организации;
в) мониторинг и проверка качества функционирования и эффективности СМИБ; а также
г) постоянное совершенствование, основанное на реальных оценках.
Данный Международный  Стандарт утверждает модель “Планируй-Делай-Проверяй-Действуй” (PDCA), которая призвана структурировать все процессы СМИБ. Рисунок 1 иллюстрирует как в СМИБ поступающие на вход требования и ожидания безопасности заинтересованных сторон, проходя все необходимые операции и процессы, превращаются на выходе в информационную безопасность, отвечающую этим требованиям и ожиданиям. Также на Рисунке 1 изображены связи процессов, представленных в параграфах 4,5,6,7и 8.
Утверждение модели PDCA также может отразить принципы, изложенные в директивах ОЭСР (2002) по управлению безопасностью информационных систем и сетей. Данный Международный Стандарт предоставляет прочную модель внедрения правил в инструкции по управлению оценкой рисков, моделированием и обеспечением безопасности, менеджментом и переоценкой безопасности.
ПРИМЕР 1
Требование  может быть таким: нарушения в  информационной безопасности, которые  не приведут к серьёзному финансовому  ущербу организации и/или только доставят организации некоторые трудности.
ПРИМЕР 2
Ожидание  может быть такое: на случай происшествия серьёзного инцидента – возможно атака на веб-сайт, через который организация осуществляет Интернет-бизнес, – должны быть сотрудники, достаточно квалифицированные для проведения соответствующих мероприятий в целях минимизации воздействия атаки. 


            Планирование (создание СМИБ) Введение политики, установление целей, процессов и  процедур, относящихся к  управлению риском и совершенствованию информационной безопасности для достижения результатов в соответствии с политиками и целями организации.
            Осуществление (внедрение и использование СМИБ) Внедрение и использование  политик, директив, процессов и мероприятий  СМИБ.
            Испытание (мониторинг и проверка СМИБ) Оценка, а где возможно, и измерение эксплуатационных характеристик  процессов в соответствии с политикой, целями СМИБ и практическим опытом, отчёт по полученным результатам для проверки.
            Выполнение (поддержка и совершенствование СМИБ) Проведение корректирующих и превентивных мероприятий, основанных на результатах внутреннего аудита СМИБ и проверки или другой значимой информации, в целях достижения постоянного  совершенствования СМИБ.
 
0.3 Совместимость с другими системами менеджмента 

В целях обеспечения совместимого и комплексного внедрения и использования данного Международного Стандарта с родственными ему стандартами менеджмента, такими, как ISO 9001:2000 и ISO 14001:2004, его разработка велась в соответствии с принципами и определениями вышеперечисленных стандартов. Потому одна надлежащим образом разработанная система менеджмента может удовлетворять требованиям всех этих стандартов. В таблице С.1 изображена связь между параграфами данного Международного Стандарта, стандартов ISO 9001:2000 и ISO 14001:2004.
Цель данного  Международного Стандарта – позволить  организации урегулировать либо интегрировать свою СМИБ с соответствующими требованиями систем менеджмента.  

Информационные технологии — Концепции безопасности — Системы менеджмента информационной безопасности — Требования 

ВАЖНО — Данное издание не подразумевает включение всех требуемых положений документа. Только пользователи ответственны за их корректное применение. Само по себе соответствие Международному Стандарту не освобождает от правовых обязательств. 

1   Обзор 

      Общие положения
 
Данный Международный  Стандарт охватывает все виды организаций (например, коммерческие структуры, правительственные  учреждения, некоммерческие предприятия)
Данный Международный  Стандарт определяет требования для создания, внедрения, использования, мониторинга, проверки, поддержки и совершенствования документированной СМИБ в контексте суммарного количества бизнес-рисков организации. Он определяет требования для внедрения средств обеспечения защиты, переделанных под нужды отдельных организаций и их частей. 

Цель разработки СМИБ – обеспечить отбор только отвечающих требованиям и соразмерных средств обеспечения безопасности, способных защитить информационные активы и предоставить уверенность в безопасности заинтересованным лицам. 

ПРИМЕЧАНИЕ 1: Понятие “бизнеса” в данном Международном Стандарте следует интерпретировать в широком смысле для обозначения деятельности, необходимой для существования организации. 

ПРИМЕЧАНИЕ 2: МОС/МЭК 17799 предоставляет руководство по обеспечению безопасности, которое можно использовать для разработки директив. 

1.2 Применение 

Требования, представленные в данном Международном Стандарте, являются общими и применимы ко всем организациям, независимо от их вида, размера и характера деятельности. Исключение любых требований, определённых в параграфах 4, 5, 6, 7 и 8  недопустимо, если организация предъявляет требования соответствия данному Международному Стандарту. 

