Примітка. Якщо організація вже має чинну систему управління бізнес-процесами (наприклад, згідно з ISO 9001 чи ISO 14001), то у більшості випадків необхідно виконувати вимоги цього стандарту в межах цієї наявної системи управління.
НОРМАТИВНІ ПОСИЛАННЯ
Наведені нижче нормативні документи є обов’язковими для застосування цього стандарту. У разі датованих посилань застосовують лише зазначене видання. У разі недатованих посилань застосовують останнє видання (разом з усіма змінами).
ISO/IEC 17799:2005 Information technology — Security techniques — Code of practice for information security management.
НАЦІОНАЛЬНЕ ПОЯСНЕННЯ
ISO/IEC 17799:2005 Інформаційні технології. Методи безпеки. Практичні правила управління інформаційною безпекою.
ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ
У цьому стандарті застосовано такі терміни та визначення:
активи (asset)
Усе, що має цінність для організації — ресурси організації (матеріальні й нематеріальні)
[ISO/IEC 13335-1:2004]
доступність (availability)
Властивості об’єкта перебувають у стані готовності та можливості використання за запитом авторизованого логічного об’єкта
[ISO/IEC 13335-1:2004]
коноіденційність (confidentiality)
Властивість інформації не ставати доступною та розкритою для несанкціонованих осіб, об’єктів або іроцесів
[ISO/IEC 13335-1:2004]
інформаційна безпека (information security)
Збереження конфіденційності, цілісності й доступності інформації; крім того може бути враховано інші властивості, такі як автентичність, відстежуваність, неспростовність і надійність
[ISO/IEC 17799:2005]
подія інформаційної безпеки (information security event)
Ідентифіковане виникнення стану системи, послуги або мережі, що вказує на можливе порушення політики інформаційної безпеки, відмова захисних засобів, а також виникнення раніше невідомої си гуації, яка може бути пов’язана з безпекою
[ISO/IEC TR 18044:2004]
інцидент інформаційної безпеки (information security incident)
Будь-яка небажана чи непередбачувана подія інформаційної безпеки, яка може порушити діяльність або інформаційну безпеку
[ISO/IEC TR 18044:2004]
система управління інформаційною безпекою; СУІБ (information security management system; ISMS)
Частина загальної системи управління, яка ґрунтується на підході, що враховує бізнес-ри- зики, призна ієна для розроблення, впровадження, оперативного керування, функціювання, моніторингу, аналізування, підтримування та поліпшення інформаційної безпеки.
Примітка. Система управління охоплює організаційну структуру, політику, планування, розподіл відповідальності, практичну діяль гість, процедури, процеси та ресурсицілісність (integrity)
Властивість захищеності безпомилковості та повноти активів
[ISO/IEC 13335-1:2004]
залишковий ризик (residual risk)
Ризик, що залишається після оброблення ризику
[ISO/IEC Guide 73:2002]
прийняття ризику (risk acceptance)
Рішення прийняти ризик
[ISO/IEC Guide 73:2002]
аналізування ризику (risk analysis)
Систематичне використання інформації для ідентифікації джерел та кількісного оцінювання ризиків [ISO/IEC Guide 73:2002]
оцінка ризику (risk assessment)
Загальний процес аналізування та оцінювання ризику
[ISO/IEC Guide 73:2002]
оцінювання ризику (risk evaluation)
Процес порівняння кількісно оціненого ризику із заданими критеріями ризику для оцінювання значимості ризику
[ISO/IEC Guide 73:2002]
управління ризиком (risk management)
Скоординовані дії щодо регулювання та контролювання в організації відносно ризику [ISO/IEC Guide 73:2002]
обробка ризику (risk treatment)
Процес вибору та впровадження заходів щодо модифікації ризику
[ISO/IEC Guide 73:2002]
Примітка. У цьому стандарті термін «заходи контролювання» (control) застосовано як синонім терміна «заходи» (measure)
по ложення щодо застосовності (statement of applicability)
Задокументоване положення, яке описує цілі та заходи контролювання, що відповідають та застосовні в СУІБ організації.
Примітка Цілі та заходи контролювання базуються на результатах та висновках процесів оцінювання й оброблення ризиків, на вимогах законодавчих або нормативних актів, на договірних зобов'язаннях та бізнес-вимогах щодо інформаційної безпеки організації.
