ГОСТ Р ИСО/МЭК 27013-2014. Национальный стандарт РФ: "Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 16.09.2014 N 1084-ст)

Information technology. Security techniques. Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

Дата введения - 1 сентября 2015 г.

Введен впервые

Введение

ИСО/МЭК 27013 был подготовлен совместным техническим комитетом ИСО/МЭК СТК 1, Информационная технология, подкомитетом 27, Методы и средства обеспечения безопасности, в сотрудничестве с совместным техническим комитетом ИСО/МЭК СТК 1, Информационная технология, подкомитетом 7, Проектирование программного обеспечения и систем.

Взаимосвязь между информационной безопасностью и менеджментом услуг является настолько тесной, что многие организации уже осознали выгоды применения обоих стандартов: ИСО/МЭК 27001 - для обеспечения информационной безопасности и ИСО/МЭК 20000-1 - для менеджмента услуг. Обычно организация совершенствует методы своей работы для соответствия требованиям одного стандарта, а затем проводит дальнейшие совершенствования, чтобы соответствовать требованиям другого стандарта.

Реализация интегрированной системы менеджмента, учитывающей не только предоставляемые услуги, но также и защиту информационных активов, дает ряд выгод. Эти выгоды можно получить независимо от того, вводятся ли стандарты последовательно или их ввод в действие происходит одновременно. В частности, менеджмент и организационные процессы могут получить выгоду из сходства стандартов и их общих целей.

Основные выгоды совместного введения в действие этих стандартов:

a) уверенность внутренних или внешних клиентов организации в эффективных и безопасных услугах;

b) более низкая стоимость интегрированной программы двух проектов, в которой достижения менеджмента услуг и информационной безопасности являются частью стратегии организации;

c) уменьшение времени реализации за счет интегрированной разработки процессов, общих для обоих стандартов;

d) устранение ненужного дублирования;

e) лучшее понимание персоналом, отвечающим за менеджмент услуг и обеспечение безопасности, точек зрения друг друга;

f) организации, прошедшей сертификацию по ИСО/МЭК 27001, намного легче выполнять требования по обеспечению информационной безопасности подраздела 6.6 ИСО/МЭК 20000-1:2011, поскольку оба стандарта дополняют требования друг друга.

Настоящий стандарт основан на опубликованных версиях обоих стандартов, т.е. ИСО/МЭК 27001:2005 и ИСО/МЭК 20000-1:2011.

Настоящий стандарт предназначен для использования лицами, знающими содержание обоих стандартов (ИСО/МЭК 27001 и ИСО/МЭК 20000-1), одного из них или не знающими ни того, ни другого стандарта.

Предполагается, что всем читателям доступны экземпляры обоих стандартов. Поэтому настоящий стандарт не воспроизводит части ни одного из стандартов. Также он не описывает полностью все части каждого стандарта. Подробно описываются только те части, в которых предметы обсуждения совпадают.

Настоящий стандарт не дает рекомендаций, связанных с разными правовыми и нормативными актами, регулирующими деятельность организации извне. Данные акты могут варьироваться в зависимости от страны и влиять на планирование системы менеджмента организации.

1 Область применения

Настоящий стандарт предоставляет руководство по совместному использованию ИСО/МЭК 27001 и ИСО/МЭК 20000-1 для организаций, планирующих:

a) реализовать ИСО/МЭК 27001, когда стандарт ИСО/МЭК 20000-1 уже принят, или наоборот;

b) реализовать одновременно оба стандарта: ИСО/МЭК 27001 и ИСО/МЭК 20000-1;

c) объединить существующие системы менеджмента в соответствии с ИСО/МЭК 27001 и ИСО/МЭК 20000-1.

Настоящий стандарт сосредоточен исключительно на совместном использовании ИСО/МЭК 27001 и ИСО/МЭК 20000-1.

На практике ИСО/МЭК 27001 и ИСО/МЭК 20000-1 могут быть также интегрированы в другие системы менеджмента, представленные, например, в ИСО 9001 и ИСО 14001.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных документов используют только указанное издание. Для недатированных документов используют самое последнее издание ссылочного документа (с учетом всех его изменений).

ИСО/МЭК 20000-1:2011 Информационная технология. Менеджмент услуг. Требования к системе менеджмента услуг (ISO/IEC 20000-1:2011, Information technology - Service management - Service management system requirements)

ИСО/МЭК 27000:2009* Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и терминология (ISO/IEC 27000:2009, Information technology - Security techniques - Information security management systems - Overview and vocabulary)

ИСО/МЭК 27001:2005** Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirements)

3 Термины, определения и сокращения

В настоящем стандарте применены термины по ИСО/МЭК 27000:2009 и ИСО/МЭК 20000-1:2011. В настоящем стандарте применены следующие сокращения:

СМИБ	система менеджмента информационной безопасности (information security management system - ISMS) (из ИСО/МЭК 27001);
СМУ	система менеджмента услуг (service management system - SMS) (из ИСО/МЭК 20000-1).

В приложении А настоящего стандарта приведено сравнение содержания ИСО/МЭК 27001:2005 и ИСО/МЭК 20000-1:2011 на уровне структурных элементов.

В приложении В настоящего стандарта приведено сравнение терминов:

- определенных в ИСО/МЭК 27000:2009, являющемся глоссарием для ИСО/МЭК 27001:2005;

- использованных в ИСО/МЭК 27001;

- определенных или использованных в ИСО/МЭК 20000-1:2011.

4 Обзор ИСО/МЭК 27001 и ИСО/МЭК 20000-1

4.1 Понимание стандартов

Прежде чем планировать интегрированную систему менеджмента, организации следует достичь полного понимания характерных особенностей, сходств и различий ИСО/МЭК 27001 и ИСО/МЭК 20000-1. Это позволяет оптимизировать время и ресурсы, доступные для реализации. В 4.2 - 4.4 настоящего стандарта представлены основные концепции, лежащие в основе обоих стандартов, но их не следует использовать взамен детального рассмотрения указанных стандартов.

4.2 Концепции ИСО/МЭК 27001

ИСО/МЭК 27001 представляет модель для установления, реализации, эксплуатации, мониторинга, проверки, поддержки и совершенствования СМИБ, используемой для защиты информационных активов. Информационные активы охватывают информацию любого вида, хранимую в любой форме и используемую для любых целей организации или в ее рамках.

Для достижения согласованности с ИСО/МЭК 27001 организация должна реализовать СМИБ на основе процесса оценки риска, чтобы определить риски информационных активов. Как часть этой работы, организация должна сделать выбор, реализовать, провести мониторинг и проверить разнообразные меры для осуществления менеджмента этих рисков. Эти меры известны как меры и средства контроля и управления. Организации необходимо определять допустимые уровни риска, учитывая требования бизнеса и налагаемые внешние требования. Примерами налагаемых внешних требований являются законодательные и нормативные требования или договорные обязательства.

ИСО/МЭК 27001 предназначен для использования организацией любого вида и величины.

