ГОСТ Р ИСО/МЭК 27000-2012. Национальный стандарт РФ: "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 15.11.2012 N 813-ст) (документ утратил силу)

Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27000-2012
"Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология"
(утв. приказом Федерального агентства по техническому регулированию и метрологии от 15 ноября 2012 г. N 813-ст)

Information technology. Security techniques. Information security management systems. Overview and vocabulary

Дата введения - 1 декабря 2013 г.

Введен впервые

Введение

Международные стандарты системы менеджмента представляют модель для налаживания и функционирования системы менеджмента. Эта модель включает в себя функции, по которым эксперты достигли согласия на основании международного опыта, накопленного в этой области. Подкомитет SC 27 Совместного технического комитета ISO/IEC JTC 1 имеет в своем составе комиссию экспертов, которая работает в области создания системы международных стандартов по информационной безопасности, известной как семейство стандартов системы менеджмента информационной безопасности (СМИБ).

При использовании семейства стандартов СМИБ организации могут реализовывать и совершенствовать систему управления защитой информации и подготовиться к независимой оценке их СМИБ, применяемой для защиты информации, такой как финансовая информация, интеллектуальная собственность, информация о персонале, а также информация, доверенная клиентами или третьей стороной.

Семейство стандартов СМИБ* предназначено для помощи организациям любого типа и величины в реализации и функционировании СМИБ. Семейство стандартов СМИБ состоит из следующих международных стандартов под общим названием Information technology - Security techniques (Информационные технологии. Методы и средства обеспечения безопасности):

- ISO/IEC 27000:2009, Information security management systems - Overview and vocabulary (Система менеджмента информационной безопасности. Общий обзор и терминология);

- ISO/IEC 27001:2005, Information security management systems - Requirements (Система менеджмента информационной безопасности. Требования);

- ISO/IEC 27002:2005, Code of practice for information security management (Свод правил по управлению защитой информации);

- ISO/IEC 27003, Information security management system implementation guidance (Руководство no реализации системы менеджмента информационной безопасности);

- ISO/IEC 27004, Information security management - Measurement (Менеджмент информационной безопасности. Измерения);

- ISO/IEC 27005:2008, Information security risk management (Управление рисками информационной безопасности);

- ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems (Требования для органов, обеспечивающих аудит и сертификацию систем менеджмента информационной безопасности);

- ISO/IEC 27007, Guidelines for information security management systems auditing (Руководство для аудитора СМИБ);

- ISO/IEC 27011, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 (Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002).

Примечание - Общее название "Информационные технологии. Методы и средства обеспечения безопасности" означает, что эти стандарты были подготовлены подкомитетом "Методы защиты ИТ" Совместного технического комитета ISO/IEC JTC 1 "Информационные технологии".

Международные стандарты, не имеющие этого общего названия:

- ISO 27799:2008, Health informatics - Information security management in health using ISO/IEC 27002 (Информатика в здравоохранении. Менеджмент информационной безопасности по стандарту ISO/IEC 27002);

- ISO/IEC 27000:2009 представляет обзор систем менеджмента информационной безопасности, которые составляют семейство стандартов СМИБ, а также дает определения терминов.

Примечание - Приложение А разъясняет, как должны интерпретироваться словесные выражения положений стандартов семейства СМИБ, выражающих требования и рекомендации.

Семейство стандартов СМИБ содержит стандарты, которые:

- определяют требования к СМИБ и к сертификации таких систем;

- содержат прямую поддержку, детальное руководство и (или) интерпретацию полных процессов "План (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA) и требования;

- включают в себя специальные руководящие принципы для СМИБ;

- руководят проведением оценки соответствия СМИБ.

Глоссарий терминов и определений, приведенный в настоящем стандарте:

- охватывает термины и определения, в большинстве случаев используемые в семействе стандартов СМИБ;

- не охватывает все термины и определения, применяемые в семействе стандартов СМИБ;

- не ограничивает семейство стандартов СМИБ в определении терминов для их использования.

