ее зависимость от информационных технологий.
Использование семейства международных стандартов ISO/IEC 27k позволяет существенно упростить создание, эксплуатацию и развитие СУИБ. Требования нормативной базы и рыночные условия вынуждают организации применять международные стандарты при разработке планов и политик обеспечения ИБ и демонстрировать свою приверженность путем проведения аудитов и сертификаций ИБ. Соответствие требованиям стандарта представляет определенные гарантии наличия в организации базового уровня ИБ, что оказывает положительное влияние на имидж компании.
2. Требования к суиб (стандарт ISO/IEC 27001:2013)
В 1998 году появилась вторая часть британского национального стандарта — BS 7799—2 «СУИБ. Спецификация и руководство по применению», в 2002 году она была пересмотрена, а в конце 2005 года была принята в качестве международного стандарта ISO/IEC 27001 «ИТ. Методы защиты. СУИБ. Требования». 25 сентября 2013 года состоялось последнее обновление стандарта.
Стандарт состоит из следующих разделов:
Предисловие
0. Введение
1. Сфера применения
2. Нормативные ссылки
3. Термины и определения
4. Контекст организации
5. Лидерство
6. Планирование
7. Поддержка
8. Эксплуатация
9. Оценка результативности
10. Улучшение
Этапам модели «РDСА» соответствуют следующие разделы стандарта:
— планирование;
— эксплуатация;
— оценка результативности;
— улучшение.
Стандарт был подготовлен для реализации требований по созданию, внедрению, сопровождению и постоянному улучшению СУИБ. Принятие СУИБ является стратегическим решением для организации. Разработка и внедрение СУИБ организации зависит от потребностей и целей организации, требований по безопасности, существующих процессов организации, размера и структуры организации. Все эти факторы влияния, как известно, со временем меняются.
СУИБ обеспечивает конфиденциальность, целостность и доступность информации за счет применения процесса управления рисками и придает уверенность заинтересованным сторонам в том, что риски адекватно управляются.
Важно, чтобы СУИБ являлась частью и была интегрирована с процессами организации и общей структурой управления, а также ИБ была применена при разработке процессов, ИС и элементов управления. Как правило, внедрение СУИБ масштабируется в соответствии с потребностями организации.
1. Сфера применения
Стандарт устанавливает в контексте организации требования к созданию, внедрению, сопровождению и постоянному улучшению СУИБ. Стандарт также включает требования по оценке и обработке рисков ИБ в соответствии с потребностями организации. Требования, изложенные в стандарте, носят общий характер и предназначены для применения всеми организациями, независимо от типа, размера или характера. Исключение любого из требований, указанных в следующих разделах, не является приемлемым, если организация заявляет о соответствии стандарту.
Разделы «2.Нормативные ссылки» и «3.Термины и определения» пропускаем.
4. Контекст организации
Организация должна определить внешние и внутренние аспекты, которые имеют отношение к ее цели и влияют на ее способность к достижению ожидаемых результатов от СУИБ.
Организация должна определить:
— заинтересованные стороны, имеющие отношение к СУИБ;
— требования этих заинтересованных сторон, имеющих отношение к ИБ.
Организация для определения сферы применения СУИБ должна определить границы и возможность применения СУИБ.
При определении сферы применения СУИБ организация должна рассмотреть вопросы, упомянутые выше:
— внешние и внутренние аспекты;
— требования заинтересованных сторон;
— взаимосвязи и зависимости между деятельностью, выполняемой организацией, и деятельностью, выполняемой другими организациями.
Сфера применения должна быть доступна в виде документированной информации.
5. Лидерство
Лидерство и обязательства
Высшее руководство должно продемонстрировать лидерство и обязательства в отношении СУИБ путем:
— обеспечения политики ИБ и целей ИБ, которые разработаны и совместимы со стратегическими задачами организации;
— обеспечения интеграции требований СУИБ в процессы организации;
— обеспечения того, чтобы ресурсы, необходимые для системы менеджмента информационной безопасности, были доступны;
— информирования о важности достижения результативности УИБ и о соответствии требованиям СУИБ;
— обеспечения того, что СУИБ позволяет достигать желаемых результатов;
— поддержки и управления персоналом, способствующим эффективности СУИБ;
— содействия постоянному улучшению;
— поддержки других соответствующих управленческих ролей для демонстрации их лидерства, насколько это применимо к сфере их ответственности.
Политика
Высшее руководство должно разработать соответствующую целям организации политику ИБ, которая должна:
— соответствовать целям ИБ;
— содержать цели ИБ или обеспечивать основу для достижения целей ИБ;
— включать обязательства по соблюдению требований ИБ;
— включать обязательства по постоянному улучшению СУИБ.
Политика ИБ должна быть:
— доведена до персонала организации;
— доступна как документированная информация;
— доступна всем заинтересованным сторонам.
Организационные роли, обязанности и полномочия
Высшее руководство должно быть уверенным, что обязанности и полномочия ролей, относящихся к ИБ, обозначены и сообщены.
Высшее руководство должно обозначить обязанности и полномочия для:
— обеспечения соответствия СУИБ требованиям этого стандарта;
— оповещения высшего руководства о результативности СУИБ.
6. Планирование (1-й этап «РDСА»)
Этап планирования СУИБ обеспечивают следующие мероприятия:
— определение целей ИБ и мер по их достижению;
— действия по обработке рисков и возможностей.
Определение целей ИБ и мер по их достижению
Организация должна установить цели ИБ для соответствующих функций и на соответствующих уровнях.
Цели ИБ должны:
— соответствовать политике ИБ;
— быть измеримыми (если это возможно);
— принимать во внимание действующие требования ИБ, результаты оценки и обработки рисков;
— быть известны соответствующему персоналу организации;
— обновляться по мере необходимости.
Организация должна сохранять документированную информацию о целях ИБ.
При планировании мер по достижению целей ИБ организация должна определить:
— что будет сделано;
— какие ресурсы потребуются;
— кто будет нести ответственность;
— когда меры будут реализованы;
— как будут оцениваться результаты.
Действия по обработке рисков и возможностей
При планировании СУИБ организация должна учитывать аспекты и требования, указанные в контексте организации, и определить риски и возможности, которые должны быть направлены на:
— обеспечение того, чтобы СУИБ позволило достигать желаемых результатов;
— предотвращение или уменьшение нежелательных эффектов;
— обеспечение непрерывного совершенствования.
Организация должна планировать:
— процессы оценки и обработки рисков;
— действия по осуществлению и интеграции работ в процессах СУИБ и оценке их результативности.
Оценка рисков ИБ
Организация должна определить и внедрить процесс оценки рисков ИБ, состоящий из разработки критериев, определения, анализа рисков и сравнения его результатов с критериями для рисков ИБ.
На основании процесса оценки рисков ИБ организации следует:
— установить и поддерживать критерии для рисков ИБ, которые состоят из критериев для проведения оценки и принятия рисков ИБ;
— определить риски ИБ:
• применить процесс оценки рисков ИБ для выявления рисков, связанных с потерей конфиденциальности, целостности и доступности информации в рамках СУИБ (§);
• определить владельцев рисков;
— проанализировать риски ИБ:
• определить реалистичную вероятность возникновения рисков §;
• определить потенциальные последствия, которые могут возникнуть в случае возникновения рисков §;
• определить уровни риска;
— оценить риски ИБ:
• сравнить результаты анализа рисков с установленными критериями для рисков;
• установить приоритеты по обработке рисков для проанализированных рисков;
— гарантировать, что повторная оценка рисков ИБ позволит получить логичные, обоснованные и сопоставимые результаты.
Организация должна сохранять документированную информацию о процессе оценки рисков ИБ.
Обработка рисков ИБ
Организация должна определить и внедрить процесс обработки рисков ИБ, состоящий из выбора варианта обработки, его реализации и принятия остаточных рисков ИБ.
На основании процесса обработки рисков ИБ организации следует:
— выбрать подходящий вариант обработки рисков ИБ, принимая во внимание результаты оценки рисков;
— определить все элементы управления, которые необходимы для реализации выбранного варианта обработки рисков ИБ;
— сравнить определенные элементы управления с теми,