Любое исключение директив, необходимое, чтобы соответствовать критерию принятия риска, должно быть обосновано, и также должны быть предъявлены доказательства о принятии ответственными лицами связанных с этим рисков. В тех случаях, когда какие-либо пункты исключаются, претензии к согласованности с данным Международным Стандартом не принимаются до тех пор, пока подобные исключения ради обеспечения информационной безопасности, отвечающей требованиям безопасности, определённым оценкой рисков, и соответствующим юридическим и регулятивным требованиям, не влияют на производительность организации и/или обязательства. 

ПРИМЕЧАНИЕ: Если в организации уже действует  оперативная система менеджмента  бизнес-процессами (например, в соответствии со стандартами МОС 9001 или МОС1 4001), в большинстве случаев будет  предпочтительнее удовлетворять требованиям этого международного стандарта в рамках этой существующей системы менеджмента. 

2   Нормативные ссылки
Следующие нормативно-справочные документы обязательны в качестве приложения к этому документу. Для датированных ссылок применимо только упомянутое издание. Для недатированных ссылок применимо последнее издание нормативно-справочного материала (включая поправки). 
 

МОС/МЭК 17799:2005, Информационные технологии – Методы обеспечения защиты – Свод правил практического применения менеджмента информационной безопасности. 

3   Термины и определения 

В данном документе  используются следующие термины  и определения.
 
3.1
ценные активы
всё, что имеет ценность для организации 

[МОС/МЭК 13335-1:2004] 

3.2
доступность
свойство быть доступным и используемым по требованию авторизованного субъекта 

[МОС/МЭК 13335-1:2004] 

3.3
конфиденциальность
свойство, обеспечивающее недоступность и закрытость информации для неавторизованных индивидов, субъектов или процессов 

[МОС/МЭК 13335-1:2004] 

3.4
информационная безопасность
обеспечение конфиденциальности, целостности и доступности информации; также возможно обеспечение и других свойств, таких как аутентичность, идентифицируемость, отказоустойчивость и надёжность. 

[МОС/МЭК 17799:2005] 

3.5
событие в информационной безопасности
установленное происшествие (эпизод) в системе, службе или сети, свидетельствующее о возможной бреши в политике информационной безопасности или отсутствии мер безопасности, или же о до этого неизвестном случае, возможно имеющем отношение к безопасности 

[МОС/МЭК ТУ 18044:2004] 

3.6
инцидент в информационной безопасности
единичное событие или же ряд нежелательных или неожиданных событий в информационной безопасности, которые подвергают большому риску бизнес-процессы или же угрожают информационной безопасности 

[МОС/МЭК ТУ 18044:2004] 

3.7
система менеджмента информационной безопасности
СМИБ
это часть комплексной системы менеджмента, основанная на  концепции бизнес-рисков, предназначена для создания, внедрения, использования, мониторинга, проверки, поддержки и совершенствования информационной безопасности 

ПРИМЕЧАНИЕ: Система менеджмента включает организационную структуру, политики безопасности, мероприятия по планированию управления, обязательства, инструкции, методики проведения,  процедуры и ресурсы 

3.8
целостность
свойство сохранения точности и полноты активов 

[МОС/МЭК 13335-1:2004] 

3.9
остаточный  риск
риск, остающийся после сокращения риска 

[МОС/МЭК Руководство 73:2002] 

3.10
принятие  риска
решения принять  риск 

[МОС/МЭК Руководство 73:2002] 

3.11
анализ рисков
систематическое использование информации для определения источников риска и оценки рисков 

[МОС/МЭК Руководство 73:2002] 

3.12
оценка рисков
процесс, охватывающий и анализ рисков, и оценку рисков 

[МОС/МЭК Руководство 73:2002] 

3.13
оценивание  риска
процесс сравнения оцененного риска с данными критериями риска для определения значимости риска. 

[МОС/МЭК Руководство 73:2002] 

3.14
управление рисками
согласованные действия по руководству и управлению организацией в отношении риска 

[МОС/МЭК Руководство 73:2002] 

3.15
сокращение риска
процесс отбора и проведения мероприятий по изменению риска 

[МОС/МЭК Руководство 73:2002] 

ПРИМЕЧАНИЕ: В данном международном стандарте термин «управление» употребляется как синоним к термину «мера». 

3.16
предписание по применимости
документированное положение, описывающее цели и средства управления, уместные и применимые в СМИБ организации 

ПРИМЕЧАНИЕ: Цели и выбор средств управления основаны на результатах и выводах процессов оценки и сокращения рисков, юридических или регулятивных требованиях, договорных обязательствах и требованиях касательно бизнеса организации в целях обеспечения информационной безопасности.

4 Система менеджмента информационной безопасности

 
4.1 Общие требования 

Организация должна вводить, выполнять, использовать, контролировать, пересматривать, поддерживать и совершенствовать документированные положения СМИБ в рамках всей бизнес-деятельности организации, а также рисков, с которыми она сталкивается. Ради практической пользы данного Международного Стандарта используемый процесс основывается на модели PDCA, показанной на рис. 1. 
 