Стандарты, регулирующие только реализацию средств управления, в отличие от стандартов, регулирующих все меры и средства контроля и управления, содержащиеся в стандарте ISO/IEC 27002, исключены из семейства стандартов СМИБ.

Настоящий стандарт обновляется с более высокой частотой, чем обычно обновляются стандарты ИСО/МЭК, для того чтобы отразить состояние изменений семейства стандартов СМИБ.

1 Область применения

Настоящий стандарт содержит:

- обзор семейства стандартов СМИБ;

- введение в систему менеджмента информационной безопасности (СМИБ);

- краткое описание процесса "План (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA);

- термины и определения для использования в семействе стандартов СМИБ.

Настоящий стандарт применим ко всем типам организаций (например, коммерческие предприятия, правительственные учреждения, некоммерческие организации).

2 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями.

Примечание - Термин, определяемый в каком-либо другом месте настоящего раздела, выделен жирным шрифтом. За ним в скобках следует его порядковый номер.

Пример:

Атака (attack) (2.4) определена как "попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа к активу (2.3) или его несанкционированного использования".

Актив определен как "что-либо, что имеет ценность для организации".

Если термин актив заменить его определением, определение термина атака будет выглядеть как "попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа или несанкционированного использования чего-либо, что имеет ценность для организации".

2.1 контроль доступа (access control): Обеспечение того, чтобы доступ к активам (2.3) был санкционирован и ограничен в соответствии с требованиями коммерческой тайны и безопасности.

2.2 подотчетность (accountability): Ответственность субъекта за его действия и решения.

2.3 актив (asset): Что-либо, что имеет ценность для организации.

Примечание - Имеются различные типы активов:

- информация (2.18);

- программное обеспечение;

- материальные активы, например компьютер;

- услуги;

- люди и их квалификация, навыки и опыт;

- нематериальные активы, такие как репутация и имидж.

2.4 атака (attack): Попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа к активу (2.3) или его несанкционированного использования.

2.5 аутентификация (authentication): Обеспечение гарантии того, что заявленные характеристики объекта правильны.

2.6 подлинность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичен заявленному.

2.7 доступность (availability): Свойство быть доступным и готовым к использованию по запросу авторизованного субъекта.

2.8 обеспечение непрерывности бизнеса (business continuity): Процессы (2.31) и (или) процедуры (2.30), обеспечивающие уверенность в непрерывности операций бизнеса.

2.9 конфиденциальность (confidentiality): Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов (2.31).

2.10 мера и средство контроля и управления (control): Средство для осуществления менеджмента риска (2.34), включающее политики (2.28), процедуры (2.30), рекомендации (2.16), практические приемы или организационные структуры, которые могут иметь административный, технический, управленческий или правовой характер.

Примечание - Термин "мера и средство контроля и управления" также используется как синоним терминов "защитная мера" или "контрмера".

2.11 цель применения мер и средств контроля и управления (control objective): Формулировка, характеризующая, чего следует достичь в результате реализации мер и средств контроля и управления (2.10).

2.12 корректирующее действие (corrective action): Действие по устранению причины несоответствия или другой нежелательной ситуации.

[ISO 9000:2005]

2.13 эффективность (effectiveness): Связь между достигнутым результатом и тем, насколько целесообразно использованы ресурсы.

[ISO 9000:2005]

2.14 результативность (efficiency): Степень реализации запланированной деятельности и достижения запланированных результатов.

2.15 событие (event): Возникновение специфического набора обстоятельств.

[ISO/IEC Guide 73:2002]

2.16 рекомендация (guideline): Рекомендация, поясняющая действия и способы их выполнения, необходимые для достижения установленных целей.

2.17 воздействие (impact): Неблагоприятное изменение уровня достигнутых бизнес-целей.

2.18 информационный актив (information asset): Знания или данные, которые имеют значение для организации.

2.19 информационная безопасность (information security): сохранение конфиденциальности (2.9), целостности (2.25) и доступности (2.7) информации.

