Одной из современных разработок в области стандартизации элементов системы менеджмента качества явился документ ISO/IEC 27001:2005 «Методы обеспечения безопасности. Системы менеджмента информационной безопасности (СМИБ)», открывающий соответствующую серию стандартов. В нем установлены требования по созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и совершенствованию документально оформленной СМИБ в контексте общих рисков организации. В стандарте также устанавливаются требования по внедрению мер (средств) контроля в области безопасности, адаптированные к потребностям конкретной организации или ее подразделений.
Целью построения СМИБ является обеспечение выбора адекватных и соответствующих мер (средств) контроля безопасности, с помощью которых обеспечивается необходимая защита информационных активов и создается доверие заинтересованных сторон.
Требования, изложенные в этом международном стандарте, являются общими и предназначены для применения во всех организациях, независимо от типа, размера и сферы деятельности.
|
|
В разделе «Термины и определения» определяются такие понятия, как «активы», «конфиденциальность», «безопасность информации», «менеджмент риска» и некорорые другие.
Создание СМИБ должно включать следующие виды работ:
- определение области применения СМИБ на основе характеристик бизнеса, организации, ее расположения, активов и технологий и обоснование любого исключения (если оно есть) из области действий;
- определение политики СМИБ, утвержденной высшим руководством организации;
- определение подхода (методов и критериев) к оценке риски в организации;
- идентификация рисков (идентификация активов, угроз и уязвимости для них,);
- анализ и оценка рисков;
- определение и оценка различных вариантов обработки рисков;
- выбор цели и мер (средств) контроля для обработки рисков;
- получение одобрения руководства в отношении остаточных предлагаемых рисков;
- получение разрешения руководства на внедрение и эксплуатацию СМИБ;
- подготовка «Положения о применимости».
Стандарт ISO/IEC 27001:2005 предусматривает меры контроля документов. Для этого на предприятии оформляется соответствующая процедура (стандарт организации) действий руководства, чтобы:
- обеспечить адекватность документов перед их изданием;
- пересматривать и обновлять (при необходимости) документы;
- обеспечивать возможность определения внесенных изменений и статуса текущей версии документов, а также предотвращать использование устаревших документов;
- обеспечивать наличие и доступ к документам в местах их использования;
|
|
- обеспечивать легкочитаемость и понимаемость документов;
- обеспечивать передачу документов авторизованным лицам, контроль за распространением документов, а также их хранение и удаление согласно специальным процедурам;
- обеспечивать выявление документов, созданных вне организации.
Также предусматриваются меры по хранению учетных записей.
Специфика стандарта СМИБ отражена в Приложении АА к нему, в котором представлены конкретные цели и меры (средства) контроля, касающиеся:
- политики безопасности;
- организации информационной безопасности, касающейся внутренней деятельности организации и внешних сторон;
- менеджмента активов;
- вопросов безопасности, связанных с персоналом;
- физической безопасности и безопасности от воздействий окружающей среды;
- менеджмента коммуникаций и их функционирования;
- контроля доступа;
- приобретения, разработки обслуживания информационных систем;
- менеджмента инцидентов информационной безопасности;
- менеджмента непрерывности бизнеса;
- соответствия требованиям законодательства, политикам и стандартам безопасности, а также вопросам аудита информационных систем.
Структура и идеология стандарта ISO/IEC 27001:2005 в значительной степени совпадает со структурой и идеологией международных стандартов ISO 9001:2000 и ISO 14001:2004, что способствует созданию интегрированных систем менеджмента качества.