ГОСТ Р ИСО МЭК 27001-2006 (1027768), страница 7
Текст из файла (страница 7)
Íàñòîÿùèé ñòàíäàðò ïðåäëàãàåò êîíöåïòóàëüíóþ îñíîâó ñèñòåìû ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè äëÿ ðåàëèçàöèè íåêîòîðûõ èç ïðèíöèïîâ ÎÝÑÐ ñ èñïîëüçîâàíèåì ìîäåëè PDCA è ïðîöåññîâ,îïèñàííûõ â ðàçäåëàõ 4, 5, 6 è 8. Ïðèíöèïû ÎÝÑÐ è ìîäåëü PDCA ïðèâåäåíû â òàáëèöå Â.1.Ò à á ë è ö à Â.1 — Ïðèíöèïû ÎÝÑÐ è ìîäåëü PDCAÏðèíöèï ÎÝÑÐÎñâåäîìëåííîñòüÓ÷àñòíèêè äîëæíû áûòü îñâåäîìëåíû îíåîáõîäèìîñòè îáåñïå÷åíèÿ áåçîïàñíîñòè èíôîðìàöèîííûõ ñèñòåì è ñåòåé è î òîì, ÷òî îíèìîãóò ñäåëàòü äëÿ ïîâûøåíèÿ óðîâíÿ áåçîïàñíîñòèÎòâåòñòâåííîñòüÂñå ó÷àñòíèêè ÿâëÿþòñÿ îòâåòñòâåííûìè çàáåçîïàñíîñòü èíôîðìàöèîííûõ ñèñòåì è ñåòåéÐåàãèðîâàíèåÓ÷àñòíèêè äîëæíû äåéñòâîâàòü ñîâìåñòíî èñâîåâðåìåííî, ÷òîáû ïðåäîòâðàùàòü, îáíàðóæèâàòü èíöèäåíòû áåçîïàñíîñòè è ðåàãèðîâàòüíà íèõÎöåíêà ðèñêàÓ÷àñòíèêè äîëæíû ïðîâîäèòü îöåíêó ðèñêîâÐàçðàáîòêà è âíåäðåíèå áåçîïàñíîñòèÓ÷àñòíèêè äîëæíû âíåäðèòü áåçîïàñíîñòüêàê âàæíûé ýëåìåíò èíôîðìàöèîííûõ ñèñòåì èñåòåéÌåíåäæìåíò áåçîïàñíîñòèÓ÷àñòíèêè äîëæíû ïðèìåíÿòü âñåñòîðîííèéïîäõîä ê ìåíåäæìåíòó áåçîïàñíîñòèÏîâòîðíàÿ îöåíêàÓ÷àñòíèêè äîëæíû àíàëèçèðîâàòü è ïîâòîðíî îöåíèâàòü ñîñòîÿíèå áåçîïàñíîñòè èíôîðìàöèîííûõ ñèñòåì è ñåòåé, è âíîñèòü ñîîòâåòñòâóþùèå èçìåíåíèÿ â ïîëèòèêó, ïðàêòèêó, ìåðû èïðîöåäóðû áåçîïàñíîñòè22Ñîîòâåòñòâóþùèé ïðîöåññ ÑÌÈÁ è ñòàäèÿ PDCAÄàííûå ìåðîïðèÿòèÿ ÿâëÿþòñÿ ÷àñòüþ ñòàäèè «Îñóùåñòâëåíèå» (ñì.
