Структура стандартов серии ISO 14000

Продолжение табл. 2.3

Стандарты системы менеджмента информационной безопасности

Одной из современных разработок в области стандартизации элементов системы менеджмента качества явился документ ISO/IEC 27001:2005 «Методы обеспечения безопасности. Системы менеджмента информационной безопасности (СМИБ)», открывающий соответствующую серию стандартов. В нем установлены требования по созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и совершенствованию документально оформленной СМИБ в контексте общих рисков организации. В стандарте также устанавливаются требования по внедрению мер (средств) контроля в области безопасности, адаптированные к потребностям конкретной организации или ее подразделений.

Целью построения СМИБ является обеспечение выбора адекватных и соответствующих мер (средств) контроля безопасности, с помощью которых обеспечивается необходимая защита информационных активов и создается доверие заинтересованных сторон.

Требования, изложенные в этом международном стандарте, являются общими и предназначены для применения во всех организациях, независимо от типа, размера и сферы деятельности.

В разделе «Термины и определения» определяются такие понятия, как «активы», «конфиденциальность», «безопасность информации», «менеджмент риска» и некорорые другие.

Создание СМИБ должно включать следующие виды работ:

- определение области применения СМИБ на основе характеристик бизнеса, организации, ее расположения, активов и технологий и обоснование любого исключения (если оно есть) из области действий;

- определение политики СМИБ, утвержденной высшим руководством организации;

- определение подхода (методов и критериев) к оценке риски в организации;

- идентификация рисков (идентификация активов, угроз и уязвимости для них, );

- анализ и оценка рисков;

- определение и оценка различных вариантов обработки рисков;

- выбор цели и мер (средств) контроля для обработки рисков;

- получение одобрения руководства в отношении остаточных предлагаемых рисков;

- получение разрешения руководства на внедрение и эксплуатацию СМИБ;

- подготовка «Положения о применимости».

Стандарт ISO/IEC 27001:2005 предусматривает меры контроля документов. Для этого на предприятии оформляется соответствующая процедура (стандарт организации) действий руководства, чтобы:

- обеспечить адекватность документов перед их изданием;

- пересматривать и обновлять (при необходимости) документы;

- обеспечивать возможность определения внесенных изменений и статуса текущей версии документов, а также предотвращать использование устаревших документов;

- обеспечивать наличие и доступ к документам в местах их использования;

- обеспечивать легкочитаемость и понимаемость документов;

- обеспечивать передачу документов авторизованным лицам, контроль за распространением документов, а также их хранение и удаление согласно специальным процедурам;

- обеспечивать выявление документов, созданных вне организации.

       Также предусматриваются меры по хранению учетных записей.

Специфика стандарта СМИБ отражена в Приложении АА к нему, в котором представлены конкретные цели и меры (средства) контроля, касающиеся:

- политики безопасности;

- организации информационной безопасности, касающейся внутренней деятельности организации и внешних сторон;

- менеджмента активов;

- вопросов безопасности, связанных с персоналом;

- физической безопасности и безопасности от воздействий окружающей среды;

- менеджмента коммуникаций и их функционирования;

- контроля доступа;

- приобретения, разработки обслуживания информационных систем;

- менеджмента инцидентов информационной безопасности;

- менеджмента непрерывности бизнеса;

- соответствия требованиям законодательства, политикам и стандартам безопасности, а также вопросам аудита информационных систем.

Структура и идеология стандарта ISO/IEC 27001:2005 в значительной степени совпадает со структурой и идеологией международных стандартов ISO 9001:2000 и ISO 14001:2004, что способствует созданию интегрированных систем менеджмента качества.