управлению ИБ;
— ISO/IEC 27003 Руководство по реализации СУИБ;
— ISO/IEC 27004 УИБ. Измерения;
— ISO/IEC 27005 Управление рисками ИБ;
— ISO/IЕС 27006 Требования для органов, обеспечивающих аудит и сертификацию СУИБ;
— ISO/IEС 27007 Руководство по проведению аудита СУИБ;
— ISO/IEС TR 27008 Руководство по аудиту механизмов контроля ИБ;
— ISO/IEС 27010 УИБ для межсекторных и межорганизационных коммуникаций;
— ISO/IЕС 27011 Руководство пo УИБ для телекоммуникационных организаций на основе ISО/IEC 27002;
— ISO/IEС 27013 Руководство пo интегрированной реализации стандартов ISO/IEC 27001 и ISO/IEC 20000—1;
— ISO/IEС 27014 Управление ИБ высшим руководством;
— ISO/IEС TR 27015 Руководство пo УИБ для финансовых сервисов;
— ISO/IEС TR 27016 УИБ. Организационная экономика;
— ISO/IEС 27035 Управление инцидентами ИБ (в стандарте не указан).
Международный стандарт, не имеющие этого общего названия:
— ISO 27799 Информатика в здравоохранении. УИБ по стандарту ISO/IEC 27002.
Цель стандарта
Стандарт предоставляет обзор СУИБ и определяет соответствующие условия.
Семейство стандартов СУИБ содержит стандарты, которые:
— определяют требования к СУИБ и сертификации таких систем;
— содержат прямую поддержку, детальное руководство и разъяснение целого процесса создания, внедрения, сопровождения и улучшения СУИБ;
— включают в себя отраслевые руководящие принципы для СУИБ;
— руководят проведением оценки соответствия СУИБ.
1. Сфера применения
Стандарт предосталяет обзор СУИБ, а также условий и определений, широко использующихся в семействе стандартов СУИБ. Стандарт применим ко всем типам и размерам организаций (например, коммерческие предприятия, правительственные учреждения, неприбыльные организации).
2. Термины и определения
Раздел содержит определение 89 терминов, например:
— информационная система — приложения, сервисы, ИТ активы и другие компоненты обработки информации;
— информационная безопасность (ИБ) — сохранение конфиденциальности, целостности и доступности информации;
— доступность — свойство быть доступным и готовым к использованию по запросу уполномоченного лица;
— конфиденциальность — свойство информации быть недоступной или закрытой для неуполномоченных лиц;
— целостность — свойство точности и полноты;
— неотказуемость — способность удостоверять наступление события или действие и их создающих субьектов;
— событие ИБ — выявленное состояние системы (сервиса или сети), указывающее на возможное нарушение политики или мер ИБ, или прежде неизвестная ситуация, которая может касаться безопасности;
— инцидент ИБ — одно или несколько событий ИБ, которые со значительной степенью вероятности приводят к компрометации бизнес-операций и создают угрозы для ИБ;
— управление инцидентами ИБ — процессы обнаружения, оповещения, оценки, реагирования, рассмотрения и изучения инцидентов ИБ;
— система управления — набор взаимосвязанных элементов организации для установления политик, целей и процессов для достижения этих целей;
— мониторинг — определение статуса системы, процесса или действия;
— политика — общее намерение и направление, официально выраженное руководством;
— риск — эффект неопределенности в целях;
— угроза — возможная причина нежелательного инцидента, который может нанести ущерб;
— уязвимость — недостаток актива или меры защиты, которое может быть использовано одной или несколькими угрозами.
3. Системы управления ИБ
Раздел «СУИБ» состоит из следующих основных пунктов:
— описание СУИБ;
— внедрение, контроль, сопровождение и улучшение СУИБ;
— преимущества внедрения стандартов семейства СУИБ.
3.1. Введение
Организации всех типов и размеров:
— собирают, обрабатывают, хранят и передают информацию;
— осознают, что информация и связанные процессы, системы, сети и люди являются важными активами для достижения целей организации;
— сталкиваются с целым рядом рисков, которые могут повлиять на функционирование активов;
— устраняют предполагаемый риск посредством внедрения мер и средств ИБ.
Вся информация, хранимая и обрабатываемая организацией, является объектом для угроз атаки, ошибки, природы (например, пожар или наводнение) и т. п. и объектом уязвимостей, свойственных ее использованию.
