Iso IEC 27001 Плюсы и минусы

INTERNATIONAL

STANDARD 

ISO/IEC

27001 

First edition 2005-10-15 

 
 
 
 
 
 
Information technology — Security techniques — Information security management systems — Requirements

Technologies de /'information — Techniques de securite — Systemes de gestion de securite de /'information — Exigences

 
Технологии информационные. Методы обеспечения защиты. Системы управления информации. Требования

    
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 

Reference number

ISO/IEC 27001:2005(Е)

 
© ISO/IEC 2005

 

 

Содержание

 

Предисловие

МОС (Международная организация по стандартизации) и МЭК (Международная электротехническая комиссия) формируют специализированную систему стандартизации, распространённую во всём мире. Национальные организации, являющиеся членами МОС и МЭК, участвуют в развитии Международных Стандартов посредством технических комиссий, учреждённых соответствующей организацией, чтобы работать с особыми сферами технической деятельности. Технические комиссии МОС и МЭК сотрудничают в сферах взаимного интереса. Другие международные организации, государственные либо негосударственные, совместно с МОС и МЭК также участвуют в работе. В сфере информационных технологий МОС и МЭК учредили совместную комиссию, МОС/МЭК ОТК.

Международные Стандарты проектируются в соответствии с правилами, описанными в Положениях МОС/МЭК, Часть 2.

Главная задача объединённой технической комиссии состоит в подготовке Международных Стандартов. Проекты Международных Стандартов, принимаемые объединённой технической комиссией, передаются национальным комиссиям на рассмотрение и голосование. Для издания Международных Стандартов необходимо набрать 75% голосов национальных организаций.

Особое  внимание привлекает вероятность того, что некоторые элементы данного  документа могут быть запатентованы. МОС и МЭК не несут ответственность  за определение некоторых или  всех таких патентов.

Стандарт МОС/МЭК 27001 был подготовлен Объединённой Электротехнической Комиссией МОС/МЭК ОТК 1, Информационные технологии, Подкомиммия ПК 27, Способы защиты ИТ. 

 

0   Введение 

0.1 Общие положения 

Данный Международный Стандарт разработан для создания модели по созданию, внедрению, использованию, мониторингу, проверке, поддержке и совершенствованию Системы Менеджмента Информационной Безопасности (СМИБ). Утверждение СМИБ должно стать стратегическим решением для организации. Проектирование и внедрение СМИБ в организации зависит от ёё нужд и целей, требований безопасности, применяющихся процессов (технологических приёмов), а также её размера и структуры. Предполагается, что со временем такие системы, а также их поддерживающие, изменятся. Полагают, что внедрение СМИБ будет проводиться по определённой шкале в соответствии с нуждами организации, например, простая ситуация требует и простого решения СМИБ.

Данный Международный  Стандарт может быть использован заинтересованными внутренней и внешней сторонами для определения соответствия системы нормам безопасности. 

0.2 Концепция процесса менеджмента 

Данный Международный  Стандарт утверждает концепцию процесса создания, внедрения, использования, мониторинга, проверки, поддержки и совершенствования СМИБ организации.

Для эффективного функционирования организации приходится идентифицировать и управлять многими процессами. Процессом может считаться любое действие, использующее ресурсы, и управляемое в целях преобразования входных данных в выходные. Зачастую результат одного процесса обращается непосредственно во входной сигнал другого.

Применение  системы процессов в рамках организации  наряду с идентификацией и взаимодействием  этих процессов, их менеджментом, можно  рассматривать как “концепцию процесса”.

Представленная в данном Международном Стандарте концепция процесса менеджмента информационной безопасности заставляет тех, кто её использует, задуматься о важности таких моментов, как:

а) понимание  требований информационной безопасности организации и необходимости  проводить политику и устанавливать  цели информационной безопасности;

б) введение директив по внедрению и эксплуатации для управления рисками информационной безопасности организации в контексте  суммарных бизнес-рисков организации;

в) мониторинг и проверка качества функционирования и эффективности СМИБ; а также

г) постоянное совершенствование, основанное на реальных оценках.

Данный Международный  Стандарт утверждает модель “Планируй-Делай-Проверяй-Действуй” (PDCA), которая призвана структурировать все процессы СМИБ. Рисунок 1 иллюстрирует как в СМИБ поступающие на вход требования и ожидания безопасности заинтересованных сторон, проходя все необходимые операции и процессы, превращаются на выходе в информационную безопасность, отвечающую этим требованиям и ожиданиям. Также на Рисунке 1 изображены связи процессов, представленных в параграфах 4,5,6,7и 8.

Утверждение модели PDCA также может отразить принципы, изложенные в директивах ОЭСР (2002) по управлению безопасностью информационных систем и сетей. Данный Международный Стандарт предоставляет прочную модель внедрения правил в инструкции по управлению оценкой рисков, моделированием и обеспечением безопасности, менеджментом и переоценкой безопасности.

ПРИМЕР 1

Требование  может быть таким: нарушения в  информационной безопасности, которые  не приведут к серьёзному финансовому  ущербу организации и/или только доставят организации некоторые трудности.

ПРИМЕР 2

Ожидание  может быть такое: на случай происшествия серьёзного инцидента – возможно атака на веб-сайт, через который организация осуществляет Интернет-бизнес, – должны быть сотрудники, достаточно квалифицированные для проведения соответствующих мероприятий в целях минимизации воздействия атаки. 

 

0.3 Совместимость с другими системами менеджмента 

В целях обеспечения совместимого и комплексного внедрения и использования данного Международного Стандарта с родственными ему стандартами менеджмента, такими, как ISO 9001:2000 и ISO 14001:2004, его разработка велась в соответствии с принципами и определениями вышеперечисленных стандартов. Потому одна надлежащим образом разработанная система менеджмента может удовлетворять требованиям всех этих стандартов. В таблице С.1 изображена связь между параграфами данного Международного Стандарта, стандартов ISO 9001:2000 и ISO 14001:2004.

Цель данного  Международного Стандарта – позволить  организации урегулировать либо интегрировать свою СМИБ с соответствующими требованиями систем менеджмента.  

Информационные технологии — Концепции безопасности — Системы менеджмента информационной безопасности — Требования 

ВАЖНО — Данное издание не подразумевает включение всех требуемых положений документа. Только пользователи ответственны за их корректное применение. Само по себе соответствие Международному Стандарту не освобождает от правовых обязательств. 

1   Обзор 

1. Общие положения

 

Данный Международный  Стандарт охватывает все виды организаций (например, коммерческие структуры, правительственные  учреждения, некоммерческие предприятия)

Данный Международный  Стандарт определяет требования для создания, внедрения, использования, мониторинга, проверки, поддержки и совершенствования документированной СМИБ в контексте суммарного количества бизнес-рисков организации. Он определяет требования для внедрения средств обеспечения защиты, переделанных под нужды отдельных организаций и их частей. 

Цель разработки СМИБ – обеспечить отбор только отвечающих требованиям и соразмерных средств обеспечения безопасности, способных защитить информационные активы и предоставить уверенность в безопасности заинтересованным лицам. 

ПРИМЕЧАНИЕ 1: Понятие “бизнеса” в данном Международном Стандарте следует интерпретировать в широком смысле для обозначения деятельности, необходимой для существования организации. 

ПРИМЕЧАНИЕ 2: МОС/МЭК 17799 предоставляет руководство по обеспечению безопасности, которое можно использовать для разработки директив. 

1.2 Применение 

Требования, представленные в данном Международном Стандарте, являются общими и применимы ко всем организациям, независимо от их вида, размера и характера деятельности. Исключение любых требований, определённых в параграфах 4, 5, 6, 7 и 8  недопустимо, если организация предъявляет требования соответствия данному Международному Стандарту. 

Любое исключение директив, необходимое, чтобы соответствовать критерию принятия риска, должно быть обосновано, и также должны быть предъявлены доказательства о принятии ответственными лицами связанных с этим рисков. В тех случаях, когда какие-либо пункты исключаются, претензии к согласованности с данным Международным Стандартом не принимаются до тех пор, пока подобные исключения ради обеспечения информационной безопасности, отвечающей требованиям безопасности, определённым оценкой рисков, и соответствующим юридическим и регулятивным требованиям, не влияют на производительность организации и/или обязательства. 

ПРИМЕЧАНИЕ: Если в организации уже действует  оперативная система менеджмента  бизнес-процессами (например, в соответствии со стандартами МОС 9001 или МОС1 4001), в большинстве случаев будет  предпочтительнее удовлетворять требованиям этого международного стандарта в рамках этой существующей системы менеджмента. 

2   Нормативные ссылки

Следующие нормативно-справочные документы обязательны в качестве приложения к этому документу. Для датированных ссылок применимо только упомянутое издание. Для недатированных ссылок применимо последнее издание нормативно-справочного материала (включая поправки). 
 

МОС/МЭК 17799:2005, Информационные технологии – Методы обеспечения защиты – Свод правил практического применения менеджмента информационной безопасности. 

3   Термины и определения 

В данном документе  используются следующие термины  и определения.

 

3.1

ценные активы

всё, что имеет ценность для организации 

[МОС/МЭК 13335-1:2004] 

3.2

доступность

свойство быть доступным и используемым по требованию авторизованного субъекта