4.3 Концепции ИСО/МЭК 20000-1

ИСО/МЭК 20000-1 предназначен для применения организациями или частями организаций, использующих или предоставляющих услуги. Это добавляет значимости, как клиенту, так и поставщику услуг. Тем не менее, все процессы, охватываемые стандартом, контролируются поставщиком услуг, и только поставщик услуг может добиться соответствия ИСО/МЭК 20000-1. Стандарт в первую очередь нацелен на обеспечение уверенности в том, что услуги удовлетворяют требованиям по обслуживанию и обеспечивают выгоду, как для клиента, так и для поставщика услуг.

Менеджмент услуг управляет и контролирует деятельности и ресурсы поставщика услуг при проектировании, разработке, развитии, предоставлении и совершенствовании услуг с целью выполнения требований к услугам, согласованных со своим клиентом(ами).

Для выполнения требований этого стандарта поставщиком услуг должен быть реализован ряд определенных процессов менеджмента услуг. Они включают, среди прочего, менеджмент инцидентов, менеджмент изменений и менеджмент проблем. Менеджмент информационной безопасности считается одним из процессов менеджмента услуг ИСО/МЭК 20000-1.

ИСО/МЭК 20000-1 может быть использован организацией любого вида и величины.

4.4 Сходства и различия

Менеджмент услуг и менеджмент информационной безопасности часто рассматривают так, будто они не связаны и даже не зависимы один от другого. Условием такого разделения является то, что менеджмент услуг, бесспорно, может иметь отношение к эффективности и рентабельности, тогда как менеджмент информационной безопасности часто не рассматривается как основа для эффективного оказания услуг. В результате менеджмент услуг часто реализуется в первую очередь. Однако, как показано на рисунке 1, многие цели управления, а также меры и средства контроля и управления из приложения А ИСО/МЭК 27001:2005, также включены в требования менеджмента услуг из ИСО/МЭК 20000-1.

"Рисунок 1 - Сравнение концепций ИСО/МЭК 27001 и ИСО/МЭК 20000-1"

Очевидно, что менеджмент информационной безопасности и менеджмент услуг рассматривают очень похожие процессы и деятельности, даже несмотря на то, что одна система менеджмента выделяет некоторые детали больше чем другая. Дополнительную информацию см. в приложении А настоящего стандарта. При работе с двумя стандартами необходимо понимать, что они различаются по некоторым аспектам. Например, их области действия различны, см. 5.2 настоящего стандарта. К тому же у них разные цели. ИСО/МЭК 20000-1 предназначен для обеспечения уверенности в том, что организация предоставляет эффективные услуги, тогда как ИСО/МЭК 27001 предназначен для того, чтобы дать возможность организации осуществлять менеджмент риска информационной безопасности и предотвращать инциденты безопасности.

5 Подходы к совместному использованию

5.1 Общая информация

Организация, планирующая реализацию ИСО/МЭК 27001 и ИСО/МЭК 20000-1, может находиться в одном из трех состояний:

- существуют совместные соглашения по менеджменту, которые охватывают и менеджмент информационной безопасности и менеджмент услуг (формально системы менеджмента могут также существовать для других областей, например, менеджмент качества);

- существует система менеджмента, основанная на одном из стандартов;

- существуют отдельные системы менеджмента, основанные на обоих стандартах, но они не интегрированы.

Организация, планирующая реализацию интегрированной системы менеджмента, должна учитывать, по крайней мере, следующее:

a) другую, уже используемую систему(ы) менеджмента (например, систему менеджмента качества);

b) все услуги, процессы и их взаимозависимости в контексте интегрированной системы менеджмента;

c) элементы каждого стандарта, которые могут быть объединены, и то, каким образом они могут быть объединены;

d) элементы, которые должны остаться разъединенными;

e) влияние интегрированной системы менеджмента на клиентов, поставщиков и другие стороны;

f) влияние на используемую технологию;

g) влияние на услуги и менеджмент услуг или риски в отношении услуг и менеджмента услуг;

h) влияние на информационную безопасность и менеджмент информационной безопасности или риски в отношении информационной безопасности и менеджмента информационной безопасности;

i) образование и профессиональную подготовку кадров, связанные с интегрированной системой менеджмента;

j) переходные этапы и последовательность действий по реализации.

5.2 Рассмотрение области применения

Одной из областей, где отмечается существенное различие двух стандартов, является объект их области применения, а именно, активы, процессы и роли, которые должна включать система менеджмента организации.

ИСО/МЭК 20000-1 рассматривает требования к проектированию, развитию, предоставлению и совершенствованию услуг, направленных на удовлетворение требований. Это осуществляется через совокупность процессов. Поэтому область применения ИСО/МЭК 20000-1 охватывает процессы менеджмента в организации и предоставляемые услуги. Для ИСО/МЭК 27001 важно осуществление менеджмента риска информационной безопасности. Область применения ИСО/МЭК 27001 охватывает те элементы ее деятельности, которые организация хочет защитить. В этом отношении области применения двух стандартов описываются по-разному. В результате можно реализовать ИСО/МЭК 27001 для той же области, что и ИСО/МЭК 20000-1, но ИСО/МЭК 20000-1 не может быть применен ко всей организации, если только эта организация полностью не является поставщиком услуг.

Таким образом, некоторые процессы, активы и роли в организации могут быть исключены из области действия СМИБ, разработанной в соответствии с ИСО/МЭК 27001. Что касается ИСО/МЭК 20000-1, то они не могут быть исключены из области действия, если являются частью услуги или способствуют услуге в области действия СМУ. Область действия СМИБ также может быть определена исключительно четкими физическими границами, такими как периметр безопасности.

В некоторых случаях оба стандарта не могут быть реализованы для всей или даже части деятельности организации. Например, когда организация не может отвечать требованиям ИСО/МЭК 20000-1, поскольку она может не управлять всеми процессами, осуществляемыми другими сторонами.

Организация может реализовать СМУ и СМИБ с некоторым перекрытием различных областей их действия. Там, где деятельность находится в пределах области применения, как ИСО/МЭК 27001, так и ИСО/МЭК 20000-1, для интегрированной системы менеджмента следует учитывать требования обоих стандартов, см. приложение А настоящего стандарта. Несовпадение областей применения может привести к тому, что некоторые услуги, включенные в СМУ, будут исключены из СМИБ. Равным образом, из СМУ могут быть исключены процессы и функции СМИБ. Например, некоторые организации выбирают к реализации СМИБ только для своих рабочих и коммуникационных функций наряду с тем, что услуги по менеджменту приложений включены в их СМУ. В качестве альтернативы СМИБ может охватывать все услуги, в то время как СМУ может охватывать только услуги для отдельного клиента или часть услуг для всех клиентов. Организации следует, насколько возможно, согласовать области применения стандартов, чтобы обеспечить уверенность в том, что системы менеджмента могут быть успешно интегрированы.

Примечание - Руководство по определению области действия ИСО/МЭК 20000-1 можно найти в ИСО/МЭК 20000-3:2012 "Руководство по определению области действия и применимости ИСО/МЭК 20000-1".

5.3 Предварительно используемые сценарии

5.3.1 Общая информация

Организация, планирующая интегрированную систему менеджмента, может находиться в одном из трех состояний, как описано в 5.3.2 - 5.3.4 настоящего стандарта. Во всех случаях в организации будет применяться несколько разновидностей менеджмента процессов, иначе она не смогла бы существовать. В нижеследующих пунктах даются предложения по реализации для каждого из трех состояний, также описанных в 5.1 настоящего стандарта.

