Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников
стандартов СУИБ.
Введение
Обзор
Международные стандарты системы управления представляют модель для налаживания и функционирования системы управления. Эта модель включает в себя функции, по которым эксперты достигли согласия на основании международного опыта, накопленного в этой области.
При использовании семейства стандартов СУИБ организации могут реализовывать и совершенствовать СУИБ и подготовиться к ее независимой оценке, применяемой для защиты информации, такой как финансовая информация, интеллектуальная собственность, информация о персонале, а также информация, доверенная клиентами или третьей стороной. Эти стандарты могут использоваться организацией для подготовки независимой оценки своей СУИБ, применяемой для защиты информации.
Семейство стандартов СУИБ
Семейство стандартов СУИБ, имеющее общее название «Information technology. Security techniques» (Информационная технология. Методы защиты), предназначено для помощи организациям любого типа и размера в реализации и функционировании СУИБ и состоит из следующих международных стандартов:
– ISO/IEC 27000 СУИБ. Общий обзор и терминология;
– ISO/IЕС 27001 СУИБ. Требования;
– ISO/IEC 27002 Свод правил по управлению ИБ;
– ISO/IEC 27003 Руководство по реализации СУИБ;
– ISO/IEC 27004 УИБ. Измерения;
– ISO/IEC 27005 Управление рисками ИБ;
– ISO/IЕС 27006 Требования для органов, обеспечивающих аудит и сертификацию СУИБ;
– ISO/IEС 27007 Руководство по проведению аудита СУИБ;
– ISO/IEС TR 27008 Руководство по аудиту механизмов контроля ИБ;
– ISO/IEС 27010 УИБ для межсекторных и межорганизационных коммуникаций;
– ISO/IЕС 27011 Руководство пo УИБ для телекоммуникационных организаций на основе ISО/IEC 27002;
– ISO/IEС 27013 Руководство пo интегрированной реализации стандартов ISO/IEC 27001 и ISO/IEC 20000—1;
– ISO/IEС 27014 Управление ИБ высшим руководством;
– ISO/IEС TR 27015 Руководство пo УИБ для финансовых сервисов;
– ISO/IEС TR 27016 УИБ. Организационная экономика;
– ISO/IEС 27035 Управление инцидентами ИБ (в стандарте не указан).
Международный стандарт, не имеющие этого общего названия:
– ISO 27799 Информатика в здравоохранении. УИБ по стандарту ISO/IEC 27002.
Цель стандарта
Стандарт предоставляет обзор СУИБ и определяет соответствующие условия.
Семейство стандартов СУИБ содержит стандарты, которые:
– определяют требования к СУИБ и сертификации таких систем;
– содержат прямую поддержку, детальное руководство и разъяснение целого процесса создания, внедрения, сопровождения и улучшения СУИБ;
– включают в себя отраслевые руководящие принципы для СУИБ;
– руководят проведением оценки соответствия СУИБ.
1. Сфера применения
Стандарт предосталяет обзор СУИБ, а также условий и определений, широко использующихся в семействе стандартов СУИБ. Стандарт применим ко всем типам и размерам организаций