Обычно понятие ИБ базируется на информации, которая рассматиривается как имеющий ценность актив и требует соответствующей защиты (например, от потери доступности, конфиденциальности и целостности). Возможность получить своевременный доступ уполномоченных лиц к точной и полной информации является катализатором бизнес-эффективности.
Эффективная защита информационных активов путем определения, создания, сопровождения и улучшения ИБ является необходимым условием для достижения организацией своих целей, а также поддержания и улучшения правового соответствия и репутации. Эти координированные действия, направленные на внедрение надлежащих мер защиты и обработку неприемлемых рисков ИБ, общеизвестны как элементы управления ИБ.
По мере изменения рисков ИБ и эффективности мер защиты в зависимости от меняющихся обстоятельств организации следует:
— контролировать и оценивать эффективность внедренных мер и процедур защиты;
— идентифицировать возникающие риски для обработки;
— выбирать, внедрять и улучшать соответствующие меры защиты надлежащим образом.
Для взаимосвязи и координации действий ИБ каждой организации следует сформировать политику и цели ИБ и эффективно достигать этих целей, используя систему управления.
3.2. Описание СУИБ
Описание СУИБ предусматривает следующие составляющие:
— положения и принципы;
— информация;
— информационная безопасность;
— управление;
— система управления;
— процессный подход;
— важность СУИБ.
Положения и принципы
СУИБ состоит из политик, процедур, руководств и соответствующих ресурсов и действий, коллективно управляемых организацией, для достижения защиты своих информационных активов. СУИБ определяет систематический подход к созданию, внедрению, обработке, контролю, пересмотру, сопровождению и улучшению ИБ организации для достижения бизнес-целей.
Она базируется на оценке риска и приемлемых уровнях риска организации, разработанных для эффективной обработки и управления рисками. Анализ требований защиты информационных активов и применение соответствующих мер защиты, чтобы обеспечить необходимую защиту этих активов, способствует успешной реализации СУИБ.
Следующие основные принципы способствуют успешной реализации СУИБ:
— понимание необходимости системы ИБ;
— назначение ответственности за ИБ;
— объединение обязательств руководства и интересов заинтересованных лиц;
— возрастание социальных ценностей;
— оценки риска, определяющие соответствующие меры защиты для достижения допустимых уровней риска;
— безопасность как неотъемлемый элемент ИС и сетей;
— активное предупреждение и выявление инцидентов ИБ;
— обеспечение комплексного подхода к УИБ;
— непрерывная переоценка и соответствующее улучшение ИБ.
Информация
Информация — это актив, который наряду с другими важными бизнес-активами важен для бизнеса организации и, следовательно, должен быть соответственно защищен. Информация может храниться в различных формах, включая такие как цифровая форма (например, файлы с данными, сохраненные на электронных или оптических носителях), материальная форма (например, на бумаге), а также в нематериальном виде в форме знаний сотрудников.
Информация может быть передана различными способами, включая курьера, электронную или голосовую коммуникацию. Независимо от того, в какой форме представлена информация и каким способом передается, она должна быть должным образом защищена.
Во многих организациях информация зависит от информационной и коммуникационной технологии. Эта технология является существенным элементом в любой организации и облегчает создание, обработку, хранение, передачу, защиту и уничтожение информации.
Информационная безопасность
ИБ включает в себя три основных измерения (свойства): конфиденциальность, доступность и целостность. ИБ предусматривает применение и управление соответствующими мерами безопасности, которые включают в себя рассмотрение широкого диапазона угроз, с целью обеспечения длительного успеха и непрерывности бизнеса и минимизации влияний инцидентов ИБ.
ИБ достигается применением соответствующего набора мер защиты, определенного с помощью процесса управления рисками и управляемого с использованием СУИБ, включая политики, процессы, процедуры, организационные структуры, программные и аппаратные средства, чтобы защитить идентифицированные информационные активы.
Эти меры защиты должны быть определены, реализованы, проконтролированы, проверены и при необходимости улучшены, чтобы гарантировать, что уровень ИБ соответствует бизнес-целям организации. Соответствующие меры и средства ИБ следует органично интегрировать в бизнес-процессы организации.
Управление
Управление включает в себя действия по