Международный стандарт ИСО 13335: 2006, область его применения

остаточный риск [residual risk] - риск, остающийся после обработки риска;

принятие риска [risk acceptance] - решение взять на себя риск;

 

 

анализ риска [risk analysis] - систематическое использование информации для выявления источников и для оценки степени риска;

оценка риска [risk assessment] - целостный процесс анализа риска и оценки значительности риска;

оценка значительности риска [risk evaluation] - процесс сравнения расчетного риска с заданными критериями риска, с целью определить значительность риска;

менеджмент рисков [risk management] - согласованные виды деятельности по руководству и управлению организацией в отношении рисков;

обработка риска [risk treatment] - процесс выбора и реализации мер по изменению риска;

заявление о применимости [statement of applicability] - документированное заявление, описывающее цели и средства управления, которые имеют отношение и применимы к СМЗИ организации.

ПРИМЕЧАНИЕ: Цели управления и средства управления основываются на результатах и выводах оценки рисков и процесса обработки рисков, законодательных или нормативных требованиях, договорных обязательствах и деловых требованиях защиты информации организации.

 

 

 

 

 

 

 

 

 

 

 

 

 

3. Процессный подход

Этот международный стандарт принимает процессный подход для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения СМЗИ организации.

Организации нужно идентифицировать много видов деятельности и управлять ими для того, чтобы функционировать результативно. Любой вид деятельности, использующий ресурсы и управляемый для того, чтобы дать возможность преобразования входов в выходы, можно считать процессом. Часто выход одного процесса непосредственно образует вход следующего процесса.

Применение системы процессов в рамках организации, вместе с идентификацией и взаимодействием этих процессов, а также их управлением, может называться «процессный подход».

Процессный подход к менеджменту защиты информации, представленный в данном международном стандарте, помогает пользователям подчеркнуть важность следующего:

a) понимание требований защиты информации и потребности установить политику и цели для защиты информации организации;

b) средства реализации и управления для менеджмента рисками организации, связанными с защитой информации, в контексте общих деловых рисков организации;

c) постоянный контроль и анализ качества исполнения и результативности СМЗИ; и

d) непрерывное улучшение, основанное на объективном измерении.

Этот международный стандарт принимает модель «Plan-Do-Check-Act» (PDCA)[1], которая применяется для структуризации всех процессов СМЗИ. На рисунке 1 показано, как СМЗИ берет в качестве входных данных требования защиты информации и ожидания заинтересованных сторон и посредством необходимых действий и процессов выдает результаты по защите информации, которые удовлетворяют этим требованиям и ожиданиям.

Принятие модели PDCA также будет отражать принципы, установленные в Руководящих указаниях OECD (2002), управляющих защитой информационных систем и сетей. Этот международный стандарт обеспечивает прочную модель для реализации принципов, приведенных в тех руководящих указаниях, управляющих оценкой риска, проектированием и реализацией защиты, менеджментом и переоценкой защиты.

1 цикл Шухарта-Деминга (планирование – осуществление – проверка – действие) (Прим. переводчика)

 

 

 

 

 

 

 

 

 

 

 

 

 

3. Система менеджмента информационной безопасности. Общие требования

Система менеджмента защиты информации (англ. information security management system) - часть общей системы менеджмента, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации.

ПРИМЕЧАНИЕ: Система менеджмента включает организационную структуру, политику, деятельность по планированию, ответственность, практики, процедуры, процессы и ресурсы.

Организация должна создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать документированную СМЗИ в контексте целостной деловой деятельности организации и рисков, с которыми она сталкивается. Для целей этого международного стандарта, используемый процесс основан на модели PDCA, показанной на рисунке 1.

 

 

 

Рисунок 1 — Модель PDCA, примененная к процессам СМЗИ

 

1. Разработка системы менеджмента информационной безопасности. Управление системой менеджмента информационной безопасности

Создать СМЗИ.