Примечание - Также сюда могут быть включены другие свойства, такие как подлинность (2.6), подотчетность (2.2), неотказуемость (2.27) и достоверность (2.33).

2.20 событие в системе информационной безопасности (information security event): Выявленное состояние системы, услуги или состояние сети, указывающее на возможное нарушение политики (2.28) обеспечения информационной безопасности (2.19), нарушение или отказ мер и средств контроля и управления (2.10) или прежде неизвестная ситуация, которая может иметь значение для безопасности.

2.21 инцидент информационной безопасности (information security incident): Одно или несколько нежелательных или неожиданных событий информационной безопасности (2.20), которые со значительной степенью вероятности приводят к компрометации операций бизнеса и создают угрозы для информационной безопасности (2.19).

2.22 менеджмент инцидента информационной безопасности (information security incident management): Процессы (2.31) обнаружения, информирования, оценки, реагирования, рассмотрения и изучения инцидентов информационной безопасности (2.21).

2.23 система менеджмента информационной безопасности (СМИБ) (information security management system (ISMS): Часть общей системы менеджмента (2.26), основанная на подходе бизнес-рисков по созданию, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению информационной безопасности (2.19).

2.24 риск информационной безопасности (information security risk): Потенциальная возможность того, что уязвимость (2.46) будет использоваться для создания угрозы (2.45) активу (2.3) или группе активов, приводящей к ущербу для организации.

2.25 целостность (integrity): Свойство сохранения правильности и полноты активов (2.3).

2.26 система менеджмента (management system): Система, включающая в себя политики (2.28), процедуры (2.30), рекомендации (2.16) и связанные с ними ресурсы для достижения целей организации.

2.27 неотказуемость (non-repudiation): Способность удостоверять имевшее место событие (2.15) или действие и их субъекты так, чтобы это событие (2.15) или действие и субъекты, имеющие к нему отношение, не могли быть поставлены под сомнение.

2.28 политика (policy): Общее намерение и направление, официально выраженное руководством.

2.29 предупреждающее действие (preventive action): Действие, предпринятое для устранения потенциального несоответствия или другой потенциально нежелательной ситуации.

[ISO 9000:2005]

2.30 процедура (procedure): Установленный способ действия или процесса (2.31).

[ISO 9000:2005]

2.31 процесс (process): Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующих входы в выходы.

[ISO 9000:2005]

2.32 запись (record): Документ, содержащий достигнутые результаты или свидетельства осуществленной деятельности.

[ISO 9000:2005]

2.33 достоверность (reliability): Свойство соответствия предусмотренному поведению и результатам.

2.34 риск (risk): Сочетание вероятности события (2.15) и его последствий.

[ISO/IEC Guide 73:2002]

2.35 принятие риска (risk acceptance): Решение принять риск (2.34).

[ISO/IEC Guide 73:2002]

2.36 анализ риска (risk analysis): Систематическое использование информации для выявления источников и оценки риска (2.34).

[ISO/IEC Guide 73:2002]

Примечание - Анализ риска обеспечивает базу для оценивания риска (2.41), обработки риска (2.43) и принятия риска (2.35).

2.37 оценка риска (risk assessment): общий процесс (2.31) анализа риска (2.36) и оценивания риска (2.41).

[ISO/IEC Guide 73:2002]

2.38 коммуникация риска (risk communication): Обмен информацией о риске (2.34) или совместное использование этой информации между лицом, принимающим решение, и другими причастными сторонами.

[ISO/IEC Guide 73:2002]

2.39 критерии риска (risk criteria): Правила, по которым оценивают значимость риска (2.34).

[ISO/IEC Guide 73:2002]

2.40 количественная оценка риска (risk estimation): Процесс присвоения значений вероятности и последствий риска (2.34).

[ISO/IEC Guide 73:2002]

2.41 оценивание риска (risk evaluation): Процесс (2.31) сравнения оценочной величины риска (2.34) с установленным критерием риска (2.39) с целью определения уровня значимости риска (2.34).

[ISO/IEC Guide 73:2002]

2.42 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в отношении риска (2.34).

