Приложение А (справочное). Описание контрольного перечня. Национальный стандарт ГОСТ Р ИСО/МЭК 27003-2012 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 15.11.2012 N 812-ст) (документ утратил силу)

Приложение А
(справочное)

Описание
контрольного перечня

Цель:

- представить контрольную таблицу с описанием действий, требуемых для учреждения и внедрения СМИБ;

- способствовать мониторингу процесса выполнения работ по внедрению СМИБ;

- связать определенные действия по внедрению СМИБ с соответствующими требованиями ISO/IEC 27001.

Таблица А.1

Фаза внедрения ISO/IEC 27003	Номер этапа	Действия, ссылка на ISO/IEC 27003	Предварительные условия для данного этапа	Документированные выходные данные	Ссылка на ISO/IEC 27001
5 Получение одобрения руководства для внедрения СМИБ	1	Собрать корпоративные цели предприятия	Нет	Список корпоративных целей предприятия	Не применяется
	2	Приобретение знаний о существующих системах управления	Нет	Описание существующих систем управления	Не применяется
	3	5.2 Определить цели, потребности информационной безопасности и требования предприятия к СМИБ	1, 2	Описание целей, потребностей информационной безопасности и требований предприятия к СМИБ	Не применяется
	4	Собрать соответствующие регулятивные стандарты, стандарты соответствия и отраслевые стандарты, применяемые к корпорации	Нет	Описание регулятивных стандартов, стандартов соответствия и отраслевых стандартов, применяемых к корпорации	Не применяется
	5	5.3 Определить предварительную область действия СМИБ	3, 4	Описание предварительной области действия СМИБ (5.3.1) Определение ролей и сфер ответственности в области СМИБ (5.3.2)	Не применяется
	6	5.4 Составить описание случая применения СМИБ для данного предприятия и план проекта для утверждения руководством	5	Описание случая применения СМИБ для данного предприятия и план проекта	Не применяется
	7	5.5 Получить одобрение руководства и поручение на запуск проекта внедрения СМИБ	6	Одобрение руководством запуска проекта внедрения СМИБ	Не применяется
6 Определение области действия и политики СМИБ	8	6.2 Определить границы организации	7	Описание границ организации; Функции и структура организации; Обмен информацией через границы; Производственные процессы и сферы ответственности за информационные активы в области действия СМИБ и за ее пределами	4.2.1,а) (частично)
	9	6.3 Определение границ технологии передачи информации	7	Описание границ ИКТ	4.2.1,а) (частично)
				Описание информационных систем и телекоммуникационных сетей, описывающее системы и сети внутри области действия СМИБ и за ее пределами
	10	6.4 Определение физических границ	7	Описание физических границ СМИБ Описание организации и ее географических характеристик, описывающее внутреннюю и внешнюю области действия	4.2.1,а) (частично)
	11	6.5 Окончательно определить границы области действия СМИБ	8, 9, 10	Документ, описывающий область действия и границы СМИБ	4.2.1,а)
	12	6.6 Разработка политики СМИБ	11	Утвержденная руководством политика СМИБ	4.2.1,b)
	13	7.2 Определение требований к информационной безопасности, подкрепляющих СМИБ	12	Список основных процессов, функций, объектов, информационных систем, коммуникационных сетей	Не применяется
				Требования организации, касающиеся конфиденциальности, доступности и целостности	Не применяется
				Требования организации, касающиеся законных, обязательных, контрактных и отраслевых требований к информационной безопасности	4.2.1,с) 1) (частично)
				Перечень известных уязвимостей в организации	4.2.1,d) 3)
	14	7.3 Определение активов в рамках области действия СМИБ	13	Описание основных процессов в организации Определение информационных активов основных процессов в организации Классификация важнейших процессов (активов)	Не применяется 4.2.1,d) 1)
					Не применяется
	15	7.4 Запуск оценки информационной безопасности	14	Документ по фактическому состоянию и оценке информационной безопасности в организации, включая существующие меры и средства контроля и управления информационной безопасностью	4.2.1,е) 2) (частично)
8 Проведение оценки риска и выбор вариантов обработки риска	16	8.2 Проведение оценки риска	15	Область действия для оценки риска Утвержденная методология оценки риска, совмещенная с контекстом стратегического менеджмента риска в организации Критерии принятия риска	4.2.1,с) 1)
	17	8.3 Выбор целей и средств управления	16	Документированная оценка риска высокого уровня	4.2.1,е) 3) (частично)
				Определение необходимости дополнительной глубокой оценки риска	Не применяется
				Документированная глубокая оценка риска	4.2.1,е) 3) (частично)
				Сгруппированные результаты оценки риска	Не применяется
	18	8.4 Получить одобрение руководства для внедрения СМИБ	17	Риски и определенные для них варианты оценки риска Выбранные цели, меры и средства контроля и управления для снижения риска	4.2.1,f)
					4.2.1,g)
	19	Утверждение руководством остаточных рисков	18	Документированное утверждение руководством предложенных остаточных рисков (должно входить в число выходных данных действия 8.4)	4.2.1,h)
	20	Санкция руководства на внедрение и использование СМИБ	19	Документированная санкция руководства на внедрение и использование СМИБ (должно входить в число выходных данных действия 8.4)	4.2.1,i)
	21	Подготовка декларации о применимости	18	Декларация о применимости	4.2.1,j)
9 Разработка СМИБ	22	9.2 Разработка безопасности организации	20	Структура организации, связанная с ролями и сферами ответственности, связанными с информационной безопасностью	5.1,с)
				Определение документации, связанной со СМИБ. Шаблоны записей по СМИБ и инструкции по их использованию и хранению	4.3
				Документ по политике информационной безопасности	ISO/IEC 27002; 5.1.1
				Основа политики и процедур обеспечения информационной безопасности (и планы разработки конкретных политики, процедур и т.д., если таковые применяются)
	23	9.3 Разработка информационной безопасности ИКТ и физических объектов	20, 21	Планы проектов внедрения для процессов внедрения выбранных средств управления безопасностью, связанных с информационной безопасностью ИКТ и физических объектов	4.2.2. c) (частично)
	24	9.4 Разработка информационной безопасности, связанной со СМИБ	22, 23	Процедуры, описывающие процессы отчетности и проверки, проводимой руководством	7.1
	25			Описания аудита, мониторинга и измерения	4.2.3, а) (частично); 4.2.3, b) (частично); 6
	26			Программа обучения и информирования	5.2.2
	27	9.5 Составление окончательного плана проекта СМИБ	25	План проекта внедрение для процессов внедрения, утвержденный руководством	Не применяется
	28	Окончательный план проекта СМИБ	28	План проекта внедрения СМИБ организацией, охватывающий запланированное выполнение действий по информационной ее безопасности, ИКТ и физических объектов, а также связанные с системой СМИБ требования по ее внедрению в соответствии с результатами действий, описываемых в ISO/IEC 27003	Не применяется