ГОСТ Р ИСО МЭК 17799 (1027767), страница 2
Текст из файла (страница 2)
Оценка рисков обычно проводится сначалана верхнем уровне, при этом ресурсы направляются в области наибольшего риска, а затем на болеедетальном уровне, что позволяет рассмотреть специфические риски,Выбор мероприятий по управлению информационной безопасностьюПосле того, как определены требования к информационной безопасности, следует выбрать ивнедрить такие мероприятия по управлению информационной безопасностью, которые обеспечат снижение рисков до приемлемого уровня. Эти мероприятия могут быть выбраны из настоящего стандарта,других источников, а также могут быть разработаны собственные мероприятия по управлению информационной безопасностью, удовлетворяющие специфическим потребностям организации.
Имеется множество различных подходов к управлению рисками; в настоящем стандарте приводятся примерынаиболее распространенных методов. Однако следует отметить, что некоторые из мероприятий поуправлению информационной безопасностью неприменимы к отдельным информационным системам исредам и могут оказаться неприемлемыми для конкретных организаций. Например, в 8.1,4 приводитсяописание того, как могут быть распределены должностные обязанности, чтобы предотвратить ошибки имошенничество. В небольших организациях может оказаться невозможным разделение всех должностных обязанностей; тогда для достижения той же цели может быть необходимо принятие альтернативных мероприятий по управлению информационной безопасностью.
В качестве другого примера можнопривести 9.7 и 12.1 —осуществление мониторинга использования системы и сбора доказательств.Указанные мероприятия по управлению информационной безопасностью, такие, как регистрация событий в системе, могут вступать в конфликт с законодательством, действующим, например, в отношениизащиты от вторжения в личную жизнь клиентов или сотрудников.Выбор мероприятий по управлению информационной безопасностью должен основываться насоотношении стоимости их реализации к эффекту от снижения рисков и возможным убыткам в случаенарушения безопасности. Также следует принимать во внимание факторы, которые не могут быть представлены в денежном выражении, например, потерю репутации.VНекоторые мероприятия по управлению информационной безопасностью, приведенные в настоящем стандарте, могут рассматриваться как руководящие принципы для управления информационнойбезопасностью и применяться для большинства организаций.
Более подробно такие мероприятия рассматриваются ниже.Отправная точка для внедрения информационной безопасностиОтдельные мероприятия по управлению информационной безопасностью могут рассматриватьсякак руководящие принципы для управления информационной безопасностью и служить отправной точкой для ее внедрения.
Такие мероприятия либо основываются на ключевых требованиях законодательства, либо рассматриваются как общепринятая практика в области информационнойбезопасности.Ключевыми мерами контроля с точки зрения законодательства являются:- обеспечение конфиденциальности персональных данных (12.1.4);- защита учетных данных организации (12.1.3);- права на интеллектуальную собственность (12.1.2).Мероприятия по управлению информационной безопасностью, рассматриваемые как общепринятая практика в области информационной безопасности, включают:- наличие документа, описывающего политику информационной безопасности (3.1);- распределение обязанностей по обеспечению информационной безопасности (4.1.3);- обучение вопросам информационной безопасности (6.2.1);- информирование об инцидентах, связанных с информационной безопасностью (6.3.1);- управление непрерывностью бизнеса (11.1).Перечисленные мероприятия применимы для большинства организаций и информационных сред.Следует отметить, что, хотя все приведенные в настоящем стандарте мероприятия являются важными,уместность какой-либо меры должна определяться в свете конкретных рисков, с которыми сталкиваетсяорганизация.
Следовательно, несмотря на то, что вышеописанный подход рассматривается как отправная точка для внедрения мероприятий по обеспечению информационной безопасности, он не заменяетвыбор мероприятий по управлению информационной безопасностью, основанный на оценке рисков.Важнейшие факторы успехаПрактика показывает, что для успешного внедрения информационной безопасности в организациирешающими являются следующие факторы:- соответствие целей, политик и процедур информационной безопасности целям бизнеса;- согласованность подхода к внедрению системы безопасности с корпоративной культурой;- видимая поддержка и заинтересованность со стороны руководства;- четкое понимание требований безопасности, оценка рисков и управление рисками;- обеспечение понимания необходимости применения мер информационной безопасности руководством и сотрудниками организации;- передача инструкций в отношении политики информационной безопасности и соответствующихстандартов всем сотрудникам и контрагентам;- обеспечение необходимого обучения и подготовки;- всесторонняя и сбалансированная система измеряемых показателей, используемых для оценкиэффективности управления информационной безопасностью и предложений по ее улучшению, поступивших от исполнителей.Разработка собственных руководств организацииНастоящий стандарт должен расцениваться как отправная точка для разработки руководства подконкретные нужды организации.
