[МОС/МЭК 13335-1:2004] 

3.3

конфиденциальность

свойство, обеспечивающее недоступность и закрытость информации для неавторизованных индивидов, субъектов или процессов 

[МОС/МЭК 13335-1:2004] 

3.4

информационная безопасность

обеспечение конфиденциальности, целостности и доступности информации; также возможно обеспечение и других свойств, таких как аутентичность, идентифицируемость, отказоустойчивость и надёжность. 

[МОС/МЭК 17799:2005] 

3.5

событие в информационной безопасности

установленное происшествие (эпизод) в системе, службе или сети, свидетельствующее о возможной бреши в политике информационной безопасности или отсутствии мер безопасности, или же о до этого неизвестном случае, возможно имеющем отношение к безопасности 

[МОС/МЭК ТУ 18044:2004] 

3.6

инцидент в информационной безопасности

единичное событие или же ряд нежелательных или неожиданных событий в информационной безопасности, которые подвергают большому риску бизнес-процессы или же угрожают информационной безопасности 

[МОС/МЭК ТУ 18044:2004] 

3.7

система менеджмента информационной безопасности

СМИБ

это часть комплексной системы менеджмента, основанная на  концепции бизнес-рисков, предназначена для создания, внедрения, использования, мониторинга, проверки, поддержки и совершенствования информационной безопасности 

ПРИМЕЧАНИЕ: Система менеджмента включает организационную структуру, политики безопасности, мероприятия по планированию управления, обязательства, инструкции, методики проведения,  процедуры и ресурсы 

3.8

целостность

свойство сохранения точности и полноты активов 

[МОС/МЭК 13335-1:2004] 

3.9

остаточный  риск

риск, остающийся после сокращения риска 

[МОС/МЭК Руководство 73:2002] 

3.10

принятие  риска

решения принять  риск 

[МОС/МЭК Руководство 73:2002] 

3.11

анализ рисков

систематическое использование информации для определения источников риска и оценки рисков 

[МОС/МЭК Руководство 73:2002] 

3.12

оценка рисков

процесс, охватывающий и анализ рисков, и оценку рисков 

[МОС/МЭК Руководство 73:2002] 

3.13

оценивание  риска

процесс сравнения оцененного риска с данными критериями риска для определения значимости риска. 

[МОС/МЭК Руководство 73:2002] 

3.14

управление рисками

согласованные действия по руководству и управлению организацией в отношении риска 

[МОС/МЭК Руководство 73:2002] 

3.15

сокращение риска

процесс отбора и проведения мероприятий по изменению риска 

[МОС/МЭК Руководство 73:2002] 

ПРИМЕЧАНИЕ: В данном международном стандарте термин «управление» употребляется как синоним к термину «мера». 

3.16

предписание по применимости

документированное положение, описывающее цели и средства управления, уместные и применимые в СМИБ организации 

ПРИМЕЧАНИЕ: Цели и выбор средств управления основаны на результатах и выводах процессов оценки и сокращения рисков, юридических или регулятивных требованиях, договорных обязательствах и требованиях касательно бизнеса организации в целях обеспечения информационной безопасности.

4 Система менеджмента информационной безопасности

 

4.1 Общие требования 

Организация должна вводить, выполнять, использовать, контролировать, пересматривать, поддерживать и совершенствовать документированные положения СМИБ в рамках всей бизнес-деятельности организации, а также рисков, с которыми она сталкивается. Ради практической пользы данного Международного Стандарта используемый процесс основывается на модели PDCA, показанной на рис. 1. 
 

4.2 Создание и менеджмент  СМИБ 

4.2.1 Создание СМИБ  

Организация должна сделать следующее. 

a) Учитывая особенности деятельности организации, самой организации, ее месторасположения, активов и технологии, определить масштаб и границы СМИБ, включая детали и обоснования исключений каких-либо положений документа из проекта СМИБ (см.1.2). 

b) Учитывая особенности деятельности организации, самой организации, ее месторасположения, активов и технологии, разработать политику СМИБ которая:

1. включает систему постановки целей (задач) и устанавливает общее направление руководства и принципы действия относительно информационной безопасности;
2. принимает во внимание деловые и юридические или регулятивные требования, договорные обязательства по безопасности;
3. присоединена к стратегической среде управления риском, в которой имеет место создание и поддержка СМИБ;
4. устанавливает критерии, по которым будет оцениваться риск (см. 4.2.1 с)); и
5. утверждена руководством.