4.2.2 è 5.2)Äàííûå ìåðîïðèÿòèÿ ÿâëÿþòñÿ ÷àñòüþ ñòàäèè «Îñóùåñòâëåíèå» (ñì. 4.2.2 è 5.1)ßâëÿåòñÿ ÷àñòüþ ñòàäèè «Ïðîâåðêà» äåÿòåëüíîñòè ïîìîíèòîðèíãó (ñì. 4.2.3, ðàçäåë 6 è 7.3) è ìåðîïðèÿòèé ïîðåàãèðîâàíèþ ñòàäèè «Äåéñòâèå» (ñì. 4.2.4, 8.1, 8.2 è 8.3).Äàííûå ìåðîïðèÿòèÿ ìîãóò áûòü òàêæå îõâà÷åíû íåêîòîðûìè ýëåìåíòàìè ñòàäèé «Ïëàíèðîâàíèå» è «Ïðîâåðêà»Ýòîò âèä äåÿòåëüíîñòè ÿâëÿåòñÿ ÷àñòüþ ñòàäèè «Ïëàíèðîâàíèå» (ñì. 4.2.1), à ïîâòîðíàÿ îöåíêà (ïåðåîöåíêà) ðèñêàÿâëÿåòñÿ ÷àñòüþ ñòàäèè «Ïðîâåðêà» (ñì. 4.2.3, ðàçäåë 6 è7.3)Ïîñëå âûïîëíåíèÿ îöåíêè ðèñêîâ âûáèðàþò ìåðû óïðàâëåíèÿ äëÿ îáðàáîòêè ðèñêîâ êàê ÷àñòü ñòàäèè «Ïëàíèðîâàíèå» (ñì. 4.2.1). Ñòàäèÿ «Îñóùåñòâëåíèå» (ñì. 4.2.2 è5.2) îõâàòûâàåò çàòåì âíåäðåíèå è îáåñïå÷åíèå ôóíêöèîíèðîâàíèÿ ýòèõ ìåð óïðàâëåíèÿÌåíåäæìåíò ðèñêîâ ïðåäñòàâëÿåò ñîáîé ïðîöåññ, âêëþ÷àþùèé â ñåáÿ ïðåäîòâðàùåíèå, îáíàðóæåíèå èíöèäåíòîâ èðåàãèðîâàíèå íà íèõ, ñîïðîâîæäåíèå, àíàëèç è àóäèò.
Âñåýòè âîïðîñû ðåøàþò íà ñòàäèÿõ «Ïëàíèðîâàíèå», «Îñóùåñòâëåíèå», «Ïðîâåðêà» è «Äåéñòâèå»Ïåðåîöåíêà (ïîâòîðíàÿ îöåíêà) èíôîðìàöèîííîé áåçîïàñíîñòè ÿâëÿåòñÿ ÷àñòüþ ñòàäèè «Ïðîâåðêà» (ñì. 4.2.3,ðàçäåë 6 è 7.3), íà êîòîðîé äîëæíû áûòü ïðåäïðèíÿòûðåãóëÿðíûå àíàëèçû ýôôåêòèâíîñòè ñèñòåìû ìåíåäæìåíòàèíôîðìàöèîííîé áåçîïàñíîñòè, à ïîâûøåíèå óðîâíÿ áåçîïàñíîñòè ÿâëÿåòñÿ ÷àñòüþ ñòàäèè «Äåéñòâèå» (ñì. 4.2.4, 8.1,8.2 è 8.3)ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 27001—2006Ïðèëîæåíèå Ñ(ñïðàâî÷íîå)Ñðàâíåíèå ñòðóêòóðû íàñòîÿùåãî ñòàíäàðòà ñî ñòðóêòóðàìè ìåæäóíàðîäíûõ ñòàíäàðòîâÈÑÎ 9001:2000, ÈÑÎ 14001:2004 òàáëèöå Ñ.1 ïðèâåäåíî ñðàâíåíèå ñòðóêòóð ÈÑÎ 9001:2000, ÈÑÎ 14001:2004 è íàñòîÿùåãî ñòàíäàðòà.