[ISO/IEC Guide 73:2002]

Примечание - Менеджмент риска обычно включает в себя оценку риска (2.37), обработку риска (2.43), принятие риска (2.35), коммуникацию риска (2.38), мониторинг риска и пересмотр риска.

2.43 обработка риска (risk treatment): Процесс (2.31) выбора и осуществления мер по модификации риска (2.34).

[ISO/IEC Guide 73:2002]

2.44 ведомость применимости (statement of applicability): Документ, определяющий цели применения мер и средств контроля и управления (2.11) и меры и средства контроля и управления (2.10), являющиеся адекватными и применимыми для СМИБ (2.23) организации.

2.45 угроза (threat): Возможная причина нежелательного инцидента, который может нанести ущерб системе или организации.

2.46 уязвимость (vulnerability): Слабое место актива (2.3) или меры и средства контроля и управления (2.10), которое может быть использовано угрозой (2.45).

3 Системы менеджмента информационной безопасности

3.1 Основные понятия

Организации любого типа и величины:

- собирают, обрабатывают, хранят и передают большое количество информации;

- понимают, что информация и относящиеся к ней процессы, системы, сети и персонал являются важными ресурсами для решения задач, стоящих перед организацией;

- сталкиваются с рядом рисков, которые могут оказывать воздействие на функционирование активов организации;

- ослабляют риски, осуществляя управление информационной безопасностью.

Вся информация, хранящаяся и обрабатывающаяся в организации, является объектом угроз атаки, ошибки, воздействия стихии (например, наводнения или пожара) и т.д. Термин "информационная безопасность" относится к информации, которую рассматривают как актив, у которого есть ценность, требующая соответствующей защиты, например, от потери доступности, конфиденциальности и целостности. Обеспечение возможности санкционированного своевременного получения точной и полной информации значительно повышает эффективность работы.

Защита информационных активов посредством определения, достижения, поддержания и улучшения информационной безопасности очень важна для того, чтобы позволить организации достигать свои цели, а также поддерживать и повышать уровень соответствия законодательству и репутацию. Эти скоординированные действия, направляющие реализацию подходящих средств управления и рассматривающие недопустимые риски информационной безопасности, являются общеизвестными как элементы менеджмента информационной безопасности.

Так как риски информационной безопасности и эффективность средств управления меняются в зависимости от изменяющихся обстоятельств, организациям необходимо:

- контролировать и оценивать эффективность имеющихся средств управления и процедур;

- идентифицировать появляющиеся риски для их рассмотрения;

- выбирать, реализовывать и улучшать должным образом соответствующие меры и средства контроля и управления.

Чтобы установить взаимосвязь и скоординировать такие действия системы информационной безопасности, каждая организация должна установить свою политику и цели для системы информационной безопасности и эффективно достигать эти цели при использовании системы менеджмента.

3.2 Общие положения

3.2.1 Обзор и принципы

Система менеджмента информационной безопасности (СМИБ) представляет модель для создания, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения защиты информационных активов для достижения деловых целей, основанную на оценке риска и на принятии уровней риска организации, разработанную для эффективного рассмотрения и управления рисками. Анализ требований для защиты информационных активов и применение соответствующих средств управления, чтобы обеспечить необходимую защиту этих информационных активов, способствует успешной реализации СМИБ. Следующие основные принципы способствуют успешной реализации СМИБ:

- понимание необходимости системы информационной безопасности;

- назначение ответственности за информационную безопасность;

- соединение административных обязанностей и интересов заинтересованных лиц;

- возрастание социальных ценностей;

- оценка риска, определяющая соответствующие меры и средства контроля и управления для достижения допустимых уровней риска;

- безопасность как неотъемлемый существенный элемент информационных сетей и систем;

- активное предупреждение и выявление инцидентов информационной безопасности;

- обеспечение комплексного подхода к менеджменту информационной безопасности;

- непрерывная переоценка и соответствующая модификация системы информационной безопасности.

