КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Стандарты системы менеджмента информационной безопасности
Стандарты ISO серии 19000
Выше было отмечено, что стандарты серий ISO 9000 и ISO 14000 основаны на одинаковых подходах к системам менеджмента качества и экологического управления, аудитов и сертификации этих объектов. Поэтому естественным явилось появление серии стандартов ISO 19000, которые заменяют собой соответствующие стандарты серий ISO 10000 и ISO 14000 и разработаны техническими комитетами ISO 176 и 207.
Так, например, стандарт ISO 19011:2002 «Руководство по проведению аудитов систем управления качеством и (или) экологического управления» заменяет ISO 10011-1, ISO 10011-2, ISO 10011-3, ISO 14011 и ISO 14012. В настоящее время эти работы продолжаются.
Одной из современных разработок в области стандартизации элементов системы менеджмента качества явился документISO/IEC 27001:2005 «Методы обеспечения безопасности. Системы менеджмента информационной безопасности (СМИБ)», открывающий соответствующую серию стандартов. В нем установлены требования по созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и совершенствованию документально оформленной СМИБ в контексте общих рисков организации. В стандарте также устанавливаются требования по внедрению мер (средств) контроля в области безопасности, адаптированные к потребностям конкретной организации или ее подразделений.
Целью построения СМИБ является обеспечение выбора адекватных и соответствующих мер (средств) контроля безопасности, с помощью которых обеспечивается необходимая защита информационных активов и создается доверие заинтересованных сторон.
Требования, изложенные в этом международном стандарте, являются общими и предназначены для применения во всех организациях, независимо от типа, размера и сферы деятельности.
В разделе «Термины и определения» определяются такие понятия, как «активы», «конфиденциальность», «безопасность информации», «менеджмент риска» и некорорые другие.
Создание СМИБ должно включать следующие виды работ:
- определение области применения СМИБ на основе характеристик бизнеса, организации, ее расположения, активов и технологий и обоснование любого исключения (если оно есть) из области действий;
- определение политики СМИБ, утвержденной высшим руководством организации;
- определение подхода (методов и критериев) к оценке риски в организации;
- идентификация рисков (идентификация активов, угроз и уязвимости для них,);
- анализ и оценка рисков;
- определение и оценка различных вариантов обработки рисков;
- выбор цели и мер (средств) контроля для обработки рисков;
- получение одобрения руководства в отношении остаточных предлагаемых рисков;
- получение разрешения руководства на внедрение и эксплуатацию СМИБ;
- подготовка «Положения о применимости».
Стандарт ISO/IEC 27001:2005 предусматривает меры контроля документов. Для этого на предприятии оформляется соответствующая процедура (стандарт организации) действий руководства, чтобы:
- обеспечить адекватность документов перед их изданием;
- пересматривать и обновлять (при необходимости) документы;
- обеспечивать возможность определения внесенных изменений и статуса текущей версии документов, а также предотвращать использование устаревших документов;
- обеспечивать наличие и доступ к документам в местах их использования;
- обеспечивать легкочитаемость и понимаемость документов;
- обеспечивать передачу документов авторизованным лицам, контроль за распространением документов, а также их хранение и удаление согласно специальным процедурам;
- обеспечивать выявление документов, созданных вне организации.
Также предусматриваются меры по хранению учетных записей.
Специфика стандарта СМИБ отражена в Приложении АА к нему, в котором представлены конкретные цели и меры (средства) контроля, касающиеся:
- политики безопасности;
- организации информационной безопасности, касающейся внутренней деятельности организации и внешних сторон;
- менеджмента активов;
- вопросов безопасности, связанных с персоналом;
- физической безопасности и безопасности от воздействий окружающей среды;
- менеджмента коммуникаций и их функционирования;
- контроля доступа;
- приобретения, разработки обслуживания информационных систем;
- менеджмента инцидентов информационной безопасности;
- менеджмента непрерывности бизнеса;
- соответствия требованиям законодательства, политикам и стандартам безопасности, а также вопросам аудита информационных систем.
Структура и идеология стандарта ISO/IEC 27001:2005 в значительной степени совпадает со структурой и идеологией международных стандартов ISO 9001:2000 и ISO 14001:2004, что способствует созданию интегрированных систем менеджмента качества.
|
|
Дата добавления: 2014-12-08; Просмотров: 1233; Нарушение авторских прав?; Мы поможем в написании вашей работы!