Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников

Управление информационной безопасностью. Стандарты СУИБ

Управление информационной безопасностью. Стандарты СУИБ - Вадим Гребенников

Скачать книгу
обновление стандарта.

      Стандарт состоит из следующих разделов:

      Предисловие

      0. Введение

      1. Сфера применения

      2. Нормативные ссылки

      3. Термины и определения

      4. Контекст организации

      5. Лидерство

      6. Планирование

      7. Поддержка

      8. Эксплуатация

      9. Оценка результативности

      10. Улучшение

      Этапам модели «РDСА» соответствуют следующие разделы стандарта:

      – планирование;

      – эксплуатация;

      – оценка результативности;

      – улучшение.

      Стандарт был подготовлен для реализации требований по созданию, внедрению, сопровождению и постоянному улучшению СУИБ. Принятие СУИБ является стратегическим решением для организации. Разработка и внедрение СУИБ организации зависит от потребностей и целей организации, требований по безопасности, существующих процессов организации, размера и структуры организации. Все эти факторы влияния, как известно, со временем меняются.

      СУИБ обеспечивает конфиденциальность, целостность и доступность информации за счет применения процесса управления рисками и придает уверенность заинтересованным сторонам в том, что риски адекватно управляются.

      Важно, чтобы СУИБ являлась частью и была интегрирована с процессами организации и общей структурой управления, а также ИБ была применена при разработке процессов, ИС и элементов управления. Как правило, внедрение СУИБ масштабируется в соответствии с потребностями организации.

      1. Сфера применения

      Стандарт устанавливает в контексте организации требования к созданию, внедрению, сопровождению и постоянному улучшению СУИБ. Стандарт также включает требования по оценке и обработке рисков ИБ в соответствии с потребностями организации. Требования, изложенные в стандарте, носят общий характер и предназначены для применения всеми организациями, независимо от типа, размера или характера. Исключение любого из требований, указанных в следующих разделах, не является приемлемым, если организация заявляет о соответствии стандарту.

      Разделы «2.Нормативные ссылки» и «3.Термины и определения» пропускаем.

      4. Контекст организации

      Организация должна определить внешние и внутренние аспекты, которые имеют отношение к ее цели и влияют на ее способность к достижению ожидаемых результатов от СУИБ.

      Организация должна определить:

      – заинтересованные стороны, имеющие отношение к СУИБ;

      – требования этих заинтересованных сторон, имеющих отношение к ИБ.

      Организация для определения сферы применения СУИБ должна определить границы и возможность применения СУИБ.

      При определении сферы применения СУИБ организация должна рассмотреть вопросы, упомянутые выше:

      – внешние и внутренние аспекты;

      – требования

Скачать книгу