СТ РК ИСО/МЭК 27001-2008

1 ПОДГОТОВЛЕН ЗАО «Инфосистемы Джет».

ВНЕСЕН Агентством Республики Казахстан по информатизации и связи.

2 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Комитета по техническому регулированию и метрологии Министерства индустрии и торговли Республики Казахстан № 107-од от 25.02.2008.

3 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27001:2005 «Информационная технология. Методы и средства обеспечения безопасности. Системы управления информационной безопасностью. Требования» («Information technology. Security techniques. Information security management systems. Requirements), IDT, с дополнительными требованиями, отражающими потребности экономики Республики Казахстан, которые выделены курсивом.

4 СРОК ПЕРВОЙ ПРОВЕРКИ                                                         2013 год  

ПЕРИОДИЧНОСТЬ ПРОВЕРКИ                                                         5 лет

5 ВВЕДЕН ВПЕРВЫЕ

Дата введения 2008.07.01

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Комитета по техническому регулированию и метрологии Министерства индустрии и торговли Республики Казахстан

Настоящий стандарт подготовлен для использования в качестве модели для разработки, реализации, эксплуатации, мониторинга, анализа, сопровождения и модернизации системы управления информационной безопасностью (СУИБ). Принятие СУИБ должно являться для организации стратегическим решением. На архитектуру и реализацию СУИБ организации влияют цели и потребности бизнеса, требования к безопасности, используемые процедуры, а также размер и структура самой организации. Предполагается, что со временем перечисленные характеристики и поддерживающие их системы изменяются. Предполагается, что реализация СУИБ будет масштабироваться в соответствии с потребностями организации.

Настоящий стандарт может использоваться для оценки соответствия заинтересованными внутренними и внешними сторонами.

В настоящем стандарте принят процессный подход к разработке, реализации, эксплуатации, мониторингу, анализу, сопровождению и совершенствованию СУИБ организации.

Чтобы функционировать эффективно, организация должна идентифицировать и управлять различными действиями. Любое действие, использующее ресурсы и управляемое с целью преобразования входных данных в выходные, может рассматриваться как процесс. Часто выходные данные одного процесса непосредственно представляют входные данные для следующего процесса.

Применение системы процессов в организации, вместе с идентификацией и взаимодействием этих процессов, а также управлением этими процессами может быть названо «процессным подходом».

Процессный подход к управлению информационной безопасностью, представленный в настоящем стандарте, побуждает своих пользователей придавать особое значение следующему:

а) пониманию требований информационной безопасности организации и необходимости определить политику и цели информационной безопасности;

б) внедрению и использованию средств управления для управления рисками информационной безопасности организации в контексте общих бизнес-рисков организации;

в) мониторингу и анализу производительности и эффективности СУИБ;

г) постоянному совершенствованию, основанному на объективных показателях.

В настоящем стандарте принята модель «Планирование - Реализация - Оценка - Корректировка - ПРОК» («Plan - Do - Check - Act» - PDCA), которая применена для структурирования всех процессов СУИБ. На рисунке 1 показано, как СУИБ принимает в качестве входных данных требования к информационной безопасности и ожидания заинтересованных сторон и в результате ряда необходимых действий и процессов дает на выходе информационную безопасность, которая удовлетворяет этим требованиям и ожиданиям. Кроме того, на рисунке 1 показаны связи в процессах, представленных в пунктах 4. 5, 6, 7 и 8.

Принятие модели ПРОК также отражает принципы, изложенные в документе OECD Guidelines (2002)1  - руководящем документе по безопасности информационных систем и сетей. Настоящий стандарт предлагает устойчивую модель для реализации изложенных в упомянутом документе принципов, регулирующих оценку рисков, планирование и реализацию безопасности, управление безопасностью и переоценку.

Пример 1. Одним из требований может быть следующее: нарушения информационной безопасности не должны причинять серьезного финансового ущерба организации и/или создавать затруднения в деятельности организации. 

Пример 2. Одним из ожиданий может быть следующее: в случае серьезного инцидента (например, успешной атаки на web-сайт организации, используемый для электронного бизнеса) сотрудники будут иметь достаточную подготовку в использовании соответствующих процедур, чтобы минимизировать воздействие. 

  __________________________

1  OECD Guidelines for the Security of Information Systems and Networks - Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org 

	
		
		
	
	

		

			

			
Планирование (разработка СУИБ)
			
			

			
Определение политики СУИБ, целей, процессов и процедур, значимых для управления рисками и повышения информационной безопасности, с целью получения результатов, соответствующих общим политикам и целям организации.
			
