Международный стандарт ИСО 13335: 2006, область его применения

g) гарантировать, что документы внешнего происхождения идентифицированы;

h) гарантировать, что распространение документов управляется;

i) предотвращать неумышленное использование устаревших документов; и

j) применять подходящую идентификацию к ним, если они сохраняются для

какой-либо цели.

Управление записями. Записи должны создаваться и поддерживаться в рабочем состоянии для того, чтобы обеспечивать подтверждение соответствия требованиям и результативной работы СМЗИ. Они должны быть защищены и должны управляться. СМЗИ должна учитывать любые имеющие отношение к делу законодательные или нормативные требования, а также договорные обязательства. Записи должны оставаться разборчивыми, легко идентифицируемыми и извлекаемыми. Средства управления, необходимые для идентификации, хранения, защиты, поиска, а также сроки хранения и ликвидации записей должны быть документированы и реализованы.

В записях должны быть отражены все эпизоды значительных инцидентов в системе безопасности, связанные со СМЗИ.

 

Примерами записей являются книга посетителей, протокол аудита и заполненные формы разрешения доступа.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3. Обязательства руководства

Руководство должно предоставлять подтверждение своих обязательств по созданию, внедрению, эксплуатации, постоянному контролю, анализу, поддержанию в рабочем состоянии и улучшению СМЗИ путем следующих действий:

a) создание политики СМЗИ;

b) обеспечение создания целей и планов СМЗИ;

c) определение ролей и ответственности в области защиты информации;

d) доведение до сведения организации важности выполнения целей защиты информации и соответствия политике защиты информации, ответственности организации в соответствии с законом и потребности организации в непрерывном улучшении;

e) обеспечение достаточного количества ресурсов для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения СМЗИ

f) принятие решения о критериях принятия риска и приемлемых уровнях риска;

g) обеспечение проведения внутренних аудитов СМЗИ; и

h) проведение анализа со стороны руководства СМЗИ.

Организация должна гарантировать, что весь персонал, которому назначена ответственность, определенная в СМЗИ, компетентен для выполнения требуемых задач, путем следующего:

a) определять необходимую компетентность для персонала, выполняющего работу, влияющую на СМЗИ;

b) обеспечивать подготовку или предпринимая другие действия (например, нанимая на работу компетентный персонал), с целью удовлетворить эти потребности;

c) оценивать результативность предпринятых действий; и

d) поддерживать в рабочем состоянии записи об образовании, подготовке, мастерстве, опыте и квалификации.

 

 

Организация должна также гарантировать, что весь имеющий отношение к делу персонал отдает себе отчет в значимости и важности их деятельности в области защиты информации и в том, какой вклад они вносят в достижение целей СМЗИ.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4. Внутренние аудиты СМЗИ

Организация должна проводить внутренние аудиты СМЗИ через запланированные интервалы, с целью определить следующее:

a) соответствуют ли требованиям этого международного стандарта и относящихся к ним законов или нормы;

b) соответствуют ли выявленным требованиям защиты информации;

c) эффективно ли реализуются и поддерживаются в рабочем состоянии; и

d) выполняются ли, как ожидается цели управления, средства управления, процессы и процедуры СМЗИ организации.

Программа аудиты должна быть спланирована с учетом статуса и важности процессов и областей, которые нужно проверять, а также результатов предыдущих аудитов. Должны быть определены критерии, область приложения, частота и методы аудита. Выбор аудиторов и проведение аудитов должны гарантировать объективность и беспристрастность процесса аудита. Аудиторы не должны проверять свою собственную работу.

Ответственность за планирование и проведение аудитов и требования для планирования и проведения аудитов, а также для сообщения результатов и поддержания записей в рабочем состоянии , должны быть определены в документированной процедуре.

Руководство, ответственное за проверяемую область, должно гарантировать, что действия по устранению обнаруженных несоответствий и их причины предпринимаются без ненужной задержки. Последующая деятельность должна включать в себя верификацию предпринятых действий и составление отчета по результатам верификации.

 

 

 

 

 

 

 

 

5. Улучшение системы менеджмента ИБ

Организация должна постоянно улучшать результативности СМЗИ посредством использования политики защиты информации, целей защиты информации, результатов аудита, анализа наблюдаемых событий, корректирующих и предупреждающих действий и анализа со стороны руководства.

Организация должна предпринимать действия по устранению причины несоответствия требованиям СМЗИ для того, чтобы предотвращать повторение.

Документированная процедура для корректирующего действия должна определять требования для следующего:

a) выявление несоответствий;

b) определение причин несоответствий;

c) оценивание потребности в действиях, чтобы гарантировать, что несоответствия не возникнут снова;

d) определение и реализация требующихся корректирующих действий;

e) записывание результатов предпринятых действий

f) анализ предпринятого корректирующего действия.

Организация должна определить действие для устранения причины возможного несоответствия требованиям СМЗИ для того, чтобы предотвратить его возникновение. Предпринятые предупреждающие действия должны соответствовать негативному влиянию возможных проблем. Документированная процедура для предупреждающего действия должна определять требования для следующего:

a) выявление возможных несоответствий и их причин;

b) оценивание потребности в действии, имеющем целью предотвратить случай несоответствия;

c) определение и реализация требуемого предупреждающего действия;

d) записывание результатов предпринятого действия

e) анализ предпринятого предупреждающего действия.

Организация должна выявить изменившиеся риски и определить требования к предупреждающим действиям, сосредоточив внимание на значительно изменившихся рисках.

 

 Приоритет предупреждающих действий должен быть определен на основе результатов оценки риска.

ПРИМЕЧАНИЕ: Действие по предотвращению несоответствий часто является экономически более выгодным, чем корректирующее действие.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Заключение

Рассмотрев основные положения двух международных стандартов по информационной безопасности, ИСО 27001:2005 и ИСО 13335:2006, отметим, что процесс применения и управления этими документами достаточно сложен и длителен.

Очевидно, что работы по поддержке и внедрению данных стандартов не могут увенчаться успехом без ярко выраженной приверженности высшего руководства компании. Наличие такой приверженности поможет создать эффективную и реально работающую систему.

А усилия, затраченные на создание системы управления информационной безопасностью, позволят организации выйти на новый уровень отношений с клиентами, партнерами, акционерами, продемонстрировать надежность компании и предоставят возможность успешной конкуренции с ведущими компаниями на международном рынке.

На примере стандартов ИСО 27001:2005 и ИСО 13335:2006, мы убедились на сколько в наше время важно в наше время поддерживать и развивать систему информационной безопасности.

Мы ещё раз убедились актуальностью нашей темы. Так как она обеспечена высокой динамикой развития информационных технологий и большой зависимостью их от обеспечения информационной безопасности.