Организация должна сделать следующее:

a) Определить область приложения и границы СМЗИ в терминах характеристик бизнеса, организации, ее местоположения, активов и технологий, также включая подробности и обоснования любых исключений из области применения

b) Определить политику в отношении СМЗИ в терминах характеристик бизнеса, организации, ее местоположения, активов и технологий, которая:

1) включает в себя структуру  для установки целей и устанавливает  общий смысл руководства и принципов действия в отношении защиты информации;

2) учитывает деловые и  законодательные или нормативные  требования, а также договорные обязательства по защите;

3) равняется на контекст стратегического менеджмента рисков организации, в котором будет происходить создание СМИЗ и поддержание СМЗИ в рабочем состоянии;

4) устанавливает критерии, по которым будет оцениваться  значительность риска

5) была утверждена руководством.

ПРИМЕЧАНИЕ: Для целей этого международного стандарта, политика в отношении СМЗИ рассматривается как расширенная версия политики в области защиты информации. Обе эти политики можно описать в одном документе.

c) Определить подход к оценке риска в организации.

1) Определить методологию  оценки риска, которая подходит  для СМЗИ, а также соответствует установленным деловым требованиям защиты информации, законодательным и нормативным требованиям.

2) Разработать критерии  принятия рисков и определить  приемлемые уровни риска. Выбранная методология оценки риска должна гарантировать, что оценки риска дают сравнимые и воспроизводимые результаты.

d) Выявить риски.

1) Выявить активы в  рамках области приложения СМЗИ, а также владельцев3 этих активов.

 

2) Выявить угрозы для  этих активов.

3) Выявить уязвимые места, которые могут быть использованы  угрозами.

4) Выявить негативные  влияния, которые потери конфиденциальности, целостности и доступности могут оказать на активы.

e) Проанализировать риск и оценить значительность риска.

1) Оценить деловые негативные  влияния на организацию, которые  могут быть результатом сбоев в защите, принимая во внимание последствия потери конфиденциальности, целостности или доступности активов.

2) Оценить реалистичную  вероятность случаев нарушения  защиты, происходящих в свете преобладающих угроз и уязвимых мест, и негативные влияния, связанные с этими активами, а также реализуемые на текущий момент средства управления.

3) Оценить уровни риска.

4) Определить, являются ли  риски приемлемыми или требуют  обработки с использованием критериев принятия риска

f) Выявить и оценить возможности для обработки рисков. Возможные действия включают следующее:

1) применение подходящих  средств управления;

2) сознательное и объективное  принятие рисков, при условии, что  они четко соответствуют политике организации и удовлетворяют критериям для принятия рисков

3) избегание риска; и

4) передача связанных  деловых рисков другим сторонам, например, страховщикам, поставщикам.

g) Выбрать цели управления и средства управления для обработки риска. Цели управления и средства управления должны быть выбраны и реализованы, с целью удовлетворить требованиям, выявленным процессом оценки рисков и обработки рисков. Этот выбор должен учитывать критерии для принятия рисков, а также законодательные, нормативные и договорные требования.

h) Получить утверждение руководства предлагаемого остаточного риска.

i) Получить разрешение руководства на реализацию и работу СМЗИ.

 

j) Подготовить Заявление о применимости. Должно быть подготовлено заявление о применимости, которое включает в себя следующее:

1) цели управления и  средства управления, а также причины их выбора;

2) цели управления и  средства управления, реализуемые  на данный момент.

Управление системой информационной безопасности.

Организация должна сделать следующее.

a) Выполнять процедуры постоянного контроля и анализа, а также другие средства управления для того, чтобы:

1) быстро обнаруживать  ошибки в результатах обработки;

2) быстро выявлять предпринимаемые  и успешные нарушения защиты  и инциденты;

3) дать руководству возможность  определять, осуществляются ли виды деятельности по защите, назначенные людям или осуществляемые информационной технологией, как ожидалось;

4) помогать обнаруживать  события в системе защиты информации  и тем самым предотвращать инциденты в системе защиты информации путем использования индикаторов; и

5) определять, были ли  действия, предпринятые для улаживания  проблемы с нарушением защиты, результативными.