3.2.2 Информация

Информация - это актив, который наряду с другими важными деловыми активами важен для бизнеса организации и, следовательно, должен быть соответственно защищен. Информация может храниться в различных формах, включая такие как цифровая форма (например, файлы с данными, сохраненные на электронных или оптических носителях), материальная форма (например, на бумаге), а также в нематериальном виде в форме знаний служащих. Информация может быть передана различными способами: с помощью курьера, систем электронной или голосовой коммуникации. Независимо от того, в какой форме представлена информация и каким способом передается, она должна быть должным образом защищена.

Информация организации зависит от информационно-коммуникационных технологий. Эти технологии - существенный элемент в любой организации. Они облегчают создание, обработку, хранение, передачу, защиту и расширение информации. Расширение связанной глобальной деловой среды выдвигает требование защиты информации, поскольку эта информация теперь подвергается воздействию более широкого разнообразия угроз и уязвимостей.

3.2.3 Информационная безопасность

Информационная безопасность включает в себя три основных измерения: конфиденциальность, доступность и целостность. С целью обеспечения длительного непрерывного успеха в бизнесе и уменьшения нежелательных воздействий информационная безопасность предусматривает применение соответствующих мер безопасности, которые включают в себя рассмотрение широкого диапазона угроз, а также управление этими мерами.

Информационная безопасность достигается посредством применения соответствующего набора средств управления, определенного с помощью процесса управления рисками и управляемого с использованием СМИБ, включая политику, процессы, процедуры, организационные структуры, программное и аппаратное обеспечение, чтобы защитить идентифицированные информационные активы. Эти меры и средства контроля и управления должны быть определены, реализованы, проверены, проанализированы и при необходимости улучшены, чтобы гарантировать, что уровень безопасности соответствует деловым целям организации. Меры и средства контроля и управления безопасностью важной информации неразрывно связываются с бизнес-процессами организации.

3.2.4 Менеджмент

Менеджмент включает в себя действия по управления, контролю и непрерывному совершенствованию организации в рамках соответствующих структур. Управленческие действия включают в себя действия, методы или практику формирования, обработки, направления, наблюдения и управления ресурсами. Величина управленческой структуры может варьироваться от одного человека в небольших организациях до управленческой иерархии в крупных организациях, состоящих из многих людей.

Относительно СМИБ менеджмент включает в себя наблюдение и выработку решений, необходимых для достижения деловых целей посредством защиты информационных активов организации. Менеджмент информационной безопасности выражается через формулирование и использование политики информационной безопасности, стандартов, процедур и рекомендаций, которые применяются повсеместно в организации всеми лицами, связанными с ней.

Примечание - Термин "менеджмент" может иногда относиться к людям (то есть к человеку или группе людей с властью и ответственностью за управление и контроль организации). Термин "менеджмент", употребляемый в этом пункте, имеет другой смысл.

3.2.5 Система менеджмента

Система менеджмента использует совокупность ресурсов для достижения целей организации. Система менеджмента включает в себя организационную структуру, политику, планирование действий, обязательства, методы, процедуры, процессы и ресурсы.

В части информационной безопасности система управления позволяет организации:

- удовлетворять требования безопасности клиентов и других заинтересованных лиц;

- улучшать планы и действия организации;

- соответствовать целям информационной безопасности организации;

- выполнять регулирующие требования, требования законодательства и отраслевые нормативные документы;

- организованно управлять информационными активами для облегчения непрерывного совершенствования и регулирования текущих организационных целей и внешних условий.

3.3 Процессный подход для СМИБ

Организации нужно вести различные виды деятельности и управлять ими для того, чтобы функционировать результативно. Любой вид деятельности, использующий ресурсы и управляемый для того, чтобы обеспечить возможность преобразования входов в выходы, можно считать процессом. Выход одного процесса может непосредственно формировать вход следующего процесса. Обычно такая трансформация происходит в условиях планирования и управления. Применение системы процессов в рамках организации вместе с идентификацией и взаимодействием этих процессов, а также их управлением может быть определено как "процессный подход".