4.2 Создание и менеджмент  СМИБ 

4.2.1 Создание СМИБ  

Организация должна сделать следующее. 

a) Учитывая особенности деятельности организации, самой организации, ее месторасположения, активов и технологии, определить масштаб и границы СМИБ, включая детали и обоснования исключений каких-либо положений документа из проекта СМИБ (см.1.2). 

b) Учитывая особенности деятельности организации, самой организации, ее месторасположения, активов и технологии, разработать политику СМИБ которая:
    включает систему постановки целей (задач) и устанавливает общее направление руководства и принципы действия относительно информационной безопасности;
    принимает во внимание деловые и юридические или регулятивные требования, договорные обязательства по безопасности;
    присоединена к стратегической среде управления риском, в которой имеет место создание и поддержка СМИБ;
    устанавливает критерии, по которым будет оцениваться риск (см. 4.2.1 с)); и
    утверждена руководством.
 
ПРИМЕЧАНИЕ: В целях этого Международного Стандарта, политикой СМИБ считается расширенный набор политик информационной безопасности. Эти политики могут быть описаны в одном документе. 

c) Разработать концепцию оценки риска в организации. 

    Определить  методологию оценки риска, которая  подходит СМИБ, и установленной деловой  информационной безопасности, юридическим  и регулятивным требованиям.
    Разрабатывать критерии принятия риска и определять приемлемые уровни риска (см. 5.1f).
    Выбранная методология оценки риска должна гарантировать, что оценка риска  приносит сравнимые и воспроизводимые  результаты. 

ПРИМЕЧАНИЕ: Существуют различные методологии оценки риска. Примеры методологий оценки риска рассмотрены в МОС/МЭК ТУ 13335-3, Информационные технологии – Рекомендации к менеджменту IT Безопасности – Методы менеджмента IT Безопасности. 

d) Выявить риски. 

    1) Определить  активы в рамках положений  СМИБ, и владельцев2 (2 Термин «владелец» отождествляется с индивидом или субъектом, которая утверждена нести ответственность за контроль производства, развития, технического обслуживания, применения и безопасности активов. Термин «владелец» не означает, что персона действительно имеет какие-либо права собственности на актив) этих активов.  

    2) Выявить  опасности для этих активов. 

    Выявить уязвимые места в системе защиты.
 
    Выявить воздействия, которые разрушают конфиденциальность, целостность и доступность активов.
 
e) Проанализировать и оценить риски. 

    Оценить ущерб  бизнесу организации, который может быть нанесён вследствие несостоятельности системы защиты, а также являться последствием нарушения конфиденциальности, целостности, или доступности активов.
    Определить вероятность провала системы безопасности в свете преобладающих опасностей и уязвимостей, ударов, связанных с активами, и внедренных в настоящее время элементов управления.
    Оценить уровни риска.
    Определить приемлемость риска, или же требовать его сокращения, используя критерии допустимости риска, установленные в 4.2.1с)2).
 
    f) Выявить и оценить инструменты для сокращения риска. 

    Возможные действия включают:
    Применение подходящих элементов управления;
    Сознательное и объективное принятие рисков, гарантирующее их безусловное соответствие требованиям политики организации и критериям допустимости риска (см. 4.2.1с)2));
    Избежание риска; и
    Передача соответствующих бизнес-рисков другой стороне, например, страховым компаниям, поставщикам.
 
    g) Выбрать задачи и средства управления для сокращения рисков. 

    Задачи  и средства управления должны быть выбраны и внедрены в соответствии с требованиями, установленными процессом оценкой риска и сокращения риска. Этот выбор должен учитывать как критерии допустимости риска (см. 4.2.1с)2)), так и юридические, регулятивные и договорные требования. 

    Задачи  и средства управления из Приложения A должны быть выбраны как часть этого процесса, отвечающие установленным требованиям. 

    Т.к. в Приложении А перечислены не все задачи и  средства управления, то могут быть выбраны дополнительные. 

    ПРИМЕЧАНИЕ: Приложение А содержит всесторонний список целей управления, которые были определены как наиболее значимые для организаций. Чтобы не пропустить ни один важный пункт из опций управления, пользующимся данным Международным Стандартом следует ориентироваться на Приложение А как на отправной пункт для контроля выборки.  

    h) Достигнуть утверждения управления предполагаемыми остаточными рисками. 

    i) Достигнуть авторизации управления для функционирования СМИБ. 

    j) Составить Декларацию Применимости 

    А Декларация Применимости должна включать следующее: 

    задачи и  средства управления, выбранные в 4.2.1g), и причины их выбора;
    задачи и средства управления, действующие в настоящее время (см. 4.2.1e)2)); и
    исключение каких-либо задач и средств управления из Приложения А и обоснование их исключения.
 
    ПРИМЕЧАНИЕ: Декларация применимости представляет собой сводку решений относительно сокращения риска. Обоснование исключений обеспечивает перепроверку по разным источникам того, что ни одного элемента управления не было упущено. 
     