5.3.2 Ни один из стандартов в настоящее время не используется в качестве основы для системы менеджмента

Легко предположить, что когда ни один из стандартов в настоящее время не реализован, не существует политик, процессов и процедур и поэтому ситуация разрешается проще. К сожалению, это неверное представление. У организаций, не имеющих систем менеджмента, основанных либо на ИСО/МЭК 27001, либо на ИСО/МЭК 20000-1, вероятно, существует какая-то разновидность системы менеджмента. Ее необходимо будет адаптировать для достижения соответствия с каждым или обоими стандартами.

Решение, касающееся последовательности реализации двух систем менеджмента, должно быть основано на потребностях бизнеса. Решения могут приниматься в зависимости от того, существует ли конкурентоспособный мотив использования одного или другого стандарта, или существует необходимость продемонстрировать выполнение требований одного или другого стандарта для существующих или новых клиентов.

Другое важное решение касается того, будет ли реализована система менеджмента, основанная на обоих стандартах с самого начала, или следует реализовать систему менеджмента, основанную на одном стандарте, а позднее расширить ее, чтобы включить требования другого стандарта, см. 5.3.3 настоящего стандарта. Оба стандарта могут быть реализованы одновременно. Однако в зависимости от особенностей организации может быть более целесообразным начать с одного стандарта, а затем приступить к реализации другого.

Эти рассуждения поясняются следующими сценариями:

a) организация, которая предоставляет услуги, должна начать с реализации ИСО/МЭК 20000-1, а затем, исходя из уроков, извлеченных из его применения, расширить систему менеджмента, учитывая ИСО/МЭК 27001;

b) организация, использующая поставщиков, в том числе другие стороны для поставки некоторых элементов услуг, должна сначала сосредоточиться на ИСО/МЭК 20000-1. Это предоставляет дополнительные требования к другим сторонам, включая управление поставщиками. Это дает возможность принимать решения относительно управления поставщиками и вопросов управления процессом. Затем организация должна перейти к ИСО/МЭК 27001;

c) небольшая организация может сосредоточиться либо на ИСО/МЭК 27001, либо на ИСО/МЭК 20000-1, исходя из ее уровня уверенности в менеджменте услуг или информационной безопасности;

d) крупная организация, предоставляющая внутренние услуги, должна управлять реализацией как одним проектом. Если это невозможно, ей следует разделить реализацию на два параллельных подпроекта в рамках общей программы работ. В рамках каждого подпроекта следует осуществлять реализацию менеджмента согласно одному стандарту и интегрировать ее с реализацией следующего подпроекта. В случае выбора такого подхода крайне важно обеспечить уверенность в совместимости проектов при их разработке. В результате это может приводить к дополнительным накладным расходам и дополнительному риску, так что к этому сценарию следует прибегать только при отсутствии альтернативы;

e) любая организация, придающая большое значение обеспечению информационной безопасности, должна сначала реализовать СМИБ, в соответствии с требованиями ИСО/МЭК 27001. Следующим шагом, поддерживающим информационную безопасность, должно быть расширение этой системы менеджмента с целью соответствия требованиям ИСО/МЭК 20000-1.

Объединенная рабочая группа/регулярные совещания в течение внедрения обоих стандартов будут способствовать обеспечению уверенности в том, что требования обоих стандартов согласованы.

5.3.3 Существует система менеджмента, удовлетворяющая требованиям одного из стандартов

Если система менеджмента уже соответствует одному из двух стандартов, то основной целью должна быть интеграция с требованиями другого стандарта. Это должно выполняться, не приводя ни к каким потерям в отношении услуг или опасностям для информационной безопасности услуг. Однако существующая система менеджмента должна быть подразделена на отдельные элементы. Это следует тщательно планировать заранее с проверкой существующей документации специалистами по применению стандарта, который будет вводиться, и специалистами по применению стандарта, который уже реализован.

Организация должна идентифицировать атрибуты установленной системы менеджмента, включающие, по меньшей мере, следующее:

a) область действия;

b) организационная структура;

c) политики;

d) деятельности по планированию;

e) полномочия и ответственности;

f) практические приемы;

g) методики, касающиеся менеджмента риска;

h) процессы;

i) процедуры;

j) термины и определения;

k) ресурсы.

Эти атрибуты необходимо рассматривать, чтобы установить, как их можно использовать в интегрированной системе менеджмента. Если выбирается двухступенчатый подход с применением одной системы менеджмента в качестве первой ступени, то второй ступенью является реализация другой системы менеджмента. Область действия каждой ступени должна быть определена и согласована до начала каких-либо действий по реализации.

5.3.4 Существуют отдельные системы менеджмента, удовлетворяющие требованиям каждого из стандартов

Этот последний случай является, вероятно, наиболее сложным. Он поясняет области применения настоящего стандарта, см. 5.2. Возможно, что организация реализовала стандарт ИСО/МЭК 27001 применительно к одной области деятельности, а стандарт ИСО/МЭК 20000-1 - к другой. Затем организация может принять решение о применении одного или другого стандарта к более широкой области деятельности. В какой-то момент времени системы менеджмента будут реализовываться для одних и тех же областей деятельности. В качестве альтернативы может быть запланировано слияние двух областей деятельности организаций. В одной области деятельности организации демонстрируется соответствие требованиям ИСО/МЭК 27001, в то время как в другой области деятельности демонстрируется соответствие требованиям ИСО/МЭК 20000-1.

Отправной точкой должен стать анализ, направленный на достижение следующего:

a) определение и документирование существующих и предполагаемых областей деятельности, в которых применяется каждый стандарт, обращая особое внимание на их различия;

b) сравнение существующих систем менеджмента и установление наличия любых взаимно несовместимых аспектов;

c) инициирование взаимодействия причастных сторон друг с другом в обеих системах менеджмента;

d) планирование наилучшего подхода к интегрированной системе менеджмента:

1) начать с общего развернутого обзора;

2) осуществлять обзор на различных уровнях организации для добавления деталей;

3) направлять замечания и предложения лицам с соответствующим уровнем полномочий для принятия необходимых решений.

Несмотря на то, что существует много способов интеграции систем менеджмента при сохранении согласованности, должен быть выполнен этап широкомасштабного планирования.

6 Факторы, касающиеся совместного использования

6.1 Общая информация

Во всех случаях целью организации должно быть создание жизнеспособной интегрированной системы менеджмента, позволяющей обеспечить согласованность с обоими стандартами. Целью не является сравнение стандартов или определение того, какой стандарт лучше или правильнее. При наличии конфликта точек зрения его следует разрешать способом, удовлетворяющим требованиям обоих стандартов, и обеспечивать уверенность в достижении организацией постоянного совершенствования СМИБ и СМУ. Идеальная интегрированная система менеджмента должна базироваться на наиболее действенном подходе, основанном на требованиях обоих стандартов, примененных соответствующим образом. Это поддерживается также путем дополнения частей одного стандарта к частям другого. Следует проявлять внимание, чтобы сохранить все необходимое для соответствия обоим стандартам.

