УДК 681.3
СООТНОШЕНИЕ ТРЕБОВАНИЙ СТАНДАРТОВ УПРАВЛЕНИЯ КАЧЕСТВОМ ПРОИЗВОДСТВА И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Артамонов В.А.
Белорусский национальный технический университет
Минск, Республика Беларусь
Семейство Международных стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается под эгидой ISO/IEC JTC 1/SC 27. Это семейство включает в себя стандарты, определяющие требования к системам управления информационной безопасностью (СУИБ), управление рисками, метрики и измерения, а также руководство по внедрению. Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее. Ключевую роль в этом семействе занимает стандарт ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования (BS 7799-2:2005). Ранее в работе [1] нами было определено место СУИБ в общей системе менеджмента предприятия. С точки зрения процессов управления СУИБ входит в общую систему менеджмента организации и предоставляет дополнительные механизмы управления в части обеспечения защиты критичной информации. Для соотнесения требований стандартов управления качеством производства и информационной безопасностью современного предприятия проведём сравнительный анализ требований стандартов ISO/IEC 27001:2005 и ISO 9001. В табл.1 дается сравнение содержания стандартов BS 7799 и ISO 9001.
Таблица 1. Сравнение содержания стандартов ISO/IEC 27001:2005 и ISO 9001
| Разделы требований ISO/IEC 27001 | Разделы требований ISO 9001 |
| 1. Границы применимости | 1. Границы применимости |
| 2. Нормативные ссылки | 2. Нормативные ссылки |
| 3. Термины и определения | 3. Термины и определения |
| 3.1. Доступность | |
| 3.2. Конфиденциальность | |
| 3.3. Информационная безопасность | |
| 3.4. Система управления режимом информационной безопасности | |
| 3.5. Целостность | |
| 3.6. Принятие рисков | |
| 3.7. Анализ рисков | |
| 3.8. Оценка рисков | |
| 3.9. Определение рисков | |
| 3.10. Управление рисками | |
| 3.11. Действия по уменьшению рисков | |
| 3.12. Ведомость соответствия | |
| 4. Управление информационной безопасностью | 4. Требования к системе управления качеством (QMS) |
| 4.1. Общие требования | 4.1. Общие требования |
| 4.2. Создание и организация системы управления режимом информационной безопасности | |
| 4.2.1. Создание системы управления режимом информационной безопасности | |
| 4.2.2. Средства и действия в рамках системы управления режимом информационной безопасности | |
| 4.2.3. Отслеживание событий в системе управления режимом информационной безопасности | |
| 4.2.4. Обслуживание и модернизация системы управления режимом информационной безопасности | |
| 4.3. Документирование требований | 4.2. Документирование требований |
| 4.3.1. Общие требования | 4.2.1. Общие требования |
| 4.3.2. Управление документами | 4.2.3. Управление документами |
| 4.3.3. Управление записями | 4.2.4. Управление записями |
| 5. Распределение обязанностей персонала | 5. Распределение обязанностей персонала |
| 5.1. Передача полномочий | 5.1. Передача полномочий |
| 5.2. Управление ресурсами | 5.2. Управление ресурсами |
| 6. Управление процедурой пересмотра некоторых положений | 6. Управление процедурой пересмотра некоторых положений |
| 6.1. Общие положения | 6.1. Общие положения |
| 6.2. Пересмотр входа | 6.2. Пересмотр входа |
| 6.3. Пересмотр выхода | 6.3. Пересмотр выхода |
| 6.4. Внешний аудит | 6.4. Внешний аудит |
| 7. Модернизация системы управления режимом информационной безопасности | |
| 7.1. Непрерывная модернизация | |
| 7.2. Корректирующие действия | |
| 7.3. Превентивные действия | |
| Приложение А Цели управления и средства управления | |
| А1. Введение | |
| А2. Обзор передового опыта | |
| A3. Политика безопасности | |
| А4. Организационные аспекты безопасности | |
| А5. Классификация ресурсов и управляющих воздействий | |
| А6. Безопасность персонала | |
| А7. Безопасность инфраструктуры и физическая безопасность | |
| А8. Управление коммуникациями и процессами | |
| А9. Управление доступом | |
| А10. Развитие системы и обслуживание | |
| А11. Обеспечение бесперебойной работы | |
| А12. Технические требования | |
| Приложение В | |
| Руководство по использованию стандарта | |
| Приложение С | Приложение А |
| Соответствие между ISO 9001:2000, ISO14001:1996 и BS7799 part 2:2002 | Связь между ISO 14001 и ISO 9001 |
Из приведенного анализа видно, что усилия международной организации по стандартизации (ISO) прежде всего направлены на гармонизацию требований стандартов управления современным предприятием и это по мнению специалистов позволит не только создать новую культуру менеджмента, но и скоординировать действия различных государственных структур и представителей международного бизнеса в области защиты информации.
Далее в докладе рассматриваются различные аспекты применения требований Международных стандартов в разрезе требований национальных правовых технических нормативных актов.
1.Артамонов В.А. Информационная безопасность в системе управления предприятием // ПРИБОРОСТРОЕНИЕ-2008:Материалы Международной НТК. – Минск: БНТУ. – 2008. – С. 277-278.
Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:
