Разработан Международной организацией по стандартизации (iso) и Международной электротехнической комиссией (iec) на основе британского стандарта bs 7799-2: 2002

Вид материалаДокументы

Содержание


Основные положения стандарта
Политика в области безопасности
Организация системы безопасности
Классификация активов и управление
Безопасность и персонал
Физическая и внешняя безопасность
Управление доступом к системе
Приобретение, разработка и обслуживание информационной системы
Менеджмент инцидентов информационной безопасности
Обеспечение непрерывности бизнеса
Совместимость с другими стандартами на системы менеджмента
Основные преимущества, достигаемые при внедрении стандарта ISO/IEC 27001:2005
Внедрение стандарта в мире
Стандарт в странах СНГ
Подобный материал:
Международный стандарт ISO/IEC 27001:2005 «Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования» разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799-2:2002.

Стандарт устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности (далее – СМИБ) в контексте существующих бизнес-рисков организации.

Требования данного стандарта имеют общий характер и могут быть применимы ко всем организациям независимо от их типа, размера, формы собственности.

Стандарт ISO/IEC 27001:2005 устанавливает требования к СМИБ для демонстрации способности организации защищать свои информационные ресурсы.

Проводится официальная сертификация СМИБ на соответствие стандарту ISO/IEC 27001:2005.

Сертифицированная СМИБ – гарантия того, что система управления информационной безопасностью правильно и эффективно внедрена в область (области) деятельности организации. А эффективная СМИБ, в свою очередь, обеспечивает необходимый уровень защиты активов организации, т.е. существенно снижает риск нанесения организации ущерба вследствие нарушения информационной безопасности и гарантирует, что меры и средства защиты информации являются адекватными и пропорциональными возможному ущербу организации.

В приложении А стандарта приведен перечень минимальных требований из стандарта ISO/IEC 17799:2005 «Информационные технологии – Методы защиты – Практическое руководство для управления системой защиты информации» к обеспечению безопасности, которые должны быть выполнены в организации.

Основные положения стандарта

Понятие информационной безопасности

Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).

Целостность – обеспечение точности и полноты информации, а также методов ее обработки.

Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Для разработки СМИБ организация должна выполнить следующие шаги:
  1. Определить область применения СМИБ.
  2. Разработать Политику информационной безопасности.
  3. Определить (разработать) подход к оценке рисков.
  4. Идентифицировать риски.
  5. Проанализировать и оценить риски.
  6. Принять решения по обработке рисков:
    • применить к риску соответствующие средства управления;
    • принять риск в соответствии с разработанными критериями принятия рисков;
    • уйти от риска (избежать риска);
    • передать риск другой стороне (например, страховой компании, поставщику).
  1. Выбрать средства управления, которые можно применить для уменьшения рисков. При выборе средств управления должны учитываться критерии принятия рисков, законодательные требования, договорные требования.
  2. Получить согласие руководства по остаточным рискам.
  3. Подготовить Положение о применимости – один из обязательных документов СМИБ.

Документация СМИБ

Документация СМИБ должна включать:
  • Политику и цели в области информационной безопасности;
  • Область применения СМИБ;
  • Процедуры и средства управления в поддержку СМИБ;
  • Описание методологии оценки рисков;
  • Отчет по оценке рисков;
  • План уменьшения рисков;
  • Процедуры, необходимые организации для обеспечения эффективного планирования, выполнения и управления ее процессами в области информационной безопасности и описывающие, как измеряется результативность средств управления;
  • Записи, требуемые стандартом;
  • Положение о применимости;
  • Перечень законодательных требований, которые применимы к информационным ресурсам организации.


Система управления информационной безопасностью на основе стандарта ISO 27001 позволит:
Сделать большинство информационных активов наиболее понятными для менеджмента компании
Выявлять основные угрозы безопасности для существующих бизнес-процессов
Рассчитывать риски и принимать решения на основе бизнес-целей компании
Обеспечить эффективное управление системой в критичных ситуациях
Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)
Четко определить личную ответственность
Достигнуть снижения и оптимизации стоимости поддержки системы безопасности
Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000
Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности
Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках
Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту

Структура стандарта
Общие положения:
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Система информационной безопасности
5. Обязательства руководства
6. Внутренние аудиты системы менеджмента
7. Анализ системы менеджмента информационной безопасности руководством
8. Совершенствование системы менеджмента информационной безопасности