Между интегрированной системой менеджмента и требованиями каждого отдельного стандарта должна поддерживаться документированная прослеживаемость. С целью уменьшения объема работ для интегрированной системы менеджмента может быть создан единый комплект документации. В поддержку этого организация может создать документацию прослеживания, например, таблицу прослеживаемости. Это детально покажет, как интегрированная система менеджмента согласуется с требованиями каждого стандарта. Преимущества этого подхода заключаются в возможности более простого подтверждения соответствия во время аудитов и проверок. Эти преимущества также включают возможности отслеживания того, какие деятельности являются необходимыми для подтверждения соответствия каждому стандарту.

6.2 Возможные проблемы

6.2.1 Использование и значение актива

Актив, рассматриваемый в ИСО/МЭК 20000-1, отличается от информационного актива ИСО/МЭК 27001. В ИСО/МЭК 20000-1 актив не определяется как термин, поэтому он употребляется в значении обычном для английского языка, означающем нечто ценное. В некоторых пунктах ИСО/МЭК 20000-1:2011 использование активов связано с финансовыми активами, такими как лицензии на программные средства. В отличие от этого стандарт ИСО/МЭК 27001 основывается на концепции защиты информации и имеет формальное определение информационного актива. В последующей части 6.2 настоящего стандарта обсуждаются сходства и различия использования понятий двух стандартов. Включены предложения, касающиеся того, как привести в соответствие два стандарта.

В стандарте ИСО/МЭК 20000-1 используется термин "элемент конфигурации (configuration item - CI)", определяемый как элемент, подлежащий управлению, для предоставления услуги или услуг. Организации следует определить, что такое CI для ее собственных целей с учетом ее потребностей в эффективности. "Информационный актив" может быть включен в это определение. В ИСО/МЭК 20000-1 база данных управления конфигурацией является хранилищем данных всех CI и их взаимосвязей. Некоторые организационные активы не могут входить в базу данных управления конфигурацией (например, персональные компьютеры, не используемые для поставки услуг). Равным образом, в рамках стандарта ИСО/МЭК 20000-1 некоторые CI не могут рассматриваться как активы, например, люди. Обычно активы в ИСО/МЭК 20000-1 обладают денежной ценностью.

В ИСО/МЭК 27001 информационные активы определены как знания или данные, имеющие ценность для организации независимо от их формы, например, бумажная, электронная и т.д. В результате информационные активы могут быть CI, но CI необязательно являются информационными активами. Например, кабель для передачи данных может быть CI, хотя обычно он не является информационным активом. На рисунке 2 представлены взаимосвязи CI и информационных активов. Для интегрированной системы менеджмента информационный актив по ИСО/МЭК 27001 может быть использован в услуге или может являться частью услуги по ИСО/МЭК 20000-1.

"Рисунок 2 - Взаимосвязь информационных активов в ИСО/МЭК 27001 и CI в ИСО/МЭК 20000-1"

Ни один из указанных стандартов не требует перечисления каждого CI или информационного актива в отдельности. Они могут быть сгруппированы по типам, таким как аппаратные средства или документы. В рамках этого процесса их описание должно быть как можно более согласованным, упрощая соответствие обоим стандартам. Например, в начале любой деятельности по интеграции должно быть принято решение о способе идентификации и классификации активов. Это необходимо для обеспечения уверенности в том, что на активы могут быть сделаны однозначные ссылки. Если термин "информационные активы" используется в изложении ИСО/МЭК 27001, то особые активы должны быть дополнительно помечены, чтобы обеспечить уверенность в признании их статуса в качестве CI или финансовых активов по ИСО/МЭК 20000-1, см. приложение В настоящего стандарта.

6.2.2 Планирование и развитие услуг

Раздел 5 ИСО/МЭК 20000-1 включает требования к планированию и развитию новых или измененных услуг. В ИСО/МЭК 27001 полностью эквивалентного раздела нет, хотя некоторые аспекты, связанные с планированием, развитием и предоставлением услуг, охвачены приложением А ИСО/МЭК 27001:2005. Однако интегрированная система менеджмента должна обеспечивать уверенность в том, что информационная безопасность детально рассматривается на запланированных этапах проектирования и развития новых или измененных услуг. Требующие рассмотрения вопросы включают оценку влияния новой или измененной услуги, как на услугу, так и меры и средства контроля и управления информационной безопасности, см. пункт 6.6.2 ИСО/МЭК 20000-1:2011. Также это должно быть выполнено для прекращения предоставления услуги.

Планирование всех новых или измененных услуг должно включать рассмотрение последствий для информационной безопасности. Это должно быть выполнено независимо от того попадает ли услуга в область действия СМИБ.

6.2.3 Оценка риска и менеджмент

Пункты 4.5.2 и 4.5.3 ИСО/МЭК 20000-1:2011 содержат требования к оценке риска и к обработке рисков, связанных со СМУ.

Пункт 4.2.1 ИСО/МЭК 27001:2005 содержит требования для менеджмента всех аспектов рисков, связанных с информационной безопасностью. Требования не ограничиваются рисками, связанными с самой СМИБ, и включают оценку рисков, их обработку и иные аспекты, связанные с менеджментом риска информационной безопасности.

Даже если риски рассматриваются как в ИСО/МЭК 27001, так и в ИСО/МЭК 20000-1, природа этих рисков различна. В ИСО/МЭК 20000-1 рассматриваются риски, касающиеся СМУ и услуг, тогда как в ИСО/МЭК 27001 рассматриваются риски информационной безопасности и их влияние на организацию. Критерии оценивания и обработки рисков могут быть различны в зависимости от того, связаны ли риски с предоставлением услуг, или конкретно с информационной безопасностью. Тем не менее, метод, использованный для идентификации рисков, может быть одним и тем же в обоих случаях. Некоторые риски, рассматриваемые в ИСО/МЭК 20000-1, например, риски поставщика, не касающиеся затрат связанных со SLA***, не будут считаться рисками с точки зрения ИСО/МЭК 27001. Таким образом, риски, идентифицированные при использовании ИСО/МЭК 20000-1, нельзя считать имеющими отношение к информационной безопасности, и наоборот.

Владение риском может различаться для двух подходов. Например, согласно ИСО/МЭК 20000-1, организация очень редко владеет всеми рисками. От клиента могут ожидать одобрения остаточных рисков, как часть своего SLA или плана обеспечения непрерывности услуг. В ИСО/МЭК 27001 вопрос владения риском подробно не обсуждается, но на практике организация считается владельцем всех рисков информационной безопасности.

Несовпадение вариантов менеджмента риска происходит по причине различий между двумя стандартами относительно требований к менеджменту риска. Когда планируется совместная реализация обоих стандартов, организации должны быть внимательны к любым различиям критериев риска и к влиянию, которое эти различия будут оказывать на обработку риска.

Организация должна принять один из двух подходов, представленных ниже:

a) использование для обоих стандартов единого подхода к менеджменту риска, включая оценку риска, избегая при этом дублирования. Например, риск потери пригодности информационного актива может быть общим для различных частей интегрированной системы менеджмента. Это является наиболее эффективным подходом, поскольку он избегает дублирования попыток;

b) использование отдельных методик оценки риска для двух стандартов. Если выбирается этот вариант, то организация должна использовать терминологию, которая отличает оценку риска СМУ и услуг от оценки риска информационной безопасности и СМИБ.