Ò à á ë è ö à Ñ.1 — Ñðàâíåíèå ñòðóêòóð ÈÑÎ 9001:2000, ÈÑÎ 14001:2004 è íàñòîÿùåãî ñòàíäàðòàÍàñòîÿùèé ñòàíäàðòÈÑÎ 9001: 2000ÂâåäåíèåÂâåäåíèåÎáùèå ïîëîæåíèÿÎáùèå ïîëîæåíèÿÏðîöåññíûé ïîäõîäÏðîöåññíûé ïîäõîäÑâÿçü ñ ÈÑÎ 9004 [9]Âîçìîæíîñòü ñîâìåñòíîãî èñïîëüçîâàíèÿ ñ äðóãèìè ñèñòåìàìè óïðàâëåíèÿÈÑÎ 14001:2004ÂâåäåíèåÑîâìåñòèìîñòü ñ äðóãèìè ñèñòåìàìè ìåíåäæìåíòà1 Îáëàñòü ïðèìåíåíèÿ1 Îáëàñòü ïðèìåíåíèÿ1.1 Îáùèå ïîëîæåíèÿ1.1 Îáùèå ïîëîæåíèÿ1.2 Ïðèìåíåíèå1.2 Ïðèìåíåíèå2 Íîðìàòèâíûå ññûëêè2 Íîðìàòèâíûå ññûëêè2 Íîðìàòèâíûå ññûëêè3 Òåðìèíû è îïðåäåëåíèÿ3 Òåðìèíû è îïðåäåëåíèÿ3 Òåðìèíû è îïðåäåëåíèÿ4 Ñèñòåìà ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè4.1 Îáùèå òðåáîâàíèÿ4.2 Ðàçðàáîòêàëåíèå ÑÌÈÁ4 Ñèñòåìà ìåíåäæìåíòà êà÷åñòâà4.1 Îáùèå òðåáîâàíèÿÑÌÈÁ.1 Îáëàñòü ïðèìåíåíèÿ4 Òðåáîâàíèÿ ñèñòåìû óïðàâëåíèÿ â îáëàñòè îõðàíûîêðóæàþùåé ñðåäû4.1 Îáùèå òðåáîâàíèÿÓïðàâ-4.2.1 Ðàçðàáîòêà ÑÌÈÁ4.2.2 Âíåäðåíèå è ôóíêöèîíèðîâàíèå ÑÌÈÁ4.2.3 Ïðîâåäåíèå ìîíèòîðèíãà èàíàëèçà ÑÌÈÁ4.2.4ÑÌÈÁÏîääåðæêàèóëó÷øåíèå4.4 Âíåäðåíèå è ýêñïëóàòàöèÿ8.2.3 Ìîíèòîðèíã è èçìåðåíèåïðîöåññîâ8.2.4 Ìîíèòîðèíã è èçìåðåíèåïðîäóêöèè4.5.1 Ìîíèòîðèíã è èçìåðåíèå——4.3 Òðåáîâàíèÿ ê äîêóìåíòàöèè4.2 Òðåáîâàíèÿ ê äîêóìåíòàöèè4.3.1 Îáùèå ïîëîæåíèÿ4.2.1 Îáùèå ïîëîæåíèÿ4.2.2 Ðóêîâîäñòâî ïî êà÷åñòâó4.3.2 Óïðàâëåíèå äîêóìåíòàìè4.3.2 Óïðàâëåíèå äîêóìåíòàöèåé4.4.5 Ìåðû êîíòðîëÿ äîêóìåíòàöèè4.3.3 Óïðàâëåíèå çàïèñÿìè4.2.4 Óïðàâëåíèå çàïèñÿìè4.5.4 Ìåðû êîíòðîëÿ â îòíîøåíèè ó÷åòíûõ çàïèñåé5 Îòâåòñòâåííîñòü ðóêîâîäñòâà5 Îòâåòñòâåííîñòü ðóêîâîäñòâà5.1 Îáÿçàòåëüñòâà ðóêîâîäñòâà5.1 Îáÿçàòåëüñòâà ðóêîâîäñòâà5.2 Îðèåíòàöèÿ íà ïîòðåáèòåëÿ5.3 Ïîëèòèêà â îáëàñòè êà÷åñòâà5.4 Ïëàíèðîâàíèå5.5 Îòâåòñòâåííîñòü, ïîëíîìî÷èÿ è îáìåí èíôîðìàöèåé—4.2 Ïîëèòèêà â îáëàñòè îõðàíû îêðóæàþùåé ñðåäû4.3 Ïëàíèðîâàíèå23ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 27001—2006Îêîí÷àíèå òàáëèöû Ñ.1Íàñòîÿùèé ñòàíäàðòÈÑÎ 9001: 20005.2 Óïðàâëåíèå ðåñóðñàìè6 Óïðàâëåíèå ðåñóðñàìè5.2.1 Îáåñïå÷åíèå ðåñóðñàìè6.1 Îáåñïå÷åíèå ðåñóðñàìè6.2 ×åëîâå÷åñêèå ðåñóðñû5.2.2 Ïîäãîòîâêà, îñâåäîìëåííîñòü è êâàëèôèêàöèÿ ïåðñîíàëà6 Âíóòðåííèå àóäèòû ÑÌÈÁ7 Àíàëèç ÑÌÈÁ ñî ñòîðîíû ðóêîâîäñòâà7.1 Îáùèå ïîëîæåíèÿ6.2.2 Êîìïåòåíòíîñòü, îñâåäîìëåííîñòü è ïîäãîòîâêà6.3 Èíôðàñòðóêòóðà6.4 Ïðîèçâîäñòâåííàÿ ñðåäà8.2.2 Âíóòðåííèå àóäèòû (ïðîâåðêè)5.6 Àíàëèç ñî ñòîðîíû ðóêîâîäñòâà5.6.2 Âõîäíûå äàííûå äëÿ ïðîâåäåíèÿ êîíòðîëüíîãî àíàëèçà7.3 Âûõîäíûå äàííûå àíàëèçàÑÌÈÁ5.6.3 Âûõîäíûå äàííûå êîíòðîëüíîãî àíàëèçà8.1 Ïîñòîÿííîå óëó÷øåíèå4.4.2 Îáó÷åíèå, îñâåäîìëåííîñòü è êîìïåòåíòíîñòü4.5.5 Âíóòðåííèé àóäèò4.6 Êîíòðîëüíûé àíàëèç ñîñòîðîíû ðóêîâîäñòâà5.6.1 Îáùèå ïîëîæåíèÿ7.2 Âõîäíûå äàííûå äëÿ àíàëèçàÑÌÈÁ8 Óëó÷øåíèå ÑÌÈÁÈÑÎ 14001:20048.5 Ñîâåðøåíñòâîâàíèå8.5.2 Íåïðåðûâíîå ñîâåðøåíñòâîâàíèå8.2 Êîððåêòèðóþùèå äåéñòâèÿ8.5.3 Êîððåêòèðóþùèå äåéñòâèÿ8.3 Ïðåäóïðåæäàþùèå äåéñòâèÿ8.5.4 Ïðåâåíòèâíûå äåéñòâèÿ4.5.3 Íåñîîòâåòñòâèå, êîððåêòèâíûå è ïðåâåíòèâíûåäåéñòâèÿÏðèëîæåíèå À Öåëè è ìåðû óïðàâëåíèÿ—Ïðèëîæåíèå À Ðóêîâîäñòâîïî èñïîëüçîâàíèþ ýòîãî ñòàíäàðòàÏðèëîæåíèå  Ïðèíöèïû ÎÝÑÐ èíàñòîÿùèé ñòàíäàðò——Ïðèëîæåíèå Ñ Ñðàâíåíèå ñòðóêòóðû íàñòîÿùåãî ñòàíäàðòà ñî ñòðóêòóðàìè ìåæäóíàðîäíûõ ñòàíäàðòîâÈÑÎ 9001:2000, ÈÑÎ 14001:2004Ïðèëîæåíèå D Ñâåäåíèÿ î ñîîòâåòñòâèè íàöèîíàëüíûõ ñòàíäàðòîâÐîññèéñêîé Ôåäåðàöèè ññûëî÷íûììåæäóíàðîäíûì ñòàíäàðòàì24Ïðèëîæåíèå À ÑîîòâåòñòâèåÈÑÎ 9001:2000 è ÈÑÎ 14001:2004—Ñîîòâåòñòâèå ìåæäóÈÑÎ 14001:2004 èÈÑÎ 9001:2000—ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 27001—2006Ïðèëîæåíèå D(ñïðàâî÷íîå)Ñâåäåíèÿ î ñîîòâåòñòâèè íàöèîíàëüíîãî ñòàíäàðòà Ðîññèéñêîé Ôåäåðàöèèññûëî÷íîìó ìåæäóíàðîäíîìó ñòàíäàðòóÒ à á ë è ö à D.1Îáîçíà÷åíèå ññûëî÷íîãîìåæäóíàðîäíîãî ñòàíäàðòàÈÑÎ/ÌÝÊ 17799:2005Îáîçíà÷åíèå è íàèìåíîâàíèÿ ñîîòâåòñòâóþùåãî íàöèîíàëüíîãî ñòàíäàðòàÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005Èíôîðìàöèîííàÿ òåõíîëîãèÿ.
