Проект "ИТ-Защита"

Семейство Международных стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается под эгидой ISO/IEC JTC 1/SC 27. Это семейство включает в себя стандарты, определяющие требования к системам управления информационной безопасностью (СУИБ), управление рисками, метрики и измерения, а также руководство по внедрению. Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее. Ключевую роль в этом семействе занимает стандарт ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования (BS 7799-2:2005). Ранее в работе [1] нами было определено место СУИБ в общей системе менеджмента предприятия. С точки зрения процессов управления СУИБ входит в общую систему менеджмента организации и предоставляет дополнительные механизмы управления в части обеспечения защиты критичной информации. Для соотнесения требований стандартов управления качеством производства и информационной безопасностью современного предприятия проведём сравнительный анализ требований стандартов ISO/IEC 27001:2005 и ISO 9001. В табл.1 дается сравнение содержания стандартов BS 7799 и ISO 9001.

Таблица 1. Сравнение содержания стандартов ISO/IEC 27001:2005 и ISO 9001

Разделы требований ISO/IEC 27001 Разделы требований ISO 9001
1. Границы применимости 1. Границы применимости
2. Нормативные ссылки 2. Нормативные ссылки
3. Термины и определения 3. Термины и определения
3.1. Доступность
3.2. Конфиденциальность
3.3. Информационная безопасность
3.4. Система управления режимом информационной безопасности
3.5. Целостность
3.6. Принятие рисков
3.7. Анализ рисков
3.8. Оценка рисков
3.9. Определение рисков
3.10. Управление рисками
3.11. Действия по уменьшению рисков
3.12. Ведомость соответствия
4. Управление информационной безопасностью 4. Требования к системе управления качеством (QMS)
4.1. Общие требования 4.1. Общие требования
4.2. Создание и организация системы управления режимом информационной безопасности
4.2.1. Создание системы управления режимом информационной безопасности
4.2.2. Средства и действия в рамках системы управления режимом информационной безопасности
4.2.3. Отслеживание событий в системе управления режимом информационной безопасности
4.2.4. Обслуживание и модернизация системы управления режимом информационной безопасности
4.3. Документирование требований 4.2. Документирование требований
4.3.1. Общие требования 4.2.1. Общие требования
4.3.2. Управление документами 4.2.3. Управление документами
4.3.3. Управление записями 4.2.4. Управление записями
5. Распределение обязанностей персонала 5. Распределение обязанностей персонала
5.1. Передача полномочий 5.1. Передача полномочий
5.2. Управление ресурсами 5.2. Управление ресурсами
6. Управление процедурой пересмотра некоторых положений 6. Управление процедурой пересмотра некоторых положений
6.1. Общие положения 6.1. Общие положения
6.2. Пересмотр входа 6.2. Пересмотр входа
6.3. Пересмотр выхода 6.3. Пересмотр выхода
6.4. Внешний аудит 6.4. Внешний аудит
7. Модернизация системы управления режимом информационной безопасности
7.1. Непрерывная модернизация
7.2. Корректирующие действия
7.3. Превентивные действия
Приложение А Цели управления и средства управления
А1. Введение
А2. Обзор передового опыта
A3. Политика безопасности
А4. Организационные аспекты безопасности
А5. Классификация ресурсов и управляющих воздействий
А6. Безопасность персонала
А7. Безопасность инфраструктуры и физическая безопасность
А8. Управление коммуникациями и процессами
А9. Управление доступом
А10. Развитие системы и обслуживание
А11. Обеспечение бесперебойной работы
А12. Технические требования
Приложение В
Руководство по использованию стандарта
Приложение С Приложение А
Соответствие между ISO 9001:2000, ISO14001:1996 и BS7799 part 2:2002 Связь между ISO 14001 и ISO 9001

Из приведенного анализа видно, что усилия международной организации по стандартизации (ISO) прежде всего направлены на гармонизацию требований стандартов управления современным предприятием и это по мнению специалистов позволит не только создать новую культуру менеджмента, но и скоординировать действия различных государственных структур и представителей международного бизнеса в области защиты информации.

Артамонов В.А.

Белорусский национальный технический университет

Минск, Республика Беларусь





Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:

Комментарии

Нет комментариев

Еще нет комментариев.

RSS лента комментариев к этой записи.

Извините, комментирование на данный момент закрыто.