Там, где оценка риска и менеджмент риска являются определяющими для организации, приоритетной должна быть реализация ИСО/МЭК 27001, чтобы воспользоваться его оценкой риска и руководством по менеджменту риска. Какой бы вариант не использовался, организации следует использовать согласованную и четкую терминологию. Это может потребовать формулирования требований одного или обоих стандартов иначе, чем в опубликованной(ых) версии(й). Тем не менее, организация по-прежнему должна обеспечивать уверенность в прослеживаемости требований обоих стандартов.

6.2.4 Различия в уровнях принятия риска

Если клиент доверил свои данные или системы заботам третьей стороны, то будут существовать различия между уровнем допустимого риска клиента и третьей стороны. Детально этот вопрос не рассматривается ни одним стандартом, но организации необходимо осознавать проблемы и принимать четкое решение об уровнях риска, которые могут контролироваться разными сторонами.

Ниже описываются базовые проблемы:

a) клиент имеет мнение об уровне безопасности, приемлемом для его информации, находящейся под контролем третьей стороны. Это может не совпадать с уровнем безопасности, который третья сторона считает достаточным;

b) третья сторона также имеет собственную информацию, например, финансовую документацию. Третья сторона имеет мнение об уровне безопасности, приемлемом для этой информации;

c) клиент и третья сторона, возможно, будут вовлечены в разные обязательные к применению правовые и нормативные условия, которые будут различаться в зависимости от страны или сектора рынка. Это может приводить к различиям в их ожиданиях относительно информационной безопасности или риска.

Связанные с информационной безопасностью ожидания и обязанности клиентов организации и третьих сторон следует обсудить при первом возможном случае. Такие обсуждения важны как для согласования области действия реализуемого проекта, так и для установления эксплуатационных мер и средств контроля и управления для существующих услуг. В идеальном случае любые потенциальные конфликты должны быть идентифицированы, а решения приняты и согласованы до их реализации.

6.2.5 Менеджмент инцидентов и проблем

Первым, что требуется обсудить, является терминология. В ИСО/МЭК 27001 существует единственный термин для значимых нежелательных событий: инцидент информационной безопасности. В отличие от этого в ИСО/МЭК 20000-1 существует несколько специальных терминов, связанных с менеджментом инцидентов. Например, инцидент, инцидент информационной безопасности, проблема, известная ошибка и серьезный инцидент, см. приложение В настоящего стандарта. Согласно ИСО/МЭК 27001 каждый из них может означать инцидент информационной безопасности в зависимости от их характеристик.

В ИСО/МЭК 27001 определен единый процесс, рассматривающий все инциденты информационной безопасности.

В ИСО/МЭК 20000-1 приведены не только различные термины, но и различные механизмы осуществления менеджмента событий, например, менеджмент запроса услуг и менеджмент инцидентов, менеджмент процедур серьезных инцидентов и менеджмент проблем. В ИСО/МЭК 20000-1 одно событие в течение его жизненного цикла может управляться посредством более чем одного из этих процессов и процедур. В ИСО/МЭК 20000-1 использован термин "процедура" из ИСО 9000:2005, определенный как "специфицированный способ выполнения действия или процесса". Для ИСО/МЭК 20000-1 процесс относится к более высокому уровню в сравнении с процедурой, причем процедуры поддерживают процесс.

На рисунке 3 показана взаимосвязь между менеджментом инцидентов информационной безопасности в ИСО/МЭК 27001 и менеджментом инцидентов в ИСО/МЭК 20000-1.

"Рисунок 3 - Иллюстрация взаимосвязи между стандартами, касающаяся менеджмента инцидентов"

Существуют события, которые в ИСО/МЭК 27001 будут классифицированы как инциденты информационной безопасности, но которые не будут классифицированы как инциденты в ИСО/МЭК 20000-1. Ниже приведены два примера:

a) после окончания рабочего дня на столе обнаружен конфиденциальный документ по продаже продукта в нарушение политики информационной безопасности. В любом случае этот документ не имеет отношения к предоставлению услуг;

b) обнаружен взлом замка двери в офисе клиента. Согласно ИСО/МЭК 27001 это событие можно рассматривать как инцидент. Однако оно вообще не будет подпадать под область действия ИСО/МЭК 20000-1, если не было доступа к информации, имеющей отношение к требованиям подраздела 6.6 ИСО/МЭК 20000-1:2011.

В равной степени существуют события, которые в ИСО/МЭК 20000-1 будут классифицированы как инцидент, но которые находятся вне области действия ИСО/МЭК 27001. Например:

a) ограничения SLA, выходящие за пределы запланированной поддержки;

b) отчеты пользователя об инцидентах, обусловленных медленным выполнением услуги.

Основное частичное совпадение между определениями инцидента заключается в том, что ИСО/МЭК 20000-1 может отнести их к "инциденту информационной безопасности", который может привести к потере конфиденциальности, целостности и доступности, связанных с определенной услугой.

Чтобы согласовать эти точки зрения, организация должна решить, как осуществлять менеджмент инцидентов, которые находятся в области действия обеих систем менеджмента.

Менеджмент проблем определяется в ИСО/МЭК 20000-1 как процесс определения основной причины возникновения одного или нескольких инцидентов, чтобы свести к минимуму влияние инцидентов или избежать его. В ИСО/МЭК 20000-1 это является отдельным процессом. В ИСО/МЭК 27001 менеджмент проблем явно не раскрыт, хотя на него ссылаются в требованиях к менеджменту инцидентов информационной безопасности, обработке риска и корректирующим мерам.

В интегрированной системе менеджмента процесс менеджмента проблем должен быть надлежащим образом определен. Если СМИБ реализуется до интеграции со СМУ, то может быть полезна, по возможности, самая ранняя интеграция лучших практических приемов менеджмента проблем СМУ, как части СМИБ, благодаря ее пользе для всех систем менеджмента.

Оба стандарта требуют от организации анализа данных и изменений по инцидентам.

Инциденты, которые вызывают риск информационной безопасности, должны классифицироваться как инциденты информационной безопасности. Не менее важно для соответствия обоим стандартам, чтобы процесс менеджмента инцидентов отражал необходимое соответствие дополнительным требованиям информационной безопасности в ИСО/МЭК 27001.

Следует отметить, что мера и средство контроля и управления из А13.2.2 ИСО/МЭК 27001:2005 охватывает изучение инцидентов безопасности, и это частично совпадает с менеджментом проблем из подраздела 8.2 ИСО/МЭК 20000-1:2011. Кроме того, идентификацию и оценку уязвимостей, необходимую по ИСО/МЭК 27001 для оценки риска информационной безопасности, следует рассматривать как процесс анализа данных, которые могут быть использованы в качестве входной информации для менеджмента проблем.

Следующей проблемой, требующей описания, является проблема реагирования на инциденты. Целью любой организации должно быть быстрое восстановление услуги после инцидента информационной безопасности, затронувшего услугу. Однако это может уменьшить вероятность расследования инцидента безопасности с целью выяснения его причины. При интеграции СМУ и СМИБ следует заботиться об обеспечении уверенности в соответствии требованиям менеджмента инцидентов информационной безопасности. Например, меры и средства контроля и управления информационной безопасности могут включать сбор, хранение и предоставление свидетельств для дисциплинарных и правовых целей. Более того, оба стандарта требуют соответствия правовым и нормативным требованиям.