b) Предпринимать регулярный анализ результативности СМЗИ (включая соответствие политике и целям СМЗИ, а также анализ средств управления защитой), принимая во внимание результаты аудитов защиты, инциденты, результаты измерений результативности, предложения и обратную реакцию всех заинтересованных сторон.

c) Измерять результативность средств управления для того, чтобы проверить, что требования защиты были удовлетворены.

d) Анализировать оценки риска через запланированные интервалы и анализировать остаточные риски и определенные приемлемые уровни риска, принимая во внимание изменения в следующем:

1) организация;

2) технология;

3) деловые цели и процессы;

4) выявленные угрозы;

5) результативность реализованных  средств управления; и

6) внешние события, такие  как изменения в законодательной  или нормативно-правовой среде, измененные договорные обязательства, а также изменения в социальном климате.

e) Проводить внутренние аудиты СМЗИ через запланированные интервалы

f) Регулярно осуществлять анализ СМЗИ со стороны руководства, с целью гарантировать, что область применения остается адекватной, и выявляются улучшения в процессе СМЗИ

g) Обновлять планы защиты для того, чтобы учесть данные, полученные в ходе деятельности по постоянному контролю и анализу.

h) Записывать действия и события, которые могли оказать негативное влияние на результативность или качество работы СМЗИ

Для того, чтобы поддерживать в рабочем состоянии и улучшать СМЗИ, организация должна регулярно делать следующее:

a) Внедрять выявленные улучшения в СМЗИ.

b) Осуществлять надлежащие корректирующие и предупреждающие действия. Применять уроки, полученные из опыта защиты других организаций, а также из опыта самой организации.

c) Сообщать обо всех действиях и улучшениях всем заинтересованным сторонам с уровнем детальности, соответствующим обстоятельствам и, по значимости, согласовывать дальнейшие действия.

d) Гарантировать, что улучшения достигают предполагаемых целей.

 

 

 

 

 

 

 

2. Общие требования к документации

Документация должна включать записи о решениях руководства, обеспечивать прослеживаемость действий до решений руководства и политики, а также обеспечивать воспроизводимость результатов.

Важно быть способными продемонстрировать взаимосвязь от выбранных средств управления обратно до результатов процесса оценки рисков и обработки рисков, а затем до политики и целей СМЗИ.

Документация СМЗИ должна включать следующее:

a) документированное заявление о политике и целях СМЗИ;

b) область приложения СМЗИ

 с) процедуры и средства  управления в поддержку СМЗИ;

d) описание методологии оценки рисков

e) отчет об оценке рисков

f) план обработки рисков

g) документированные процедуры, необходимые организации для того, чтобы гарантировать результативное планирование, работу и управление ее процессами защиты информации, а также для того, чтобы описать, как измерять результативность средств управления

h) записи, требуемые этим международным стандартом

i) Заявление о применимости.

ПРИМЕЧАНИЕ 1: Там, где в этом международном стандарте встречается термин «документированная процедура», он означает, что процедура создана, документально подтверждена, реализована и поддерживается в рабочем состоянии.

ПРИМЕЧАНИЕ 2: Объем документации по СМЗИ может различаться от организации к организации, по следующим причинам:

— размер организации и тип ее деятельности; и

— область приложения и сложность требований защиты и системы, менеджмент которой осуществляется.

ПРИМЕЧАНИЕ 3: Документы и записи могут быть в любой форме или на любом носителе информации.

 

Документы, требуемые СМЗИ, должны быть защищены и должны управляться. Документированная процедура должна быть создана для определения действий руководства, необходимых для следующего:

a) утверждать документы на адекватность перед выпуском;

b) анализировать и обновлять документы, по необходимости, а также повторно утверждать документы;

c) гарантировать, что указаны изменения и текущий статус редакции документов;

d) гарантировать, что имеющие отношение к делу версии применимых документов доступны в местах использования;

e) гарантировать, что документы остаются разборчивыми и легко идентифицируемыми;

f) гарантировать, что документы доступны тем, кому они нужны, и что они перемещаются, хранятся, и, в конце концов, ликвидируются в соответствии с процедурами, применимыми к их классификации;