    4.2.2 Внедрение и использование СМИБ 

    Организация должна сделать следующее. 

    a) Сформулировать план сокращения риска, который определяет соответствующие управляющие действия, ресурсы, обязательства и приоритеты для управления рисками информационной безопасности (см. 5). 

    b) Осуществить план сокращения рисков для того, чтобы достигнуть установленных целей, которые включают анализ финансирования и распределения ролей и обязанностей. 

    c) Внедрить средства управления, выбранные в 4.2.1g), для достижения поставленных целей. 

    d) Определить, как измерить эффективность выбранных средств управления или групп средств управления, и установить как эта система мер должна использоваться, чтобы оценить эффективность управления и получить соизмеримые и воспроизводимые результаты (см. 4.2.3с)). 

    ПРИМЕЧАНИЕ: Оценка эффективности средств управления позволяет менеджерам и штату служащих определить, насколько хорошо средства управления достигают поставленных целей. 

    e) Внедрить обучающие и информирующие программы (см. 5.2.2). 

    f) Управлять функционированием СМИБ. 

    g) Обеспечить СМИБ трудовыми ресурсами (см. 5.2) 

    h) Внедрить методику и другие средства управления, способные своевременно выявить события безопасности и ответную реакцию на инциденты безопасности (см. 4.2.3а)). 

    4.2.3 Мониторинг и проверка СМИБ 

    Организация должна сделать следующее. 

    a) Внедрить правила мониторинга и проверки и другие средства управления для того, чтобы:
    1) своевременно  обнаруживать ошибки в результатах  процесса;
    2) своевременно  распознавать неудавшиеся и удавшиеся  нарушения безопасности и инциденты;
    3) задействовать  менеджмент, чтобы определить, надлежащим  ли образом выполняется работа  по безопасности, порученная людям  либо осуществляемая информационными  технологиями;
    4) содействовать  обнаружению событий безопасности  и таким образом, используя определённые показатели, предупреждать инциденты безопасности; и
    5) определить  эффективность действий, предпринятых  для предотвращения нарушения  безопасности. 

    b) Проводить регулярные проверки эффективности СМИБ (включая обсуждение политики СМИБ и её задач, проверку средств управления безопасностью), принимая во внимание результаты аудитов, инцидентов, результаты измерений эффективности, предложения и рекомендации всех заинтересованных сторон. 

    c) Оценить эффективность средств управления, чтобы выявить, удовлетворены ли требования безопасности. 

    d) Проверить оценку рисков по запланированным периодам и проверить остаточные риски и допустимые уровни рисков, принимая во внимания изменения в:
    1) организации;
    2) технологии;
    3) бизнес-целях и процессах;
    4) идентифицированных  угрозах;
    5) эффективности  внедрённых средств управления; и
    6) внешних  событиях, таких как изменения  в юридической и управленческой  среде, изменённые договорные  обязательства, смены социального  климата. 

    e) Проводить внутренние аудиты СМИБ в запланированные периоды (см. 6) 

    ПРИМЕЧАНИЕ: Внутренние аудиты, иногда называемые первичными аудитами, проводятся от имени  самой организации в её собственных  целях. 

    f) На регулярной основе проводить проверку управления СМИБ, чтобы убедиться, что положение остается пригодным, а СМИБ совершенствуется. 

    g) Обновлять планы безопасности с учётом данных, полученных в результате мониторинга и проверки. 

    h) Записывать действия и события, которые могут оказать влияние на эффективность или производительность СМИБ (см. 4.3.3). 

    4.2.4 Поддержка и совершенствование  СМИБ 

    Организация должна постоянно делать следующее. 

    a) Внедрять в СМИБ определённые исправления.
    b) Предпринимать соответствующие корректирующие и превентивные меры в соответствии с 8.2 и 8.3. Применять знания, накопленные самой организацией  и полученные из опыта других организаций.
    c) Сообщать о своих действиях и совершенствованиях всем заинтересованным сторонам в степени детализации, соответствующей обстановке; и, соответственно, согласовывать свои действия.
    d) Убедиться, что улучшения достигли намеченной цели. 

    4.3 Требования обеспечения  документацией 

    4.3.1 Общие положения 

    Документация  должна включать протоколы (записи) управленческих решений, убеждать в том, что необходимость  действий обусловлена решениями и политикой менеджмента; и убеждать во воспроизводимости записанных результатов.  

    Важно уметь  демонстрировать обратную связь  выбранных средств управления с  результатами процессов оценки риска  и его сокращения, и далее с  политикой СМИБ и ее целями. 
     

    В документацию СМИБ необходимо включить: 

    a) документированные формулировки политики и целей СМИБ (см. 4.2.1b));
    b) положение СМИБ (см. 4.2.1а));
    c) концепцию и средства управления в поддержку СМИБ;
    d) описание методологии оценки риска (см. 4.2.1с));
    e) отчет об оценке риска (см. 4.2.1с) – 4.2.1g));
    f) план сокращения риска (см. 4.2.2b));
    g) документированную концепцию, необходимую организации для обеспечения эффективности планирования, функционирования и управления процессами её информационной безопасности и описания способов измерения эффективности средств управления (см. 4.2.3с));
    h) документы, требуемые данным Международным Стандартом (см. 4.3.3); и
    i) Утверждение о Применимости. 

    ПРИМЕЧАНИЕ 1: В рамках данного Международного Стандарта термин «документированная концепция» означает, что концепция внедрена, документирована, выполняется и соблюдается. 

    ПРИМЕЧАНИЕ 2: Размер документации СМИБ в различных организациях может колебаться в зависимости от:
    - размера  организации и типа ее активов; и
    - масштаба  и сложности требований безопасности  и управляемой системы. 

    ПРИМЕЧАНИЕ 3: Документы и отчёты могут предоставляться в любой форме. 

    4.3.2 Контроль документов  

    Документы, требуемые СМИБ, необходимо защищать и регулировать. Необходимо утвердить процедуру документации, необходимую для описания управленческих действий по:
    a) установлению соответствия документов определённым нормам до их опубликования;
    b) проверке и обновлению документов как необходимости, переутверждению документов;
    c) обеспечению соответствия изменений текущему состоянию исправленных документов;
    d) обеспечению доступности важных версий действующих документов;
    e) обеспечению понятности и читабельности документов;
    f) обеспечению доступности документов тем, кому они необходимы; а также их передачи, хранения и, наконец, уничтожения в соответствии с процедурами, применяемыми в зависимости от их классификации;
    g) установлению подлинности документов из внешних источников;
    h) контролированию распространения документов;
    i) предупреждению непреднамеренного использования вышедших из употребления документов; и
    j) применению к ним соответствующего способа идентификации, если они хранятся просто на всякий случай. 

    4.3.3 Контроль записей 

    Записи  должны создаваться и храниться  для того, чтобы обеспечить подтверждение соответствия требованиям и эффективное функционирование СМИБ. Записи необходимо защищать и проверять. СМИБ должна учитывать любые юридические и регулятивные требования и договорные обязательства. Записи должны быть понятны, легко идентифицируемы и восстановимы. Средства управления, необходимые для идентификации, хранения, защиты, восстановления, продолжительности хранения и уничтожения записей, должны быть документально утверждены и введены в действие.
    В записи необходимо включать информацию о проведении мероприятий, описанных в 4.2, и обо всех происшествиях и значимых для безопасности инцидентах, относящихся к СМИБ. 

    ПРИМЕР
    Примерами записей являются гостевая книга, протоколы  аудита и заполненные формы авторизации  доступа. 

    5 Обязанности руководства 

    5.1 Обязательства руководства 

    Руководство должно подтвердить свои обязательства  по введению, реализации, функционированию, мониторингу, проверке, поддержке и  совершенствованию СМИБ путем:
    a) введения политики СМИБ;
    b) постановки целей СМИБ и разработки планов;
    c) распределения ролей и обязанностей в информационной безопасности;
    d) донесения до организации важности выполнения задач по информационной безопасности, согласования их с политикой безопасности, ответственностью в соответствии с законом, и необходимости постоянного совершенствования;
    e) достаточного обеспечения трудовыми ресурсами, чтобы ввести, реализовать, управлять, наблюдать, проверять, поддерживать и совершенствовать СМИБ (см. 5.2.1);
    f) установления критериев принятия риска и допустимых уровней риска;
    g) проведения внутренних аудитов СМИБ (см. 6); и
    h) проведения проверок управления СМИБ (см. 7). 

    5.2 Управление трудовыми  ресурсами 

    5.2.1 Обеспечение кадрами 

    Организация должна определить и подобрать штат сотрудников, необходимых для того, чтобы:
    a) создавать, внедрять, использовать, контролировать, проверять, поддерживать и совершенствовать СМИБ;
    b) обеспечить согласованность принципов информационной безопасности с требованиями бизнеса;
    c) определять юридические и регулятивные требования и договорные обязанности по безопасности;
    d) поддерживать необходимый уровень безопасности путем правильного применения всех внедрённых средств управления;
    e) по необходимости проводить проверки, и соответствующе реагировать на результаты этих проверок; и
    f) где необходимо, совершенствовать эффективность СМИБ. 

    5.2.2 Обучение, информированность  и компетентность 

    Организация должна гарантировать то, что весь персонал, назначенный исполнять  установленные в СМИБ обязанности, достаточно компетентен, чтобы выполнять поставленные задачи, путём:
    a) установления необходимого уровня компетентности персонала, выполняющего работу, влияющую на функционирование СМИБ;
    b) проведения обучения или принятия других мер (например, назначение компетентного персонала), чтобы удовлетворить эти нужды;
    c) оценивания эффективности предпринятых действий; и
    d) ведения записей о подготовке, обучении, навыках, опыте и квалификации (см. 4.3.3). 

