Iso/iec 27001 "Системы менеджмента защиты информации. Требования"

Международный стандарт ISO/IEC 27001:2005 разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. Он был подготовлен для того, чтобы предоставить модель для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения Системы Менеджмента Защиты Информации (СМЗИ). Рекомендуется, чтобы принятие СМЗИ было стратегическим решением для организации. Требования данного стандарта имеют общий характер и могут быть использованы широким кругом организаций – малых, средних и больших – коммерческих и индустриальных секторов рынка: финансовом и страховом, в сфере телекоммуникаций, коммунальных услуг, в секторах розничной торговли и производства, различных отраслях сервиса, транспортной сфере, органах власти и многих других.

Стандарт ISO 27001 определяет информационную безопасность как: "сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность".

Конфиденциальность  обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).

Целостность  обеспечение точности и полноты информации, а также методов ее обработки.

Доступность  обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

ISO/IEC 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации. В соответствии с этим стандартом, любая СМЗИ должна основываться на PDCA модели:

• Plan (Планирование) — фаза создания СМЗИ, создание перечня активов, оценки рисков и выбора мер;

• Do (Действие) — этап реализации и внедрения соответствующих мер;

• Check (Проверка) — фаза оценки эффективности и производительности СМЗИ. Обычно выполняется внутренними аудиторами.

• Act (Улучшения) — выполнение превентивных и корректирующих действий.

На рис. 17.1 показано, как на вход СМЗИ поступают требования защиты информации и ожидания заинтересованных сторон и посредством необходимых действий и процессов СМЗИ выдает результаты по защите информации, которые удовлетворяют этим требованиям и ожиданиям.

Iso/iec 13335-1 "Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий"

Настоящий стандарт представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.

Рис. 17.1. Модель PDCA, примененная к процессам СМЗИ.

Целью настоящего стандарта является формирование общих понятий и моделей управления безопасностью ИТТ. Приведенные в нем положения носят общий характер и применимы к различным методам управления и организациям.

Часть документа посвящена терминам и определениям, далее определяются концепции безопасности и взаимосвязи. Для создания эффективной программы безопасности ИТТ фундаментальными являются следующие высокоуровневые принципы безопасности:

• менеджмент риска  активы должны быть защищены путем принятия соответствующих мер. Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения;

• обязательства  важны обязательства организации в области безопасности ИТТ и в управлении рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности ИТТ;

• служебные обязанности и ответственность  руководство организации несет ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью ИТТ, должны быть определены и доведены до сведения персонала;

• цели, стратегии и политика  управление рисками, связанными с безопасностью ИТТ, должно осуществляться с учетом целей, стратегий и политики организации;

• управление жизненным циклом  управление безопасностью ИТТ должно быть непрерывным в течение всего их жизненного цикла.

С позиций фундаментальных принципов безопасности выделяются основные компонентов безопасности, вовлеченных в процесс управления безопасностью:

• Активы  все, что имеет ценность для организации;

• Угрозы  потенциальная причина инцидента, который может нанести ущерб системе или организации;

• Уязвимости  слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозам;

• Воздействие  это результат инцидента информационной безопасности, вызванного угрозой и нанесшего ущерб ее активу;

• Риск  это способность конкретной угрозы использовать уязвимости одного или нескольких видов активов для нанесения ущерба организации. Следует учитывать, что риск никогда не устраняется полностью. Остаточный риск  это риск, остающийся после его обработки;

• Защитные меры  это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстановление активов;

• Ограничения. Обычно ограничения устанавливает или признает руководство организации, а также определяет среда, в которой действует организация.