Необходимо осознавать, что в случае инцидента информационной безопасности требование получения свидетельств может означать, что затронутая услуга может быть не восстановлена в запланированные сроки. ИСО/МЭК 20000-1 требует от поставщика услуг учитывать срочность обработки инцидента и его последствия. Это может означать, что потребуется дополнительное время, прежде чем будет принято решение в отношении инцидента информационной безопасности. При определении приоритетности разрешения проблемы следует учитывать важность получения свидетельств информационной безопасности, иначе они могут быть утрачены при восстановлении услуги.

В некоторых случаях инциденты информационной безопасности могут быть отнесены к серьезным инцидентам, на основании определения серьезного инцидента, согласованного с клиентом в соответствии с подразделом 8.1 ИСО/МЭК 20000-1:2011. Согласно требованиям отчетности по услугам, приведенным в подразделе 6.2 ИСО/МЭК 20000-1:2011 и требованиям менеджмента серьезных инцидентов в подразделе 8.1 ИСО/МЭК 20000-1, высшее руководство должно быть информировано обо всех серьезных инцидентах. К ним относят также и инциденты информационной безопасности. Это обеспечивается надлежащей подготовкой ответственного лица, назначенного для осуществления менеджмента инцидентов информационной безопасности. Следовательно, в рамках интегрированной системы менеджмента таким происшествием следует управлять, как серьезным инцидентом.

О серьезных инцидентах не следует заявлять, как о допускающих задержку принятия решения о сборе свидетельств в отношении инцидентов информационной безопасности. Например, если установлено, что через веб-сайт осуществляется обработка платежей клиентов, то он может быть скомпрометирован. Время сбора свидетельств и восстановления услуг должно быть адекватным образом включено в требования услуг, каталог услуг и в соглашения об уровне услуг (SLA).

В определении информационной безопасности ИСО/МЭК 20000-1 использует понятие "досягаемость (accessibility)", а ИСО/МЭК 27001 использует понятие "доступность (availability)". Это различие существует, потому что понятие "доступность" определено по-разному в двух стандартах (см. приложение В).

6.2.6 Менеджмент изменений

В пунктах А.10.1.2 и А.12.5.1 ИСО/МЭК 27001:2005 рассматривается менеджмент изменений. Пункты А.10.1.2 и А.12.5.1 позволяют организации разрабатывать процедуры для удовлетворения своих конкретных потребностей.

Пункт 9.2 "Менеджмент изменений" ИСО/МЭК 20000-1:2011 содержит требования, относящиеся к риску. Требования дополнены пунктом 6.6.3 "Инциденты и изменения информационной безопасности". Пункт 6.6.3 содержит требования к оценке влияния запрашиваемых изменений для учета их влияния на существующие меры и средства контроля и управления информационной безопасности.

Чтобы обеспечить уверенность в том, что требования менеджмента изменений выполняются, должен быть разработан контрольный перечень оценок влияния или проверок после реализации проекта, как часть интегрированной системы менеджмента на основе ИСО/МЭК 20000-1. Это должно обеспечить уверенность в том, что все типы рисков информационной безопасности анализируются, как часть процесса менеджмента изменений.

6.3 Потенциальные выгоды

6.3.1 Использование цикла Планирование-Осуществление-Проверка-Действие

ИСО/МЭК 27001 и ИСО/МЭК 20000-1 явно ссылаются на цикл Планирование-Осуществление-Проверка-Действие (Plan-Do-Check-Act - PDCA). Это может быть удобно, так как организация сможет следовать одним и тем же принципам независимо от того, какой стандарт будет реализован в первую очередь.

PDCA является основой постоянного совершенствования в обоих стандартах, таким образом, постоянное совершенствование должно быть основой деятельности по применению любого из двух или обоих стандартов. Следует отметить, что циклы PDCA могут действовать в разных временных отрезках, но если такое возможно, то организация должна использовать единый интегрированный цикл для обеспечения общего периода проверки или внутреннего аудита.

6.3.2 Отчетность и менеджмент уровня услуг

Отчетность по услугам охватывает больше основных деятельностей, чем требуется для менеджмента уровня услуг. Однако отчетность по услугам может поддерживать менеджмент информационной безопасности исходя из целей услуг для инцидентов информационной безопасности, которые оцениваются, прогнозируются и используются в отчетности по услугам.

В перечислении b) подраздела 6.2 ИСО/МЭК 20000-1:2011 изложено, что в процессе составления отчетов по услугам следует учитывать соответствующую информацию о значимых событиях, таких как серьезные инциденты и несоответствия. Данные, полученные в процессе составления отчетов по услугам в соответствии с ИСО/МЭК 20000-1, могут дать большое преимущество для поддержки и совершенствования информационной безопасности.

При реализации ИСО/МЭК 27001 определяются детали мер и средств контроля и управления информационной безопасности, и должна быть измерена их эффективность, см. пункт 4.2.3 "Мониторинг и анализ СМИБ" ИСО/МЭК 27001:2005. Это делает возможной интеграцию с процессом составления отчетов по услугам согласно требованиям подраздела 6.2 ИСО/МЭК 20000-1:2011, чтобы надлежащая и своевременная информация могла использоваться для поддержки или совершенствования информационной безопасности. Клиенты будут лучше понимать истинное функционирование услуг и СМУ, включая процессы менеджмента услуг, если важная информация об уровнях соответствия применимых мер и средств контроля и управления безопасности и статистические данные по инцидентам будут включены в отчеты.

Отчеты, составленные в соответствии с ИСО/МЭК 27001 и ИСО/МЭК 20000-1, как для внутреннего использования, так и предназначенные для клиентов, должны разрабатываться с учетом этих соображений.

6.3.3 Обязательства руководства

ИСО/МЭК 27001 описывает обеспечение информационной безопасности по отношению к причастным сторонам. Упоминаемыми причастными сторонами являются стороны, обладающие определенными правами в организации, реализующей СМИБ. Эти стороны могут включать персонал, акционеров, клиентов и, возможно, даже регулирующие органы или общественность. В ИСО/МЭК 20000-1 дается ссылка на клиентов и заинтересованные стороны. Заинтересованными сторонами являются человек или группа людей, особо заинтересованных в эффективности или успехе деятельности или деятельностей поставщика услуг. Вследствие этого термин "заинтересованные стороны" сходен с термином "причастные стороны", используемым в ИСО/МЭК 27001.

Обязательства высшего руководства необходимы, чтобы сделать СМУ эффективной. Это добавляет уверенности в том, что взаимоотношения с клиентом и другими заинтересованными сторонами являются успешными. Как таковые, обязательства руководства, сформулированные в ИСО/МЭК 27001, поддерживают ориентированный на клиента подход, изложенный в ИСО/МЭК 20000-1.

ИСО/МЭК 20000-1:2011 включает конкретные требования к обязательствам руководства и ответственности руководства, например, требования пунктов 4.1.1 и 4.1.4. В отличие от этого ИСО/МЭК 27001:2005 является менее конкретным в определении ответственности и подотчетности ролей в отношении СМИБ, например, требования подраздела 5.1 и пункта 5.2.2. Интегрированная система менеджмента должна выиграть от специфики стандарта ИСО/МЭК 20000-1 и использования его требований для обеспечения уверенности в том, что более широкая ответственность за обеспечение информационной безопасности воспринимается так же серьезно, как и ответственность, связанная с менеджментом услуг.

