Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников

Управление информационной безопасностью. Стандарты СУИБ - Вадим Гребенников


Скачать книгу
должна сохранять документированную информацию в качестве свидетельства о результатах анализа со стороны руководства.

      10. Улучшение (4-й этап «РDСА»)

      Этап улучшения СУИБ обеспечивают следующие мероприятия:

      – корректирующие действия;

      – постоянное улучшение.

      Корректирующие действия

      При появлении несоответствия организация должна:

      – реагировать на несоответствие и в зависимости от обстоятельств принять меры по его управлению и исправлению или проработать последствие;

      – оценить необходимость принятия действий для устранения причин несоответствия с целью предотвращения его повторения или появления в другом месте, для этого:

      • изучить несоответствие;

      • определить причину несоответствия;

      • определить, существуют ли подобные несоответствия или потенциальные возможности их возникновения;

      – реализовать любые необходимые корректирующие действия;

      – проанализировать результативность выполненных корректирующих действий;

      – при необходимости внести изменения в СУИБ.

      Корректирующие действия должны быть адекватными последствиям выявленных несоответствий. Организация должна сохранять документированную информацию как свидетельства о:

      – характере несоответствий;

      – любых корректирующих действиях;

      – результатах корректирующих действий.

      Постоянное улучшение

      Организация должна постоянно улучшать пригодность, адекватность и результативность СУИБ.

      3. Свод правил управления ИБ

      (стандарт ISO/IEC 27002:2013)

      В 2000 году первая часть британского национального стандарта BS 7799—1 «Практические правила управления ИБ» была принята в качестве международного стандарта ISO/IEC 17799 «ИТ. Практические правила управления ИБ». В 2005 году на его основе был разработан новый международный стандарт ISO/IЕС 27002 «ИТ. Meтоды защиты. Свод норм и правил управления ИБ», который был опубликован в июле 2007 года. Последнее обновление стандарта состоялось 25 сентября 2013 года.

      Стандарт предлагает рекомендации и основные принципы введения, реализации, поддержки и улучшения СУИБ в организации. Он может служить практическим руководством по разработке стандартов безопасности организации, для эффективной практики УИБ организаций и способствует укреплению доверия в отношениях между организациями.

      Стандарт состоит из 14 разделов, посвященных мерам безопасности, которые все вместе содержат, в целом, 34 основные категории безопасности и 114 мер защиты:

      1) политика ИБ (1);

      2) организация ИБ (2);

      3) безопасность, связанная с персоналом (3):

      4) управление активами (3);

      5) управление доступом (4);

      6) криптография (1);

      7) физическая и экологическая безопасность (2);

      8) безопасность операций (7);

      9) безопасность связи (2);

      10) приобретение, разработка и поддержка ИС (3);

      11)


Скачать книгу