Приложение А (Обязательное). Цели и меры (средства) контроля:
ПОЛИТИКА В ОБЛАСТИ БЕЗОПАСНОСТИ
Цель: обеспечить четкое управление и поддержку политики в области информационной безопасности со стороны руководства предприятия.
ОРГАНИЗАЦИЯ СИСТЕМЫ БЕЗОПАСНОСТИ
Цель: создать организационную структуру, которая будет внедрять и обеспечивать работоспособность системы информационной безопасности в организации.
КЛАССИФИКАЦИЯ АКТИВОВ И УПРАВЛЕНИЕ
Цель: поддерживать адекватную информационную безопасность организации путем возложения персональной ответственности, а также классификации информационных активов по необходимости и приоритету защиты.
БЕЗОПАСНОСТЬ И ПЕРСОНАЛ
Цель: уменьшить риск человеческих ошибок, хищений и неправильного использования оборудования, в том числе путем эффективного обучения и внедрения механизма отслеживания инцидентов.
ФИЗИЧЕСКАЯ И ВНЕШНЯЯ БЕЗОПАСНОСТЬ
Цель: предотвратить несанкционированный доступ, повреждение и нарушение работы информационной системы организации.
МЕНЕДЖМЕНТ КОМПЬЮТЕРОВ И СЕТЕЙ
Цель: обеспечить безопасное функционирование компьютеров и сетей.
УПРАВЛЕНИЕ ДОСТУПОМ К СИСТЕМЕ
Цель: управлять доступом к деловой информации, предотвращать несанкционированный доступ и обнаруживать несанкционированную деятельность.
ПРИОБРЕТЕНИЕ, РАЗРАБОТКА И ОБСЛУЖИВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Цель: обеспечить выполнение требований безопасности при создании или развитии информационной системы организации, поддерживать безопасность приложений и данных.
МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Цель: обеспечить то, что инциденты информационной безопасности и недостатки, связанные с информационными системами, сообщаются способом, позволяющим своевременно предпринять корректирующие действия.
ОБЕСПЕЧЕНИЕ НЕПРЕРЫВНОСТИ БИЗНЕСА
Цель: подготовить план действий в случае чрезвычайных обстоятельств для обеспечения непрерывности работы организации.
СООТВЕТСТВИЕ ЗАКОНОДАТЕЛЬСТВУ
Цель: обеспечить выполнение требований соответствующего гражданского и уголовного законодательства, включая законы об авторских правах и защите данных.

Совместимость с другими стандартами на системы менеджмента

Стандарт совместим с такими стандартами, как ISO 9001:2000 и ISO 14001:2004. Если в организации уже внедрены системы менеджмента в соответствии с данными стандартами, то предпочтительно обеспечивать выполнение требований стандарта ISO 27001 в рамках существующих систем менеджмента.

Основные преимущества, достигаемые при внедрении стандарта ISO/IEC 27001:2005

Сертификация на соответствие стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в организации налажено эффективное управление информационной безопасностью.

Внедрение стандарта в мире

На сегодняшний день, по данным ISMS International User Group (февраль 2008 года), в мире выдано более чем 4 193 сертификатов, из них 56% в Японии, 10% в Европе.

Из самых известных компаний, которые уже прошли официальную сертификацию по стандарту ISO/IEC 27001:2005 (BS 7799-2:2002), можно назвать следующие: CANON, Fuji, Xerox, Fujitsu, Hitachi, Mitsubishi Electric, NEC, Sony, Toshiba, Federal Reserve Bank of New York, Telecom Italia, Japan Telecom, подразделения Siemens, British Telecom, T-Mobile, Ericsson, Samsung, Hyundai, Vodafone, СMA.

Стандарт в странах СНГ

Украина: высокая заинтересованность к внедрению СМИБ проявляется со стороны банковской сферы, крупных промышленных предприятий, телекоммуникационных компаний, компаний, предоставляющих консалтинговые услуги в сфере информационной безопасности и защиты. Ведется разработка национального стандарта ДСТУ ISO/IEC 27001.

Беларусь: международный стандарт ISO/IEC 17799:2000 «Information technology and security – Code of practice for information security managment» получил официальное признание в виде предстандарта СТБ П ИСО/МЭК 17799-2000/2004 «Информационные технологии и безопасность. Правила управления информационной безопасностью» и представляет собой идентичный перевод международного стандарта. Предстандарт вводится в действие с 1 ноября 2004 года по 1 ноября 2006 года.

Молдова: благодаря позиции Национального Банка все банки с 2003 года проходят регулярную проверку на соответствие ISO 17799:2005. На сегодняшний день в этой стране сертифицирована одна компания − «Сompudava SRL».

Россия: растущее количество предложений по обучению и сертификации на соответствие стандарту свидетельствует о повышенном интересе к этому вопросу. По состоянию на февраль 2007 года сертифицировано 6 компаний: компании CMA Small Systems AB, CROC Incorporated получили сертификат соответствия стандарту BS ISO 7799-2:2002, а компании Lukoil-Inform, Luxsoft, Multiregional TransitTelecom, Rosno – сертификаты соответствия стандарту ISO/IEC 27001:2005. В 2006 году вышел ГОСТ 17799 и с февраля 2008 года вступает в силу ГОСТ 27001.