4 СИСТЕМА УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ
Загальні вимоги
Організація повинна розробити, впровадити, забезпечити фукціювання, провадити моніторинг, аналізувати, підтримувати та поліпшувати задокументовану СУІБ у контексті всієї бізнес- діяльності організації та ризиків, з якими вона стикається.
З урахуїзанням цілей цього стандарту використовуваний процес засновано на застосуванні моделі PCDA, зображеної на рисунку 1.
Розроблення та управління СУІБ
Розроблення СУІБ
Організація повинна:
визначити сферу та межі дії СУІБ з урахуванням характеристик бізнесу, організації, її розміщення, активів і техн ологій, зокрема деталі та обґрунтування будь-яких винятків зі сфери її дії (див. 1.2);
визначити політику СУІБ на основі характеристик бізнесу, організації, її розміщення, активів і технологій, яка
Змістить концепцію, що включає в себе цілі, основні напрями і принципи дій у сфері інформаційної безпеки;
ураховує вимоги бізнесу, нормативно-правові вимоги, а також договірні зобов’язання щздо забезпечення безпеки;
узгоджує зі стратегічною суттю управління ризиками організації, в межах якої буде розроблено і підтримано СУІБ;
встановлює критерії, за якими оцінюють ризики (див. 4.2.1с));
має бути схвалена керівництвом організації.
Примітка. У цьому стандарті політику СУІБ розглядають як розширення (надмножина) політики безпеки інформації. Ці політики можна викласти в одному документі.
визначити підхід до оцінювання ризику в організації, для чого необхідно:
ідентифікувати методологію оцінювання ризику, пристосовану до СУІБ та індентифікованої безпеки інформації бізнесу, правових і нормативних вимог;
розробити критерії прийняття ризиків та визначити прийнятні рівні ризику (див. 5.1 f)). Вибрана методика оцінювання ризику має забезпечувати порівняні й відтворні результати. Примітка Є різні методики оцінювання ризику. Приклади методик наведено в ISO/IEC TR 13335-3: Information technology — Guidelines for the management of IT Security — Techniques for the management of IT Security.
НАЦІОНАЛЬНЕ ПОЯСНЕННЯ
ISO/IEC: TR 13335-3 Інформаційні технології. Настанови щодо керування безпекою інформаційних технологій (IT). Частина 3. Методики керування захистом IT.
ідентифікувати ризики, для чого необхідно:
ідентифікувати активи в рамках СУІБ та визначити власників1) цих активів;
ідентифікувати загрози цим активам;
ідентифікувати уразливість активів, яка може бути використана загрозами;
ідентифікувати наслідки впливів на активи внаслідок можливої втрати конфіденційності, цілісності та доступності;
проаналізувати та оцінити ризики, для чого необхідно:
оцінити збиток для діяльності організації, який може виникнути внаслідок порушення безпеки, з урахуванням наслідків втрати конфіденційності, цілісності та доступності активів;
оцінити реальну вірогідність порушення безпеки з урахуванням превалюючих загроз, уразливості та їхніх наслідків, пов’язаних із цими активами, а також з урахуванням впроваджених заходів контролювання безпеки;
осінити рівні ризиків;
визначити, чи є ризики прийнятними або потребу оброблення з використанням критеріїв допустимості ризиків, установлених в 4.2.1с)2);
визначити й оцінити різні варіанти оброблення ризиків.
Можливії дії охоплюють таке:
застосування відповідних заходів контролювання;
свідоме та об’єктивне прийняття ризиків за умови, що вони чітко відповідають вимогам політик і критеріям організації щодо прийняття ризиків (див. 4.2.1с)2));
уникнення ризиків;
передавання відповідних бізнес-ризиків стороннім організаціям, наприклад постачальникам, страхувальникам;
д) вибрати цілі та заходи контролювання для оброблення ризиків.
Цілі та заходи управління повинні бути вибрані й реалізовані так, щоб задовольняти вимоги, визначені у процесі оцінювання та оброблення ризиків. Цей вибір має враховувати критерії прийняття ризиків (див. 4.2.1 с)2)), а також нормативно-правові вимоги й договірні зобов’язання.