		
		

			

			
Реализация (внедрение и эксплуатация СУИБ)
			
			

			
Реализация и использование политики СУИБ, средств управления, процессов и процедур.
			
		
		

			

			
Проверка (мониторинг и анализ СУИБ)
			
			

			
Оценка и, если требуется, измерение характеристик процесса для проверки соответствия политике СУИБ, целям и практическому опыту, а также передача результатов для последующего анализа управленческим персоналом.
			
		
		

			

			
Совершенствование (сопровождение и совершенствование СУИБ)
			
			

			
Принятие корректирующих и превентивных мер по результатам внутреннего аудита СУИБ и анализа, выполненного управленческим персоналом, а также на основе другой значимой информации, с целью постоянного совершенствования СУИБ.
			
		
	

Настоящий стандарт согласован со стандартами СТ РК 9001-2001 и ISO 14001:2004, чтобы обеспечить исполнение и применение, совместимые и интегрированные с родственными стандартами управления. Таким образом, одна надлежащим образом разработанная система управления может удовлетворять требованиям всех этих стандартов. Таблица В.1 (Приложение В) иллюстрирует взаимосвязи между пунктами настоящего стандарта, стандарта СТ РК ИСО 9001-2001 Система менеджмента качества. Требования  и международного стандарта ISO 14001:2004 (Действующий стандарт: СТ РК ИСО 14001-2000 Системы управления окружающей средой. Требования и руководство по применению ).

Настоящий стандарт разработан так, чтобы организация могла выстроить или интегрировать свою СУИБ в соответствии с родственными требованиями к системам управления.

ВАЖНО! Настоящий стандарт не подразумевает, что в него включено все необходимое для обеспечения информационной безопасности. Пользователи несут ответственность за правильное применение стандарта. Само по себе соответствие стандарту не освобождает от правовых обязательств.

Настоящий стандарт применим для всех типов организаций (например, коммерческих предприятий, правительственных учреждений, некоммерческих организаций). Настоящий стандарт определяет требования к разработке, реализации, эксплуатации, мониторингу, анализу, сопровождению и совершенствованию документированной системой управления информационной безопасностью (далее - СУИБ) в контексте общих бизнес-рисков организации. Он определяет требования к реализации средств управления, соответствующих потребностям отдельных организаций или их частей.

СУИБ разрабатывается для обеспечения адекватных и соразмерных средств управления безопасностью, которые защищают информационные ресурсы и обеспечивают конфиденциальность для заинтересованных сторон.

Примечание 1. В настоящем стандарте термин «бизнес» следует понимать в широком смысле, этим термином обозначается любая деятельность, которая необходима для достижения целей, ради которых существует организация.

Примечание 2. В стандарте ИСО/МЭК 17799 приводится руководство по применению, которым можно воспользоваться при разработке средств управления.

Требования, определенные в настоящем стандарте, являются общими и предназначены для использования во всех организациях, независимо от их типа, величины и вида деятельности. Исключение любого из требований, приведенных в пунктах 4, 5. 6, 7 и 8, не допускается, если организация объявляет о соответствии настоящему стандарту.

Все исключения средств управления, признанные необходимыми для соответствия критериям принятия рисков, должны быть обоснованы, и должны быть предоставлены доказательства, что соответствующие решения о принятии рисков были приняты, ответственными лицами. Если исключаются какие-либо средства управления, заявления о соответствии настоящему стандарту недопустимы, кроме тех случаев, когда исключения не влияют на способность и/или обязательства организации обеспечивать информационную безопасность, которая удовлетворяет требованиям к безопасности, определенным по результатам оценки рисков, к соответствующим требованиям закона и нормативных документов.

Примечание. Если организация уже имеет действующую систему управления бизнес-процессами (например, соответствующую стандарту СТ РК ИСО 9001 или СТ РК ИСО 14001), то в большинстве случаев предпочтительнее удовлетворить требования настоящего стандарта в рамках этой существующей системы управления.

Следующие нормативно-справочные документы обязательны для применения настоящего стандарта. Если указана дата документа, то следует использовать только указанную редакцию документа. Если дата документа не указана, используется последняя редакция указанного документа (включающая все поправки).

ИСО/МЭК 17799:2005, Information technology - Security techniques - Code of practice for information security management [ISQ/IEC 17799:2005, Информационная технология - Методы и средства обеспечения безопасности - Практическое руководство по управлению информационной безопасностью]