Процессный подход для СМИБ, представленный в семействе стандартов СМИБ, основан на операционном принципе, принятом в стандартах системы управления ISO и общеизвестном как процесс "План (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA):

- план - постановка целей и разработка планов (провести анализ ситуации в организации, наметить общие цели, поставить задачи и разработать планы для их достижения);

- осуществление - реализация планов (выполнить то, что было запланировано);

- проверка - проверка результатов (измерение/контроль степени соответствия достигнутых результатов плану);

- действие - коррекция и улучшение работы (учиться на ошибках, чтобы улучшить работу и достичь лучших результатов).

3.4 Цели внедрения СМИБ

В качестве части СМИБ организации должны быть определены риски, связанные с информационными активами организации. Достижение информационной безопасности требует управления риском и охватывает риски физические, человеческие и технологические, относящиеся к угрозам, касающимся всех форм информации внутри организации или используемой организацией.

Принятие СМИБ является стратегическим решением для организации, и необходимо, чтобы это решение неразрывно интегрировалось, оценивалось и обновлялось в соответствии с потребностями организации.

На разработку и реализацию СМИБ организации влияют потребности и цели организации, требования безопасности, используемые бизнес-процессы, а также размер и структура организации. Разработка и функционирование СМИБ должны отражать интересы и требования информационной безопасности всех заинтересованных лиц организации, включая клиентов, поставщиков, деловых партнеров, акционеров и других третьих лиц.

Во взаимосвязанном мире информация и относящиеся к ней процессы, системы и сети составляют критические деловые активы. Организации и их информационные системы и сети сталкиваются с угрозами безопасности из широкого диапазона источников, включая компьютерное мошенничество, шпионаж, саботаж, вандализм, а также пожар и наводнение. Повреждения информационных систем и сетей, вызванные вредоносным кодом, действиями хакеров и DoS-атаками, стали более распространенными, более масштабными и все более и более серьезными.

СМИБ важна для предприятий как государственного, так частного сектора. В любой отрасли СМИБ является необходимым инструментом для поддержания электронного бизнеса и важна для действий менеджмента риска. Взаимосвязь общедоступных и частных сетей и распределенность информационных активов увеличивают трудность управления доступом к информации и ее обработки. Кроме того, распространение мобильных устройств хранения данных, содержащих информационные активы, может ослабить эффективность традиционных средств контроля. Когда организации принимают семейство стандартов СМИБ, способность применить последовательные и взаимно известные принципы информационной безопасности может быть продемонстрирована деловым партнерам и другим заинтересованным сторонам.

Информационная безопасность не всегда учитывается при проектировании и расширении информационных систем. Кроме того, часто считают, что информационная безопасность - это техническая проблема. Однако уровень безопасности, который может быть достигнут с помощью технических средств, ограничен. Такая защита может быть неэффективной, не будучи поддержанной соответствующим управлением и процедурами в контексте СМИБ. Последующее встраивание системы безопасности в информационную систему может быть трудным и дорогостоящим. СМИБ включает в себя идентификацию имеющихся средств управления и требует тщательного планирования и внимания к деталям. Например, средства контроля доступа, которые могут быть техническими (логическими), физическими, административными (организационными), или их комбинация гарантируют, что доступ к информационным активам разрешен и ограничен на основании требований бизнеса и требований безопасности.

Принятие СМИБ важно для защиты информационных активов. Это позволяет организации:

- повысить гарантии того, что ее информационные активы в достаточной мере на непрерывной основе защищены от угроз информационной безопасности;

- поддерживать структурированную и всестороннюю систему для идентификации и оценки угроз информационной безопасности, выбора и применения соответствующих средств управления и измерения и улучшения их эффективности;

- непрерывно улучшать ее среду контроля;

- соответствовать юридическим и регулирующим требованиям.