В ИСО/МЭК 20000-1 установлено, что при существовании менеджмента улучшений, организации следует возложить ответственность по управлению процессом совершенствования на определенную роль. В сравнении с этим ИСО/МЭК 27001:2005 ссылается в пункте 4.2.4 и подразделе 8.1 на организацию выполнения этой задачи, хотя в подраздел 5.1 включены требования, в соответствии с которыми организация устанавливает роли и ответственности по обеспечению информационной безопасности. Требование ИСО/МЭК 20000-1 по четкому распределению ответственности в отношении обеспечения менеджмента улучшений должно быть использовано для обеспечения уверенности в том, что для менеджмента улучшений информационной безопасности также установлена определенная роль.

6.3.4 Менеджмент возможностей

Менеджмент возможностей в подразделе 6.5 ИСО/МЭК 20000-1:2011 включает более широкий круг возможностей, чем ИСО/МЭК 27001, так что некоторые требования ИСО/МЭК 20000-1 могут использоваться для поддержки реализации ИСО/МЭК 27001. Например, описанный в ИСО/МЭК 20000-1 менеджмент возможностей использует технические возможности и возможности персонала. Кроме того, подраздел 5.2 "Управление ресурсами" в ИСО/МЭК 27001:2005 можно считать связанным с менеджментом возможностей, так как возможность является выражением доступа к достаточному количеству ресурсов, чтобы принимать разумные меры в предсказуемых обстоятельствах.

В подразделе 3.2 ИСО/МЭК 27001:2005 доступность определяется для обозначения, как досягаемости, так и используемости. Процесс менеджмента возможностей в подразделе 6.5 ИСО/МЭК 20000-1:2011 поддерживает аспект доступности. Например, если недостаточно возможностей, то услуга или компонент услуги могут быть недоступны, т.е., когда невозможно сохранить файл, поскольку слишком мало памяти. Кроме того, услуга или компоненты услуги могут быть слишком медленными, что непригодно для использования, например, время отклика, из-за недостаточной пропускной способности сети.

Организация должна осознавать различия, когда требуются перекрестные ссылки между двумя стандартами. Организация должна учитывать необходимость перекрестных ссылок между подразделом 4.3 и подразделом 6.5 ИСО/МЭК 20000-1:2011 и соответствующими разделами ИСО/МЭК 27001:2005, см. приложение А настоящего стандарта. Например, требование по включению возможных влияний законодательных, нормативных, договорных или организационных изменений в план возможностей, изложенное в подразделе 6.5 ИСО/МЭК 20000-1:2011, следует сопровождать перекрестной ссылкой с подразделом А.10.1 ИСО/МЭК 27001:2005.

6.3.5 Менеджмент риска третьей стороны

Согласно ИСО/МЭК 27001 третья сторона, такая как клиент, поставщик или независимая внутренняя группа, находится вне области действия СМИБ и рассматривается как потенциальный источник риска. В приложении В настоящего стандарта содержится сравнение этих терминов, а в пунктах А.6.2.1 и А.6.2.3 ИСО/МЭК 27001 описываются меры и средства контроля и управления, которые могли бы быть использованы для менеджмента безопасности в отношении этих третьих сторон.

В отличие от ИСО/МЭК 20000-1, другие стороны являются сущностями, не находящимися под непосредственным контролем поставщика услуг, но способствующими предоставлению услуги в области действия СМУ. Другими сторонами являются поставщики, внутренние группы или клиенты (исполняющие обязанности поставщиков). Другие стороны могут вносить свой вклад в основную часть услуги, см. подраздел 4.2 "Менеджмент услуг, осуществляемых другими сторонами" ИСО/МЭК 20000-1:2011. В подразделе 6.6 ИСО/МЭК 20000-1 изложены требования менеджмента информационной безопасности. К нему относится менеджмент риска, связанный с поставщиком, который может непосредственно воздействовать на информационную безопасность клиентской организации. Подраздел 8.1 ИСО/МЭК 20000-1:2011 также касается инцидентов и процесса запроса услуг для менеджмента инцидентов информационной безопасности, а также оценки всех изменений с целью проверки влияния на меры и средства контроля и управления информационной безопасности.

При проектировании интегрированной системы менеджмента существуют два основных фактора, влияющих на отношения бизнеса и процессы управления поставщиками в отношении осуществления менеджмента рисков третьей стороны. Эти два фактора изложены ниже:

a) договорные обязательства по обеспечению информационной безопасности должны служить исходными данными для процесса оценки риска. Этот процесс должен способствовать выполнению требований ИСО/МЭК 20000-1 к поставщику услуг в отношении реагирования на потребности бизнеса;

b) информационная безопасность должна быть учтена в процессе деловых отношений с другими сторонами, включая клиентов, исполняющих обязанности поставщиков. Ее следует учитывать при проектировании новых или изменении существующих услуг и при обсуждении SLA.

Другие охваченные подразделом 7.1 ИСО/МЭК 20000-1:2011 концепции, такие как проверки качества деятельности, изменения услуг, менеджмент удовлетворения потребностей клиента и рассмотрение претензий, могут быть применены к интегрированной системе менеджмента для усиления ее в целом.

Таким образом, интегрированная система менеджмента должна следовать подходу к управлению взаимоотношениями с поставщиками, согласно ИСО/МЭК 27001, а также соблюдать требования пункта 6.6.2 "Меры и средства контроля и управления информационной безопасности" ИСО/МЭК 20000-1:2011 в отношении риска поставщика. В тех случаях, когда активы организации находятся в рамках области действия СМИБ, но некоторые или все эти активы контролируются другой стороной, организация должна согласовывать это адекватными договорами, SLA или другими документированными соглашениями. Этот подход должен обеспечить уверенность в том, что другая сторона применяет соответствующие меры и средства контроля и управления.

6.3.6 Менеджмент непрерывности и доступности

В подразделе 6.3 "Менеджмент непрерывности и доступности услуг" ИСО/МЭК 20000-1:2011 подробно рассматривается только одна из проблем по обеспечению информационной безопасности. Деятельности по обеспечению непрерывности и доступности в рамках существующей системы менеджмента следует проанализировать, чтобы понять, могут ли они быть соответствующим образом расширены для охвата менеджмента целостности и конфиденциальности и, следовательно, осуществления менеджмента информационной безопасности любой услуги. Подробности можно почерпнуть из ИСО/МЭК 20000-1, а общие принципы - из А.14 ИСО/МЭК 27001:2005.

6.3.7 Менеджмент отношений с поставщиками

ИСО/МЭК 27001:2005 рассматривает менеджмент отношений с поставщиками в различных пунктах, например, в А.6.2.1, А.6.2.3, А.10.2, А.8 для кадровых ресурсов, включая подрядчиков. Подраздел 4.2 ИСО/МЭК 20000-1:2011 содержит требования к управлению процессами, выполняемыми другими сторонами, а подраздел 7.2 содержит требования для менеджмента отношений с поставщиками. Менеджмент отношений с поставщиками, отвечающий требованиям обоих стандартов, может быть очень эффективным.