    Организация также должна убедиться в том, что все компетентные работники  осознают значимость и важность своей деятельности по обеспечению информационной безопасности, и их вклада в достижение целей СМИБ. 

    6 Внутренние аудиты  СМИБ 

    Организация должна проводить внутренние аудиты СМИБ для того, чтобы убедиться, что  задачи, средства управления, процессы и методы СМИБ:
    a) удовлетворяют требованиям данного Международного Стандарта и важным законам или положениям;
    b) удовлетворяют установленным требованиям информационной безопасности;
    c) эффективно выполняются и поддерживаются; и
    d) функционируют, как ожидалось. 

    Программа аудита должна быть спланирована, учтены как состояние и важность процессов  и областей, подвергаемых аудиту, так  и результаты предыдущих аудитов. Должны быть определены критерии аудита, масштаб, частота проведения, методики. Выбор аудиторов и проведение аудитов должны гарантировать объективность и беспристрастность процесса аудита. Аудиторы не должны ревизовать свою собственную работу. 

    Порядок распределения  обязанностей и требования к планированию и проведению аудитов, к отчетам  о результатах и ведению записей (см. 4.3.3) должны быть определены в документально оформленной процедуре. 

    Руководство, ответственное за подвергаемую аудиту область, должно гарантировать, что  без большой задержки предпримет действия по устранению выявленных несогласованностей и их причин. Последующие ревизии должны требовать подтверждения того, что действительно были предприняты соответствующие меры, и отчёты о полученных результатах (см. 8). 

    ПРИМЕЧАНИЕ: МОС 19011:2002, Рекомендации по ревизованию качества и/или систем менеджмента экологии, могут быть полезными в проведении внутренних аудитов СМИБ. 
     

    7 Проверка управления  СМИБ 

    7.1 Общие положения 

    Руководство должно проверять СМИБ в запланированные  периоды (как минимум раз в  год), чтобы убедиться в том, что она по-прежнему пригодна, адекватна и эффективна. Такая проверка должна включать оценку возможностей совершенствования и необходимости изменений в СМИБ, в т.ч. и в политике информационной безопасности и целях информационной безопасности. Результаты проверки необходимо оформить документально, и сделать записи (см. 4.3.3). 

    7.2 Входные данные  для проверки 

    Входные данные для проверки управления должны включать:
    a) результаты аудитов и проверок СМИБ;
    b) рекомендации заинтересованных сторон;
    c) технику, продукты или методики, которые могли бы использоваться в организации, чтобы совершенствовать функционирование и эффективность СМИБ;
    d) состояние превентивных и корректирующих мер;
    e) уязвимости или угрозы, недостаточно исследованные при предыдущей оценке риска;
    f) результаты оценки эффективности;
    g) контроль принятия соответствующих мер после предыдущих проверок управления;
    h) любые изменения, которые могут повлиять на СМИБ; и
    i) рекомендации по совершенствованию. 
     

    7.3 Выходные данные  проверки 

    Итоги проверки управления должны включать любые решения и меры, связанные со следующим. 

    a) Совершенствование эффективности СМИБ; 

    b) Обновление планов оценки и сокращения риска; 

    c) Модификация методов и средств управления, влияющих на информационную безопасность, как необходимость реагирования на внутренние и внешние события, которые могут принести ущерб СМИБ, а также изменения в:
    1) требованиях  бизнеса;
    2) требованиях  безопасности;
    3) бизнес-процессах,  влияющих на существующие требования  бизнеса;
    4) юридических  или регулятивных требованиях;
    5) договорных  обязательствах; и
    6) уровнях  риска и/или критериях допустимости  риска. 

    d) Приобретение необходимых ресурсов. 

    e) Совершенствование системы оценивания эффективности. 
     

    8 Совершенствование  СМИБ 

    8.1 Постоянное совершенствование 

    Организация должна постоянно совершенствовать эффективность СМИБ, привлекая к  этому процессу политику информационной безопасности, цели информационной безопасности, результаты аудита, анализ отслеженных  событий, корректирующие и превентивные мероприятия и проверки управления (см. 7). 

    8.2 Корректирующие меры 

    Организация должна предпринимать меры по устранению причин несоответствия требованиям  СМИБ, чтобы избежать повторения. Документированная  процедура проведения корректирующих мероприятий должна содержать требования по:
    a) выявлению несоответствий;
    b) определению причин несоответствий;
    c) оценке необходимости мер, устраняющих несоответствия;
    d) определению и проведению необходимых корректирующих мероприятий;
    e) записи результатов предпринятых мер (см. 4.3.3); и
    f) проверке предпринятых корректирующих мер. 