Ïðàêòè÷åñêèå ïðàâèëà óïðàâëåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòüþÁèáëèîãðàôèÿ[1] ÎÝÑÐ. Ðóêîâîäñòâî ïî îáåñïå÷åíèþ áåçîïàñíîñòè èíôîðìàöèîííûõ ñèñòåì è ñåòåé. Ñîâåðøåíñòâîâàíèåáåçîïàñíîñòè. — Ïàðèæ: ÎÝÑÐ, èþëü 2002OECD, Guidelines for the Security of Information Systems and Networks — Towards a Culture of Security. Paris:OECD, July 2002. www.oecd.org[2] ÈÑÎ 9001—2000Ñèñòåìà ìåíåäæìåíòà êà÷åñòâà. Òðåáîâàíèÿ (Quality management systems —Requirements)[3] ÈÑÎ 14001:2004Ñèñòåìû óïðàâëåíèÿ îêðóæàþùåé ñðåäîé.
Òðåáîâàíèÿ è ðóêîâîäñòâî ïî ïðèìåíåíèþ (Environmental management systems — Requirements with guidancefor use)[4] ÈÑÎ/ÌÝÊ 13335-1:2004Èíôîðìàöèîííàÿ òåõíîëîãèÿ. Ìåòîäû îáåñïå÷åíèÿ áåçîïàñíîñòè. Óïðàâëåíèå áåçîïàñíîñòüþ èíôîðìàöèîííûõ è òåëåêîììóíèêàöèîííûõ òåõíîëîãèé.×àñòü 1. Êîíöåïöèÿ è ìîäåëè óïðàâëåíèÿ áåçîïàñíîñòüþ èíôîðìàöèîííûõ èòåëåêîììóíèêàöèîííûõ òåõíîëîãèé (Information technology — Security techniques — Management of information and communications technology security —Part 1: Concepts and models for information and communications technologysecurity management)[5] ÈÑÎ/ÌÝÊ ÒÎ 18044:2004Èíôîðìàöèîííàÿ òåõíîëîãèÿ. Ìåòîäû îáåñïå÷åíèÿ áåçîïàñíîñòè. Óïðàâëåíèå èíöèäåíòàìè èíôîðìàöèîííîé áåçîïàñíîñòè (Information technology —Security techniques — Information security incident management)[6] ÐóêîâîäñòâîÓïðàâëåíèå ðèñêîì. Ñëîâàðü.
Ðóêîâîäÿùèå óêàçàíèÿ ïî èñïîëüçîâàíèþ âÈÑÎ/ÌÝÊ 73:2002ñòàíäàðòàõ (Risk management — Vocabulary — Guidelines for use in standards)[7] ÈÑÎ/ÌÝÊ ÒÎ 13335-3:1998Èíôîðìàöèîííàÿ òåõíîëîãèÿ. Ðåêîìåíäàöèè ïî óïðàâëåíèþ áåçîïàñíîñòüþèíôîðìàöèîííûõ òåõíîëîãèé. ×àñòü 3. Ìåòîäû óïðàâëåíèÿ áåçîïàñíîñòüþèíôîðìàöèîííûõ òåõíîëîãèé (Information technology — Guidelines for themanagement of IT Security — Part 3: Techniques for the management of ITsecurity)[8] ÈÑÎ 19011:2002Ðóêîâîäÿùèå óêàçàíèÿ ïî àóäèòó ñèñòåì ìåíåäæìåíòà êà÷åñòâà è/èëè ñèñòåìýêîëîãè÷åñêîãî ìåíåäæìåíòà (Guidelines for quality and/or environmental management systems auditing)[9] ÈÑÎ 9004:2000Ñèñòåìû ìåíåäæìåíòà êà÷åñòâà.
Ðåêîìåíäàöèè ïî óëó÷øåíèþ äåÿòåëüíîñòè(Quality management systems — Guidelines for performance improvements)25ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 27001—2006ÓÄÊ 001.4:025.4:006.354ÎÊÑ 35.04001.040.01Ò00Êëþ÷åâûå ñëîâà: ñèñòåìà ìåíåäæìåíòà èíôîðìàöèîííîé áåçîïàñíîñòè, äîêóìåíòàëüíî îôîðìëåííàÿïðîöåäóðà, èíöèäåíò èíôîðìàöèîííîé áåçîïàñíîñòèÐåäàêòîð Ë.Â.
ÀôàíàñåíêîÒåõíè÷åñêèé ðåäàêòîð Â.Í. ÏðóñàêîâàÊîððåêòîð Ì.È. ÏåðøèíàÊîìïüþòåðíàÿ âåðñòêà È.À. ÍàëåéêèíîéÑäàíî â íàáîð 27.11.2007.Ïîäïèñàíî â ïå÷àòü 10.01.2008.Ôîðìàò 60.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