3.5 Внедрение, контроль, поддержка и улучшение СМИБ

3.5.1 Общие положения

Организация должна предпринимать следующие меры по внедрению, контролю, поддержке и улучшению ее СМИБ:

- определение информационных активов и связанных с ними требований безопасности (см. 3.5.2);

- оценка рисков информационной безопасности (см. 3.5.3);

- выбор и реализация соответствующих средств управления для управления неприемлемыми рисками (см. 3.5.4);

- контроль, поддержка и повышение эффективности средств управления безопасностью, связанных с информационными активами организации (см. 3.5.5).

Для гарантии эффективной непрерывной защиты информационных активов организации с помощью СМИБ необходимо постоянно повторять шаги (а) - (d), чтобы выявлять изменения рисков, стратегии организации или деловых целей.

3.5.2 Определение требований информационной безопасности

В пределах общей стратегии и деловых целей организации, ее размера и географического распространения требования информационной безопасности могут быть определены при анализе следующих факторов:

- идентифицированные информационные активы и их ценность;

- деловые потребности в обработке и хранении информации;

- юридические, регулирующие и договорные требования.

Проведение методической оценки рисков, связанных с информационными активами организации, включает в себя анализ угроз информационным активам, уязвимостей информационных активов и вероятности угрозы информационным активам, потенциального воздействия любого инцидента информационной безопасности на информационные активы. Расходы на соответствующие меры и средства контроля и управления безопасностью пропорциональны оцениваемому деловому воздействию в случае осуществления риска.

3.5.3 Оценка рисков информационной безопасности

Управление рисками информационной безопасности требует соответствующей оценки риска и метода обработки риска. Это может включать в себя оценку затрат и преимуществ, законных требований, социальных, экономических и экологических аспектов, проблем заинтересованных лиц, приоритетов и других входов и переменных. Результаты оценки риска информационной безопасности помогут выработать и провести соответствующие управленческие решения для действий и установления приоритетов для управления рисками информационной безопасности, а также для реализации соответствующих средств управления безопасностью для защиты от этих рисков. Стандарт ISO/IEC 27005 обеспечивает руководство менеджментом рисков информационной безопасности, включая рекомендации относительно оценки риска, обработки риска, принятия риска, коммуникации риска, контроля риска и анализа риска.

3.5.4 Выбор и реализация средств управления информационной безопасностью

После определения требований к информационной безопасности и оценки рисков информационной безопасности для идентифицированных информационных активов (включая решения для обработки рисков информационной безопасности) должны быть выбраны и реализованы соответствующие меры и средства контроля и управления, чтобы гарантировать, что риски информационной безопасности уменьшены до уровня, приемлемого для организации. Меры и средства контроля и управления могут быть выбраны с помощью стандарта ISO/IEC 27002 или из других соответствующих наборов средств управления. Также для удовлетворения специфических потребностей могут быть разработаны новые соответствующие меры и средства контроля и управления. Выбор средств управления безопасностью зависит от требований безопасности, принимающих во внимание критерии для принятия риска информационной безопасности, вариантов обработки риска и общего подхода управления рисками, применяемого организацией. Выбор и реализация средств управления могут быть документированы в заявлении о применимости.

Меры и средства контроля и управления, изложенные в ISO/IEC 27002, общепризнаны как лучшие методы, применимые к большинству организаций. Они были разработаны для того, чтобы удовлетворять требованиям организаций разной величины и структуры. Другие стандарты семейства стандартов СМИБ руководят выбором и применением средств управления информационной безопасностью, изложенных в стандарте ISO/IEC 27002, для системы менеджмента (ISO/IEC 27001).

3.5.5 Контроль, поддержка и повышение эффективности СМИБ

Организация должна поддерживать работоспособность и улучшать СМИБ посредством контроля и оценки деятельности, направленной против политики и целей организации, и сообщения о результатах менеджменту для анализа. Этот анализ СМИБ позволит наглядно показать правильность и отслеживаемость корректирующих, профилактических действий и действий по усовершенствованию, основанных на этих результатах, включая контроль средств управления информационной безопасностью.

3.6 Критические факторы успеха СМИБ

Для успешной реализации СМИБ, позволяющей организации достичь своих деловых целей, имеет значение бо