    8.3 Превентивные мероприятия 

    Организация должна определить меры, направленные на устранение причин возможного несоответствия требованиям СМИБ, чтобы предотвратить  их повторение. Превентивные действия должны соответствовать ущербу от возможных ударов. Документированная процедура проведения превентивных мероприятий должна содержать требования по:
    a) выявлению возможных несоответствий и их причин;
    b) оценке необходимости действий, предотвращающих повторение несоответствий;
    c) определению и проведению необходимых превентивных мероприятий;
    d) записи результатов предпринятых мер (4.3.3); и
    e) проверке предпринятых превентивных мер. 

    Организация должна выявить изменения в рисках и определить требования по превентивным действиям, акцентируя внимание на значительно измененных рисках. 

    Приоритеты  превентивных мероприятий должны быть расставлены согласно результатам  оценки риска. 

    ПРИМЕЧАНИЕ: Меры по предупреждению несоответствий часто более эффективны и дешевле обходятся, чем уже корректирующие мероприятия.
 

Приложение A

(нормативное) 

Задачи (цели) и средства управления 

Цели и  средства управления, перечисленные  в таблице А.1, непосредственно выводятся  и подгоняются под цели и средства, перечисленные в разделах с 5 по 15 стандарта МОС/МЭК 17799:2005. Список из таблицы А.1 не является исчерпывающим, потому организация может предусмотреть дополнительные цели и средства управления. А перечисленные в данных таблицах необходимо выбрать как составляющий компонент СМИБ, определённой в 4.2.1. 

Разделы МОС/МЭК 17799:2005 с 5 по 15 предусматривают руководство по внедрению и наилучшему использованию средств управления, определённых с пункта А.5 по пункт А.15. 

Таблица A.1 – Цели и средства управления 

A.5 Политика безопасности
A.5.1 Политика информационной безопасности Цель: Обеспечить управление и поддержку руководством информационной безопасности в соответствии с бизнес-требованиями и важными законами и положениями.
A.5.1.1 Документ политики информационной безопасности Средство управления Политика информационной безопасности должна быть одобрена руководством, издана и передана все сотрудникам и важным сторонним организациям.
A.5.1.2 Пересмотр политики информационной безопасности Средство управления Необходимо проводить пересмотр политики безопасности в запланированные периоды либо в случае серьёзных изменений, чтобы убедиться в её пригодности, адекватности и эффективности.
A.6 Организация информационной безопасности
A.6.1 Внутренняя организация Цель: управление информационной безопасностью в пределах организации.
A.6.1.1 Обязанности руководства  по обеспечению информационной безопасности Средство управления Руководство должно активно поддерживать безопасность в пределах организации посредством чёткого управления, выполнения обязательств, явного распределения и уведомления об обязанностях по обеспечению безопасности.
A.6.1.2 Согласованность мероприятий  по защите информации Средство управления Мероприятия по защите информации должны быть согласованы представителями различных отделов организации, занимающих наиболее ответственные должности.
A.6.1.3 Распределение обязанностей по защите информации Средство управления Все обязанности по обеспечению защиты информации должны быть чётко распределены.
 
 


A.6.1.4 Процесс утверждения средств обработки информации Средства управления Необходимо определить и задействовать процесс управления одобрением и утверждением новых средств обработки информации.
A. 6.1.5 Соглашения по конфиденциальности Средства управления Необходимо определить и постоянно пересматривать требования конфиденциальности или сокрытия соглашений, отражающих нужды организации в защите информации.
A. 6.1.6 Связь с ведомствами Средства управления Необходимо поддерживать соответствующие контакты с важными ведомствами.
A. 6.1.7 Связь с особо заинтересованными  группами Средства управления Необходимо поддерживать соответствующие контакты с особо заинтересованными сторонами или другими форумами безопасности и профессиональными объединениями.
A. 6.1.8 Независимая проверка информационной безопасности Средства управления В запланированные периоды или в результате серьёзных изменений в безопасности, необходимо проводить независимую проверку методики управления информационной безопасностью в организации и её внедрения (напр., задачи управления, средства управления, политики, методологии и приёмы защиты информации).
A.6.2 Сторонние организации Цель: Поддержать безопасность информации и средств обработки информации, которые доступны, обрабатываются, передаются или управляются сторонними организациями.
A.6.2.1 Определение рисков, связанных с привлечением сторонних организаций Средства управления Необходимо выявить риски безопасности информации и средств обработки информации, разработанных с привлечением сторонних организаций, а также определить соответствующие средства управления и внедрить их раньше, чем будет предоставлен доступ.
A. 6.2.2 Обеспечение безопасности во время работы с заказчиками Средства управления Необходимо обеспечить выполнение всех установленных требований безопасности раньше, чем заказчикам будет предоставлен доступ к информации или активам организации.
A. 6.2.3 Обеспечение безопасности при подписании соглашений со сторонними организациями Средства управления Соглашения с третьими лицами, затрагивающие доступ, обработку, передачу или управление информацией либо средствами обработки информации или же приложение других продуктов либо служб к средствам обработки информации должны накрывать все наиболее важные требования безопасности.
 
