Разработан Международной организацией по стандартизации (iso) и Международной электротехнической комиссией (iec) на основе британского стандарта bs 7799-2: 2002
Вид материала | Документы |
- Состояние и перспективы стандартизации e-learning, 71.3kb.
- Планирование ресурсов предприятия. Добавление drp (планирование ресурсов для распределения), 81kb.
- Аботан Международной организацией по Стандартизации (iso), и оформлен под контролем, 125.75kb.
- Название: исо 9001: 2000, 489.42kb.
- Международный iso/iec стандарт 12207, 946.48kb.
- Исо (Международная организация по стандартизации) является всемирной федерацией национальных, 396.18kb.
- Международная организация по стандартизации (исо) является Всемирной федерацией национальных, 617.25kb.
- Международный стандарт 9000-1-94, 527.39kb.
- Схемы методов испытаний степени защиты (ip ) осветительных приборов от проникновения, 10.96kb.
- Комиссией Организации Объединенных Наций по праву международной торговли (юнситрал), 107.25kb.
Международный стандарт ISO/IEC 27001:2005 «Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования» разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799-2:2002.
Стандарт устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности (далее – СМИБ) в контексте существующих бизнес-рисков организации.
Требования данного стандарта имеют общий характер и могут быть применимы ко всем организациям независимо от их типа, размера, формы собственности.
Стандарт ISO/IEC 27001:2005 устанавливает требования к СМИБ для демонстрации способности организации защищать свои информационные ресурсы.
Проводится официальная сертификация СМИБ на соответствие стандарту ISO/IEC 27001:2005.
Сертифицированная СМИБ – гарантия того, что система управления информационной безопасностью правильно и эффективно внедрена в область (области) деятельности организации. А эффективная СМИБ, в свою очередь, обеспечивает необходимый уровень защиты активов организации, т.е. существенно снижает риск нанесения организации ущерба вследствие нарушения информационной безопасности и гарантирует, что меры и средства защиты информации являются адекватными и пропорциональными возможному ущербу организации.
В приложении А стандарта приведен перечень минимальных требований из стандарта ISO/IEC 17799:2005 «Информационные технологии – Методы защиты – Практическое руководство для управления системой защиты информации» к обеспечению безопасности, которые должны быть выполнены в организации.
Основные положения стандарта
Понятие информационной безопасности
Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».
Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).
Целостность – обеспечение точности и полноты информации, а также методов ее обработки.
Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).
Для разработки СМИБ организация должна выполнить следующие шаги:
- Определить область применения СМИБ.
- Разработать Политику информационной безопасности.
- Определить (разработать) подход к оценке рисков.
- Идентифицировать риски.
- Проанализировать и оценить риски.
- Принять решения по обработке рисков:
- применить к риску соответствующие средства управления;
- принять риск в соответствии с разработанными критериями принятия рисков;
- уйти от риска (избежать риска);
- передать риск другой стороне (например, страховой компании, поставщику).
- Выбрать средства управления, которые можно применить для уменьшения рисков. При выборе средств управления должны учитываться критерии принятия рисков, законодательные требования, договорные требования.
- Получить согласие руководства по остаточным рискам.
- Подготовить Положение о применимости – один из обязательных документов СМИБ.
Документация СМИБ
Документация СМИБ должна включать:
- Политику и цели в области информационной безопасности;
- Область применения СМИБ;
- Процедуры и средства управления в поддержку СМИБ;
- Описание методологии оценки рисков;
- Отчет по оценке рисков;
- План уменьшения рисков;
- Процедуры, необходимые организации для обеспечения эффективного планирования, выполнения и управления ее процессами в области информационной безопасности и описывающие, как измеряется результативность средств управления;
- Записи, требуемые стандартом;
- Положение о применимости;
- Перечень законодательных требований, которые применимы к информационным ресурсам организации.
-
Система управления информационной безопасностью на основе стандарта ISO 27001 позволит:
Сделать большинство информационных активов наиболее понятными для менеджмента компании
Выявлять основные угрозы безопасности для существующих бизнес-процессов
Рассчитывать риски и принимать решения на основе бизнес-целей компании
Обеспечить эффективное управление системой в критичных ситуациях
Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)
Четко определить личную ответственность
Достигнуть снижения и оптимизации стоимости поддержки системы безопасности
Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000
Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности
Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках
Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту
Структура стандарта
Общие положения:
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Система информационной безопасности
5. Обязательства руководства
6. Внутренние аудиты системы менеджмента
7. Анализ системы менеджмента информационной безопасности руководством
8. Совершенствование системы менеджмента информационной безопасности
Приложение А (Обязательное). Цели и меры (средства) контроля:
ПОЛИТИКА В ОБЛАСТИ БЕЗОПАСНОСТИ
Цель: обеспечить четкое управление и поддержку политики в области информационной безопасности со стороны руководства предприятия.