Цілі та заходи контролювання необхідно вибирати відповідно до додатка А як частину процесу оцінювання й оброблення ризиків та узгоджувати з визначеними вимогами.
Перелік цілей та заходів контролювання, наведених у додатку А, не є вичерпним, а тому можна вибирати додаткові цілі та заходи контролювання.
Примітк і. Додаток А містить докладний перелік цілей і контролювання, які зазвичай вважають доречними в організаціях. Користувачів цього стандарту відсилаємо до додатка А як до відправної точки для забезпечення вибору контролювання, щоб жоден з важливих варіантів контролювання не було пропущено.
отримати ухвалу керівництва запропонованих залишкових ризиків;
отримати дозвіл керівництва на впровадження та експлуатацію СУІБ;
підготувати Положення про застосовність, яке має містити таке:
цілі та заходи контролювання, вибрані з 4.2.1g), а також обґрунтування їх вибору;
цілі та заходи контролювання, впроваджені в теперішній час (див. 4.2.1е)2));
перелік вилучених цілей та заходів контролювання, наведених у додатку А, а також процедуру обґрунтування їх вилучення.
Примітка. Положення про застосовність містить підсумкове рішення, що стосується оброблення ризиків. Обґрунтування винятків передбачає перехресне перевіряння, що дає змогу визначити, що жодна міра управління не була випадково упущена.
4.2.2 Впровадження та функціювання СУІБ
Організація повинна виконати таке:
розробити план оброблення ризиків, у якому визначають відповідні управлінські дії, ресурси, відповідальність та пріоритети для управління ризиками безпеки інформації (див. розділ 5);
впровадити план оброблення ризиків для досягнення намічених цілей контролювання, який охоплює питання фінансування та розподіл ролей і відповідальностей;
впровадити заходи, визначені в 4.2.1g), для досягнення цілей контролювання;
визначити спосіб вимірювання продуктивності вибраних заходів або їхніх груп і використання цих вимірювань в оцінці ефективності контролювання для отримання порівнянних і відтворних даних (див. 4.2.3с)).
Примітка. Вимірювання ефективності заходів управління дає змогу керівникам та персоналу визначити, наскільки заходи сприяють досягненню запланованих цілей управління;
впровадити програми для навчання та усвідомлення власних дій (див. 5.2.2);
здійснювати управління експлуатацією СУІБ;
д) здійснювати управління ресурсами СУІБ (див. 5.2);
h) впровадити процедури та інші заходи для уможливлення швидкого виявлення подій інформаційної безпеки та реагування на інциденти, пов’язані з інформаційною безпекою (див. 4.2.3а)).
4.2.3 Моніторинг та аналізування СУІБ
Організація має:
виконувати процедури моніторингу та аналізування, а також інші заходи контролювання, щоб
своєчасно виявляти помилки в результатах оброблення;
своєчасно виявляти спроби порушень безпеки, вдалих і невдалих, та інциденти інформаційної безпеки;
Нсідавати керівництву інформацію для прийняття рішень про хід виконання функцій із забезпечення інформаційної безпеки, здійснюваних як відповідальними особами, так і інформаційними технологіями;
сгрияти виявленню подій, пов’язаних з інформаційною безпекою, і таким чином, запобігати інцидентам інформаційної безпеки застосуванням засобів індикації;
з’ясовувати, чи були ефективними дії, впроваджені для усунення порушення безпеки;
провадити регулярний аналіз ефективності СУІБ (охоплюючи перевірку відповідності політиці й цілям СУІБ та аналіз заходів управління безпекою) з урахуванням результатів аудиторських перевірок безпеки інформації, її інцидентів, результатів вимірювань ефективності СУІБ, а також пропозицій і зворотної реакції від усіх зацікавлених сторін;
вимінювати ефективність заходів для верифікації відповідності вимогам інформаційної безпеки;
переглядати оцінки ризиків у заплановані терміни, аналізувати залишкові ризики та встановлені прийнятні рівні ризиків, враховуючи зміни в
організації;
технологіях;
цілях діяльності та процесах;
виг влених загрозах;
ефективності впроваджених заходів;
зовнішніх умовах, наприклад нормативно-правових вимогах, договірних зобов’язаннях, а також зміни в соціальній структурі суспільства;