В 6.3.5 настоящего стандарта содержится дополнительная информация по менеджменту рисков, связанных с поставщиками. Например, оценка риска в ИСО/МЭК 20000-1 может быть расширена с использованием концепции ИСО/МЭК 27001 для рассмотрения того, не будет ли безопасность организации скомпрометирована при добавлении или отказе от услуги поставщика или при конкретном изменении услуги, предоставляемой поставщиком.

Это следует рассматривать даже в том случае, если организация решает реализовать только один из стандартов.

6.3.8 Управление конфигурацией

Реестр активов в ИСО/МЭК 27001 представляет собой репозиторий всего, что имеет ценность (денежную или иную) для организации и находится в области действия СМИБ, например, информация, базы данных или процессы.

Понятие базы данных управления конфигурацией (configuration management database - CMBD) стандарта ИСО/МЭК 20000-1 очень сходно с реестром активов стандарта ИСО/МЭК 27001, однако области применения и, как следствие, перспективы различны. Установление области применения обсуждается в пункте 4.5.1 ИСО/МЭК 20000-1:2011.

Требования подраздела 9.1 ИСО/МЭК 20000-1:2011 могут быть использованы при создании и управлении СМИБ. С точки зрения ИСО/МЭК 27001, организация должна осуществлять менеджмент безопасности CMBD, так как ее следует рассматривать в качестве информационного актива.

Подраздел 9.1 ИСО/МЭК 20000-1 также требует безопасности для CMBD, чтобы защитить точность содержащихся в ней данных. Сюда входит требование поддержки целостности услуг и компонентов услуг. Однако ИСО/МЭК 20000-1 не проводит различия между разными уровнями целостности. Здесь может быть полезен стандарт ИСО/МЭК 27001, требующий, чтобы оценивались риски для систем, услуг и компонентов услуг и определялись допустимые уровни риска. Основной вопрос заключается в том, могут ли изменения менять уровень риска и, если да, то какие изменения повысят риск до недопустимого уровня.

Требования ИСО/МЭК 20000-1 в отношении базовых уровней конфигурации и эталонных копий конфигурации, фактически являются мерами и средствами контроля и управления с точки зрения ИСО/МЭК 27001. Эти требования следует учитывать при интегрированном подходе к менеджменту риска. Некоторые из них будут влиять на решения о том, реализовывать или нет некоторые меры и средства контроля и управления.

6.3.9 Менеджмент выпуска изменений и их использования

Соответствие требованиям ИСО/МЭК 20000-1:2011 к менеджменту выпуска изменений и их использованию не обеспечивает уверенности в соответствии требованиям ИСО/МЭК 27001 к выпуску изменений. Если не следовать требованиям ИСО/МЭК 27001, на этом этапе могут быть случайно внесены проблемы с обеспечением безопасности. Например:

a) в работе действующей системы (систем) могут быть произведены изменения, вносящие недостатки в обеспечение информационной безопасности, если менеджмент выпуска изменений и их использования не учитывает возможности вредоносных действий;

b) управление тестовой и производственной средой часто может осуществляться различными группами, вследствие этого процесс выпуска изменений должен обеспечивать уверенность в том, что данные от группы тестирования получает соответствующая производственная роль, чтобы избежать рисков нарушения конфиденциальности данных.

Это особенно важно во время выпуска экстренных изменений. В таких ситуациях из-за временных ограничений и (или) ограничений ресурсов часто используется иной и, возможно, упрощенный процесс выпуска и использования изменений. Соответственно, возрастают риски компрометации информационной безопасности. Всегда необходимо осуществлять надлежащий менеджмент рисков информационной безопасности, следуя утвержденным процессам обеспечения информационной безопасности, независимо от используемого процесса выпуска и использования изменений.

Менеджмент выпуска и использования изменений может быть усовершенствован в результате выбора мер и средств контроля и управления из пункта А.10.1.4 "Разделение средств разработки, тестирования и функционирования" и пункта А.10.3.2 "Приемка систем" ИСО/МЭК 27001:2005.

6.3.10 Составление бюджета и учет

Требования по составлению бюджета и учету в подразделе 6.4 ИСО/МЭК 20000-1:2011 не могут быть непосредственно сопоставлены с каким-либо требованием ИСО/МЭК 27001. В ИСО/МЭК 27001 требование "предоставления ресурсов" и выходные данные от проводимой руководством проверки (которые требуют принятия решения о "потребностях в ресурсах"), могут быть полезны в процессе рассмотрения финансовых ресурсов и определенного бюджета.

___________

* ИСО/МЭК 27000:2009 заменен на ИСО/МЭК 27000:2014. Однако для однозначного соблюдения требований настоящего стандарта, выраженного в датированной ссылке, рекомендуется использовать только указанное в этой ссылке издание.

** ИСО/МЭК 27001:2005 заменен на ИСО/МЭК 27001:2013. Однако для однозначного соблюдения требований настоящего стандарта, выраженного в датированной ссылке, рекомендуется использовать только указанное в этой ссылке издание.

*** SLA - service level agreement (соглашение об уровне услуг).

Библиография

[1]	ISO 9000, Quality management systems - Fundamentals and vocabulary
[2]	ISO 9004, Quality management systems - Guidelines for performance improvements
[3]	ISO/IEC TS 15504-8, Information technology - Service management - Part 8: Process assessment mode for service management (under development)
[4]	ISO 19011, Quality management systems - Guidelines for quality and/or environmental management systems auditing
[5]	ISO/IEC 20000-2, Information technology - Service management - Part 2: Guidance on the application of service management systems
[6]	ISO/IEC 20000-3, Information technology - Service management - Part3: Guidance on scope definition and applicability for ISO/IEC 20000-1
[7]	ISO/IEC TR 20000-4, Information technology - Service management - Part 4: Process reference model for service management
[8]	ISO/IEC TR 20000-5, Information technology - Service management - Part 5: Exemplar implementation plan for ISO/IEC 20000-1
[9]	ISO/IEC TR 90006, Information technology - Guidelines for the application of ISO 9001:2008 to IT service management and its integration with ISO/IEC 20000-1:2011
[10]	ISO/IEC 27002, Information technology - Security techniques - Information security management systems - Code of practice for information security controls (under revision)
[11]	ISO/IEC 27003, Information technology - Security techniques - Information security management systems - Information security management system implementation guidance
[12]	ISO/IEC 27004, Information technology - Security techniques - Information security management systems - Information security management measurements
[13]	ISO/IEC 27005, Information technology - Security techniques - Information security management systems - Information security risk management
[14]	ISO/IEC 27006, Information technology - Security techniques - Information security management systems - Requirements for bodies providing audit and certification of information security management systems
[15]	ISO/IEC 27007, Information technology - Security techniques - Information security management systems - Guidelines for information security management systems auditing
[16]	ISO/IEC TR 27008, Information technology - Security techniques - Guidelines for auditors on information security controls
[17]	ISO/IEC 27010, Information technology - Security techniques - Information security management systems - Information security management for inter-sector and inter-organizational communications
[18]	ISO/IEC 27014, Information technology - Security techniques - Information security management systems - Governance of information security
[19]	SO 31000, Risk management - Principles and Guidelines on Implementation