ОРГАНИЗАЦИЯ СИСТЕМЫ БЕЗОПАСНОСТИ
Цель: создать организационную структуру, которая будет внедрять и обеспечивать работоспособность системы информационной безопасности в организации.
КЛАССИФИКАЦИЯ АКТИВОВ И УПРАВЛЕНИЕ
Цель: поддерживать адекватную информационную безопасность организации путем возложения персональной ответственности, а также классификации информационных активов по необходимости и приоритету защиты.
БЕЗОПАСНОСТЬ И ПЕРСОНАЛ
Цель: уменьшить риск человеческих ошибок, хищений и неправильного использования оборудования, в том числе путем эффективного обучения и внедрения механизма отслеживания инцидентов.
ФИЗИЧЕСКАЯ И ВНЕШНЯЯ БЕЗОПАСНОСТЬ
Цель: предотвратить несанкционированный доступ, повреждение и нарушение работы информационной системы организации.
МЕНЕДЖМЕНТ КОМПЬЮТЕРОВ И СЕТЕЙ
Цель: обеспечить безопасное функционирование компьютеров и сетей.
УПРАВЛЕНИЕ ДОСТУПОМ К СИСТЕМЕ
Цель: управлять доступом к деловой информации, предотвращать несанкционированный доступ и обнаруживать несанкционированную деятельность.
ПРИОБРЕТЕНИЕ, РАЗРАБОТКА И ОБСЛУЖИВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Цель: обеспечить выполнение требований безопасности при создании или развитии информационной системы организации, поддерживать безопасность приложений и данных.
МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Цель: обеспечить то, что инциденты информационной безопасности и недостатки, связанные с информационными системами, сообщаются способом, позволяющим своевременно предпринять корректирующие действия.
ОБЕСПЕЧЕНИЕ НЕПРЕРЫВНОСТИ БИЗНЕСА
Цель: подготовить план действий в случае чрезвычайных обстоятельств для обеспечения непрерывности работы организации.
СООТВЕТСТВИЕ ЗАКОНОДАТЕЛЬСТВУ
Цель: обеспечить выполнение требований соответствующего гражданского и уголовного законодательства, включая законы об авторских правах и защите данных.
Совместимость с другими стандартами на системы менеджмента
Стандарт совместим с такими стандартами, как ISO 9001:2000 и ISO 14001:2004. Если в организации уже внедрены системы менеджмента в соответствии с данными стандартами, то предпочтительно обеспечивать выполнение требований стандарта ISO 27001 в рамках существующих систем менеджмента.
Основные преимущества, достигаемые при внедрении стандарта ISO/IEC 27001:2005
Сертификация на соответствие стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в организации налажено эффективное управление информационной безопасностью.
Внедрение стандарта в мире
На сегодняшний день, по данным ISMS International User Group (февраль 2008 года), в мире выдано более чем 4 193 сертификатов, из них 56% в Японии, 10% в Европе.
Из самых известных компаний, которые уже прошли официальную сертификацию по стандарту ISO/IEC 27001:2005 (BS 7799-2:2002), можно назвать следующие: CANON, Fuji, Xerox, Fujitsu, Hitachi, Mitsubishi Electric, NEC, Sony, Toshiba, Federal Reserve Bank of New York, Telecom Italia, Japan Telecom, подразделения Siemens, British Telecom, T-Mobile, Ericsson, Samsung, Hyundai, Vodafone, СMA.
Стандарт в странах СНГ
Украина: высокая заинтересованность к внедрению СМИБ проявляется со стороны банковской сферы, крупных промышленных предприятий, телекоммуникационных компаний, компаний, предоставляющих консалтинговые услуги в сфере информационной безопасности и защиты. Ведется разработка национального стандарта ДСТУ ISO/IEC 27001.
Беларусь: международный стандарт ISO/IEC 17799:2000 «Information technology and security – Code of practice for information security managment» получил официальное признание в виде предстандарта СТБ П ИСО/МЭК 17799-2000/2004 «Информационные технологии и безопасность. Правила управления информационной безопасностью» и представляет собой идентичный перевод международного стандарта. Предстандарт вводится в действие с 1 ноября 2004 года по 1 ноября 2006 года.
Молдова: благодаря позиции Национального Банка все банки с 2003 года проходят регулярную проверку на соответствие ISO 17799:2005. На сегодняшний день в этой стране сертифицирована одна компания − «Сompudava SRL».
Россия: растущее количество предложений по обучению и сертификации на соответствие стандарту свидетельствует о повышенном интересе к этому вопросу. По состоянию на февраль 2007 года сертифицировано 6 компаний: компании CMA Small Systems AB, CROC Incorporated получили сертификат соответствия стандарту BS ISO 7799-2:2002, а компании Lukoil-Inform, Luxsoft, Multiregional TransitTelecom, Rosno – сертификаты соответствия стандарту ISO/IEC 27001:2005. В 2006 году вышел ГОСТ 17799 и с февраля 2008 года вступает в силу ГОСТ 27001.