Управление информационной безопасностью. Стандарты СУИБ, Гребенников Вадим Викторович

Управление информационной безопасностью. Стандарты СУИБ

на обложку

Гребенников Вадим Викторович

Шрифт:

– статус действий по результатам предыдущих анализов со стороны руководства;

– изменения внешних и внутренних аспектов, которые имеют отношение к СУИБ;

– обратную связь о состоянии ИБ, включая:

• несоответствия и корректирующие действия;

• результаты мониторинга и измерений;

• результаты аудита;

• результат достижения целей ИБ;

– обратную связь от заинтересованных сторон;

– результаты оценки рисков и статус выполнения плана по обработке рисков;

– возможности для постоянного улучшения.

Выводы

анализа со стороны руководства должны включать решения, связанные с реализацией возможностей постоянного улучшения, и любые необходимые изменения в СУИБ.

Организация должна сохранять документированную информацию в качестве свидетельства о результатах анализа со стороны руководства.

10. Улучшение (4-й этап «РDСА»)

Этап улучшения СУИБ обеспечивают следующие мероприятия:

– корректирующие действия;

– постоянное улучшение.

Корректирующие действия

При появлении несоответствия организация должна:

– реагировать на несоответствие и в зависимости от обстоятельств принять меры по его управлению и исправлению или проработать последствие;

– оценить необходимость принятия действий для устранения причин несоответствия с целью предотвращения его повторения или появления в другом месте, для этого:

• изучить несоответствие;

• определить причину несоответствия;

• определить, существуют ли подобные несоответствия или потенциальные возможности их возникновения;

– реализовать любые необходимые корректирующие действия;

– проанализировать результативность выполненных корректирующих действий;

– при необходимости внести изменения в СУИБ.

Корректирующие действия должны быть адекватными последствиям выявленных несоответствий. Организация должна сохранять документированную информацию как свидетельства о:

– характере несоответствий;

– любых корректирующих действиях;

– результатах корректирующих действий.

Постоянное улучшение

Организация должна постоянно улучшать пригодность, адекватность и результативность СУИБ.

3. Свод правил управления ИБ

(стандарт ISO/IEC 27002:2013)

В 2000 году первая часть британского национального стандарта BS 7799—1 «Практические правила управления ИБ» была принята в качестве международного стандарта ISO/IEC 17799 «ИТ. Практические правила управления ИБ». В 2005 году на его основе был разработан новый международный стандарт ISO/IЕС 27002 «ИТ. Meтоды защиты. Свод норм и правил управления ИБ», который был опубликован в июле 2007 года. Последнее обновление стандарта состоялось 25 сентября 2013 года.

Стандарт предлагает рекомендации и основные принципы введения,

реализации, поддержки и улучшения СУИБ в организации. Он может служить практическим руководством по разработке стандартов безопасности организации, для эффективной практики УИБ организаций и способствует укреплению доверия в отношениях между организациями.

Стандарт состоит из 14 разделов, посвященных мерам безопасности, которые все вместе содержат, в целом, 34 основные категории безопасности и 114 мер защиты:

1) политика ИБ (1);

2) организация ИБ (2);

3) безопасность, связанная с персоналом (3):

4) управление активами (3);

5) управление доступом (4);

6) криптография (1);

7) физическая и экологическая безопасность (2);

8) безопасность операций (7);

9) безопасность связи (2);

10) приобретение, разработка и поддержка ИС (3);

11) взаимоотношения с поставщиками (2);

12) управление инцидентами ИБ (1);