Семейство Международных стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается под эгидой ISO/IEC JTC 1/SC 27. Это семейство включает в себя стандарты, определяющие требования к системам управления информационной безопасностью (СУИБ), управление рисками, метрики и измерения, а также руководство по внедрению. Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее. Ключевую роль в этом семействе занимает стандарт ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования (BS 7799-2:2005). Ранее в работе [1] нами было определено место СУИБ в общей системе менеджмента предприятия. С точки зрения процессов управления СУИБ входит в общую систему менеджмента организации и предоставляет дополнительные механизмы управления в части обеспечения защиты критичной информации. Для соотнесения требований стандартов управления качеством производства и информационной безопасностью современного предприятия проведём сравнительный анализ требований стандартов ISO/IEC 27001:2005 и ISO 9001. В табл.1 дается сравнение содержания стандартов BS 7799 и ISO 9001.
Таблица 1. Сравнение содержания стандартов ISO/IEC 27001:2005 и ISO 9001
Разделы требований ISO/IEC 27001 | Разделы требований ISO 9001 |
1. Границы применимости | 1. Границы применимости |
2. Нормативные ссылки | 2. Нормативные ссылки |
3. Термины и определения | 3. Термины и определения |
3.1. Доступность | |
3.2. Конфиденциальность | |
3.3. Информационная безопасность | |
3.4. Система управления режимом информационной безопасности | |
3.5. Целостность | |
3.6. Принятие рисков | |
3.7. Анализ рисков | |
3.8. Оценка рисков | |
3.9. Определение рисков | |
3.10. Управление рисками | |
3.11. Действия по уменьшению рисков | |
3.12. Ведомость соответствия | |
4. Управление информационной безопасностью | 4. Требования к системе управления качеством (QMS) |
4.1. Общие требования | 4.1. Общие требования |
4.2. Создание и организация системы управления режимом информационной безопасности | |
4.2.1. Создание системы управления режимом информационной безопасности | |
4.2.2. Средства и действия в рамках системы управления режимом информационной безопасности | |
4.2.3. Отслеживание событий в системе управления режимом информационной безопасности | |
4.2.4. Обслуживание и модернизация системы управления режимом информационной безопасности | |
4.3. Документирование требований | 4.2. Документирование требований |
4.3.1. Общие требования | 4.2.1. Общие требования |
4.3.2. Управление документами | 4.2.3. Управление документами |
4.3.3. Управление записями | 4.2.4. Управление записями |
5. Распределение обязанностей персонала | 5. Распределение обязанностей персонала |
5.1. Передача полномочий | 5.1. Передача полномочий |
5.2. Управление ресурсами | 5.2. Управление ресурсами |
6. Управление процедурой пересмотра некоторых положений | 6. Управление процедурой пересмотра некоторых положений |
6.1. Общие положения | 6.1. Общие положения |
6.2. Пересмотр входа | 6.2. Пересмотр входа |
6.3. Пересмотр выхода | 6.3. Пересмотр выхода |
6.4. Внешний аудит | 6.4. Внешний аудит |
7. Модернизация системы управления режимом информационной безопасности | |
7.1. Непрерывная модернизация | |
7.2. Корректирующие действия | |
7.3. Превентивные действия | |
Приложение А Цели управления и средства управления | |
А1. Введение | |
А2. Обзор передового опыта | |
A3. Политика безопасности | |
А4. Организационные аспекты безопасности | |
А5. Классификация ресурсов и управляющих воздействий | |
А6. Безопасность персонала | |
А7. Безопасность инфраструктуры и физическая безопасность | |
А8. Управление коммуникациями и процессами | |
А9. Управление доступом | |
А10. Развитие системы и обслуживание | |
А11. Обеспечение бесперебойной работы | |
А12. Технические требования | |
Приложение В | |
Руководство по использованию стандарта | |
Приложение С | Приложение А |
Соответствие между ISO 9001:2000, ISO14001:1996 и BS7799 part 2:2002 | Связь между ISO 14001 и ISO 9001 |
Из приведенного анализа видно, что усилия международной организации по стандартизации (ISO) прежде всего направлены на гармонизацию требований стандартов управления современным предприятием и это по мнению специалистов позволит не только создать новую культуру менеджмента, но и скоординировать действия различных государственных структур и представителей международного бизнеса в области защиты информации.
Артамонов В.А.
Белорусский национальный технический университет
Минск, Республика Беларусь
Отправить статью в социальные сети, на печать, e-mail и в другие сервисы: