Приложение В. Принципы Организации экономического сотрудничества и развития и настоящий стандарт. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 27.12.2006 N 375-ст) (документ утратил силу)

Приложение В
(справочное)

Принципы
Организации экономического сотрудничества и развития и настоящий стандарт

Принципы, представленные в Руководстве ОЭСР по обеспечению безопасности информационных систем и сетей [1], применимы ко всем уровням политики и эксплуатации, которые определяют безопасность информационных систем и сетей. Настоящий стандарт предлагает концептуальную основу системы менеджмента информационной безопасности для реализации некоторых из принципов ОЭСР с использованием модели PDCA и процессов, описанных в разделах 4, 5, 6 и 8. Принципы ОЭСР и модель PDCA приведены в таблице В.1.

Таблица В.1 - Принципы ОЭСР и модель PDCA
Принцип ОЭСР	Соответствующий процесс СМИБ и стадия PDCA
Осведомленность	Данные мероприятия являются частью стадии "Осуществление" (см. 4.2.2 и 5.2)
Участники должны быть осведомлены о необходимости обеспечения безопасности информационных систем и сетей и о том, что они могут сделать для повышения уровня безопасности
Ответственность	Данные мероприятия являются частью стадии "Осуществление" (см. 4.2.2 и 5.1)
Все участники являются ответственными за безопасность информационных систем и сетей
Реагирование	Является частью стадии "Проверка" деятельности по мониторингу (см. 4.2.3, раздел 6 и 7.3) и мероприятий по реагированию стадии "Действие" (см. 4.2.4, 8.1, 8.2 и 8.3). Данные мероприятия могут быть также охвачены некоторыми элементами стадий "Планирование" и "Проверка"
Участники должны действовать совместно и своевременно, чтобы предотвращать, обнаруживать инциденты безопасности и реагировать на них
Оценка риска	Этот вид деятельности является частью стадии "Планирование" (см. 4.2.1), а повторная оценка (переоценка) риска является частью стадии "Проверка" (см. 4.2.3, раздел 6 и 7.3)
Участники должны проводить оценку рисков
Разработка и внедрение безопасности	После выполнения оценки рисков выбирают меры управления для обработки рисков как часть стадии "Планирование" (см. 4.2.1). Стадия "Осуществление" (см. 4.2.2 и 5.2) охватывает затем внедрение и обеспечение функционирования этих мер управления
Участники должны внедрить безопасность как важный элемент информационных систем и сетей
Менеджмент безопасности	Менеджмент рисков представляет собой процесс, включающий в себя предотвращение, обнаружение инцидентов и реагирование на них, сопровождение, анализ и аудит. Все эти вопросы решают на стадиях "Планирование", "Осуществление", "Проверка" и "Действие"
Участники должны применять всесторонний подход к менеджменту безопасности
Повторная оценка	Переоценка (повторная оценка) информационной безопасности является частью стадии "Проверка" (см. 4.2.3, раздел 6 и 7.3), на которой должны быть предприняты регулярные анализы эффективности системы менеджмента информационной безопасности, а повышение уровня безопасности является частью стадии "Действие" (см. 4.2.4, 8.1, 8.2 и 8.3)
Участники должны анализировать и повторно оценивать состояние безопасности информационных систем и сетей, и вносить соответствующие изменения в политику, практику, меры и процедуры безопасности