 


A.7 Asset management
A.7.1 Ответственность за активы Цель: Достичь и поддерживать соответствующий уровень защиты активов организации.
A.7.1.1 Опись активов Средство управления Необходимо чётко идентифицировать все активы, провести инвентаризацию.
A.7.1.2 Владение активами Средство управления Вся информация и активы, связанные со средствами обработки  информации должны 'числиться' 3) за a назначенным отделом организации.
A.7.1.3 Допустимое использование  активов Средство управления Необходимо разработать, документально оформить и ввести правила использования информации и активов, связанных со средствами обработки информации.
A.7.2 Классификация информации Цель: Обеспечить соответствующий уровень защищённости информации.
A.7.2.1 Руководства по классификации Средство управления Необходимо классифицировать информацию в зависимости от её ценности, юридических требований, критичности и необходимости для организации.
A.7.2.2 Маркирование и  обработка информации Средство управления Необходимо классифицировать информацию в зависимости от её ценности, юридических требований, критичности и необходимости для организации.
A.8 Защита трудовых ресурсов
A.8.1 До наёма на работу4) Цель: Обеспечить понимание сотрудниками, подрядными и сторонними организациями  своих обязательств, определить их пригодность к выполнению предполагаемой работы, сократить риск кражи, подделки, или неправильного обращения с аппаратурой.
A.8.1.1 Роли и обязанности Средство управления В соответствии с политикой информационной безопасности организации должны быть определены и документально оформлены роли и обязательства сотрудников, а также подрядных и сторонних организаций.
 
3) Объяснение: Термин «владелец» отождествляется с индивидом или субъектом, которая утверждена нести ответственность за контроль производства, развития, технического обслуживания, применения и безопасности активов. Термин «владелец» не означает, что персона действительно имеет какие-либо права собственности на актив. 

4) Объяснение: Термин 'наём' употреблён в смысле: приём на работу сотрудников (на временной или постоянной основе), назначение на должность, перевод на другую должность, приём на работу по договору подряда, а также истечение срока действия этих договорённостей.
 

 

A.8.1.2 Фильтрация Средство управления Проверка личных данных всех кандидатов на работу в штате, по договору подряда либо в качестве сторонней организации должна проводиться в соответствии с соответствующими законами, положениями и нормами этики, пропорционально бизнес-требованиям, уровню доступа и осознаваемым рискам.
A.8.1.3 Сроки и условия  приёма на работу Средство управления Неотъемлемая часть договорного обязательства – принятие условий приёма на работу, и подписание трудового контракта, устанавливающего обязанности сотрудников, работающих в штате, по договору подряда либо в сторонних организациях, а также самой организации по обеспечению информационной  безопасности.
A.8.2 Непосредственная работа в организации Цель: Обеспечить осведомлённость всех штатных сотрудников, подрядных и сторонних организаций об угрозах и уязвимостях безопасности информации, их обязанностях и обязательствах; достаточность знаний для поддержки безопасности и сокращения риска ошибки человека.
A.8.2.1 Обязанности руководства Средство управления Руководство должно требовать от штатных сотрудников, подрядных и сторонних организаций осуществления функций защиты в соответствии с политиками и положениями, определёнными в организации.
A.8.2.2 Знание, образованность и обучение Средство управления Все штатные сотрудники организации, а в некоторых случаях и подрядные и сторонние организации должны постоянно повышать свою квалификацию, укреплять знания, иметь возможность своевременно ознакомиться с изменениями в политиках, методах, имеющих непосредственное отношение к их работе.
A.8.2.3 Дисциплинарные процедуры Средство управления Необходимо предусмотреть строгую дисциплинарную процедуру за нарушение сотрудником безопасности.
A.8.3 Истечение срока либо переход на другую должность Цель: Обеспечить соблюдение определённого порядка при увольнении и переводе на другую должность штатных сотрудников, подрядных и сторонних организаций.
A.8.3.1 Обязанности при окончании  срока работы по найму Средство управления Должны быть чётко прописаны обязанности сотрудников при окончании срока работы либо при переводе на другую должность.
A.8.3.2 Возврат активов Средство управления После окончания срока  действия трудового контракта либо соглашения все штатные сотрудники организации, подрядные и сторонние организации обязаны вернуть все активы организации, находившиеся в их распоряжении.
A.8.3.3 Лишение прав доступа Средство управления После окончания срока  действия трудового контракта или  соглашения права доступа всех штатных сотрудников, подрядных и сторонних организаций к информации и средствам обработки информации должны быть ликвидированы либо настроены в соответствии с новой должностью.
 
 
A.9 Защита от несанкционированного физического доступа и природных катастроф
и т.д.................


Перейти к полному тексту работы


Скачать работу с онлайн повышением уникальности до 90% по antiplagiat.ru, etxt.ru или advego.ru


Смотреть полный текст работы бесплатно


Смотреть похожие работы


* Примечание. Уникальность работы указана на дату публикации, текущее значение может отличаться от указанного.