Системы менеджмента информационной безопасности автоматизированных систем. Лекция 5

27001.
Аутентичным аналогом международного стандарта ISO/IEC 27001 является национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27001-2006.

управляемый для того, чтобы дать возможность преобразования входов в выходы, можно считать процессом. Часто выход одного процесса непосредственно образует вход следующего процесса.
Особую важность для пользователей при осуществлении процессного подхода применительно к менеджменту информационной безопасности имеют следующие факторы:
понимание требований информационной безопасности организации и необходимости установления политики и целей информационной безопасности;
внедрение и использование мер управления для менеджмента рисков информационной безопасности среди общих бизнес-рисков организации;
мониторинг и проверка эффективности СМИБ;
непрерывное улучшение СМИБ, основанное на результатах объективных измерении.
Циклически повторяющийся процесс принятия решения, используемый в управлении качеством называется – цикл Дёминга (Цикл PDCA).
PDCA (англ. «Plan-Do-Check-Act» - планирование-действие-проверка-корректировка) циклически повторяющийся процесс принятия решения, используемый в управлении качеством.

security management system; ISMS): Часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

применения СМИБ;
определить политику СМИБ;
определить подход к оценке риска в организации;
идентифицировать риски;
проанализировать и оценить риски;
определить и оценить различные варианты обработки рисков;
выбрать цели и меры управления для обработки рисков;
получить утверждение руководством предполагаемых остаточных рисков;
получить разрешение руководства на внедрение и эксплуатацию СМИБ;
подготовить Положение о применимости.

к стандарту ISO/IEC 27001. В стандарте ISO/IEC 27002 предоставляется более детализированная информация для поддержки реализации мер и средств контроля и управления и достижения целей управления. Меры и средства контроля и управления информационной безопасности в стандарте изложены в 11-ти разделах, которые все вместе содержат, в целом, 39 основных категорий безопасности, и одного вводного раздела, знакомящего с оценкой и обработкой рисков.
В международном стандарте ISO/IEC 27003 рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения системы менеджмента информационной безопасности (СМИБ) в соответствии со стандартом ISO/IEC 27001:2005. В нем описывается процесс определения и разработки СМИБ от запуска до составления планов внедрения. В нем описывается процесс получения одобрения руководством внедрения СМИБ, определяется проект внедрения СМИБ (упоминается в данном международном стандарте как проект СМИБ) и представлены рекомендации по планированию проекта СМИБ, в результате которого получается окончательный план внедрения СМИБ.

стратегическую позицию организации в отношении информационной безопасности во всей организации.
Политика строится на основе информации и знания. Моменты, признанные руководством важными во время ранее проведенного анализа, должны быть сделаны наглядными, им должно быть уделено особое внимание в политике, чтобы обеспечить стимуляцию и мотивацию в организации. Также важно отметить, что происходит, если не следовать выбранной политике, и подчеркнуть влияния законов и регулирующих положений на рассматриваемую организацию.
Мера и средство контроля и управления.
Политика информационной безопасности должна быть утверждена руководством, издана и доведена до сведения всех сотрудников организации и соответствующих сторонних организаций.

безопасности должна устанавливать ответственность руководства, а также излагать подход организации к менеджменту информационной безопасности, Документ, в котором излагается политика, должен содержать положения относительно:
определения информационной безопасности, ее общих целей и сферы действия, а также упоминания значения безопасности как инструмента, обеспечивающего возможность совместного использования информации;
изложения намерений руководства, поддерживающих цели и принципы информационной безопасности в соответствии со стратегией и целями бизнеса;
подхода к установлению мер и средств контроля и управления и целей их применения, включая структуру оценки риска и менеджмента риска;
краткого разъяснения наиболее существенных для организации политик безопасности, принципов, стандартов и требований соответствия: например:
соответствие законодательным требованиям и договорным обязательствам;
требования по обеспечению осведомленности, обучения и тренинга в отношении безопасности;
менеджмент непрерывности бизнеса;
ответственность за нарушения политики информационной безопасности;
определения общих и конкретных обязанностей сотрудников в рамках менеджмента информационной безопасности, включая информирование об инцидентах безопасности;
ссылок на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для определенных информационных систем, а также правила безопасности, которым должны следовать пользователи.