Не все инструкции и мероприятия, приведенные в настоящем стандарте, могут быть применимыми.Более того, могут потребоваться дополнительные меры, не включенные в настоящий стандарт. Вэтом случае может быть полезным сохранение перекрестных ссылок, которые облегчат проверку соответствия, проводимую аудиторами и партнерами по бизнесу.VIНАЦИОНАЛЬНЫЙСТАНДАРТРОССИЙСКОЙФЕДЕРАЦИИИнформационная технологияПРАКТИЧЕСКИЕ ПРАВИЛА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮInformation technology.
Code of practice for informationsecurity managementДата введения — 2007—01—011 Область примененияНастоящий стандарт устанавливает рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации.
Он предназначен для обеспечения общих основ для разработки стандартов безопасности ивыбора практических мероприятий по управлению безопасностью в организации, а также в интересахобеспечения доверия в деловых отношениях между организациями. Рекомендации настоящего стандарта следует выбирать и использовать в соответствии с действующим законодательством.2 Термины и определенияВ настоящем стандарте применены следующие термины с соответствующими определениями:2.1 информационная безопасность: Защита конфиденциальности, целостности и доступностиинформации.Примечания1 конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.2 целостность: Обеспечение достоверности и полноты информации и методов ее обработки.3 доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.2.2 оценка рисков: Оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения.2.3 управление рисками: Процесс выявления, контроля и минимизации или устранения рисковбезопасности, оказывающих влияние на информационные системы, в рамках допустимых затрат.3 Политика безопасности3.1 Политика информационной безопасностиЦель: обеспечение решения вопросов информационной безопасности и вовлечение высшегоруководства организации в данный процесс.Разработка и реализация политики информационной безопасности организации осуществляетсявысшим руководством путем выработки четкой позиции в решении вопросов информационной безопасности.3.1.1 Документальное оформлениеПолитика информационной безопасности должна быть утверждена, издана и надлежащим образом доведена до сведения всех сотрудников организации.
Она должна устанавливать ответственностьИздание официальное1руководства, а также излагать подход организации к управлению информационной безопасностью. Какминимум, политика должна включать следующее:а) определение информационной безопасности, ее общих целей и сферы действия, а такжераскрытие значимости безопасности как инструмента, обеспечивающего возможность совместногоиспользования информации;б) изложение целей и принципов информационной безопасности, сформулированных руководством;в) краткое изложение наиболее существенных для организации политик безопасности,принципов, правил и требований, например:1) соответствие законодательным требованиям и договорным обязательствам;2) требования в отношении обучения вопросам безопасности;3) предотвращение появления и обнаружение вирусов и другого вредоносного программногообеспечения;4) управление непрерывностью бизнеса;5) ответственность за нарушения политики безопасности;г) определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационнойбезопасности;д) ссылки на документы, дополняющие политику информационной безопасности, например,более детальные политики и процедуры безопасности для конкретных информационных систем, а такжеправила безопасности, которым должны следовать пользователи,Такая политика должна быть доведена до сведения всех сотрудников организации в доступной ипонятной форме.3.1.2 Пересмотр и оценкаНеобходимо, чтобы в организации назначалось ответственное за политику безопасности должностное лицо, которое отвечало бы за ее реализацию и пересмотр в соответствии с установленной процедурой.Указаннаяпроцедурадолжнаобеспечиватьосуществлениепересмотраполитикиинформационной безопасности в соответствии с изменениями, влияющими на основу первоначальнойоценки риска, например, путем выявления существенных инцидентов нарушения информационнойбезопасности, появление новых уязвимостей или изменения организационной или технологическойинфраструктуры.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