 

ПРИМЕЧАНИЕ: В целях этого Международного Стандарта, политикой СМИБ считается расширенный набор политик информационной безопасности. Эти политики могут быть описаны в одном документе. 

c) Разработать концепцию оценки риска в организации. 

1. Определить  методологию оценки риска, которая  подходит СМИБ, и установленной деловой  информационной безопасности, юридическим  и регулятивным требованиям.
2. Разрабатывать критерии принятия риска и определять приемлемые уровни риска (см. 5.1f).

Выбранная методология оценки риска должна гарантировать, что оценка риска  приносит сравнимые и воспроизводимые  результаты. 

ПРИМЕЧАНИЕ: Существуют различные методологии оценки риска. Примеры методологий оценки риска рассмотрены в МОС/МЭК ТУ 13335-3, Информационные технологии – Рекомендации к менеджменту IT Безопасности – Методы менеджмента IT Безопасности. 

d) Выявить риски. 

1) Определить  активы в рамках положений  СМИБ, и владельцев² (² Термин «владелец» отождествляется с индивидом или субъектом, которая утверждена нести ответственность за контроль производства, развития, технического обслуживания, применения и безопасности активов. Термин «владелец» не означает, что персона действительно имеет какие-либо права собственности на актив) этих активов.  

2) Выявить  опасности для этих активов. 

3. Выявить уязвимые места в системе защиты.

 

4. Выявить воздействия, которые разрушают конфиденциальность, целостность и доступность активов.

 

e) Проанализировать и оценить риски. 

1. Оценить ущерб  бизнесу организации, который может быть нанесён вследствие несостоятельности системы защиты, а также являться последствием нарушения конфиденциальности, целостности, или доступности активов.
2. Определить вероятность провала системы безопасности в свете преобладающих опасностей и уязвимостей, ударов, связанных с активами, и внедренных в настоящее время элементов управления.
3. Оценить уровни риска.
4. Определить приемлемость риска, или же требовать его сокращения, используя критерии допустимости риска, установленные в 4.2.1с)2).

 

f) Выявить и оценить инструменты для сокращения риска. 

Возможные действия включают:

1. Применение подходящих элементов управления;
2. Сознательное и объективное принятие рисков, гарантирующее их безусловное соответствие требованиям политики организации и критериям допустимости риска (см. 4.2.1с)2));
3. Избежание риска; и
4. Передача соответствующих бизнес-рисков другой стороне, например, страховым компаниям, поставщикам.

 

g) Выбрать задачи и средства управления для сокращения рисков. 

Задачи  и средства управления должны быть выбраны и внедрены в соответствии с требованиями, установленными процессом оценкой риска и сокращения риска. Этот выбор должен учитывать как критерии допустимости риска (см. 4.2.1с)2)), так и юридические, регулятивные и договорные требования. 

Задачи  и средства управления из Приложения A должны быть выбраны как часть этого процесса, отвечающие установленным требованиям. 

Т.к. в Приложении А перечислены не все задачи и  средства управления, то могут быть выбраны дополнительные. 

ПРИМЕЧАНИЕ: Приложение А содержит всесторонний список целей управления, которые были определены как наиболее значимые для организаций. Чтобы не пропустить ни один важный пункт из опций управления, пользующимся данным Международным Стандартом следует ориентироваться на Приложение А как на отправной пункт для контроля выборки.  

h) Достигнуть утверждения управления предполагаемыми остаточными рисками. 

i) Достигнуть авторизации управления для функционирования СМИБ. 

j) Составить Декларацию Применимости 

А Декларация Применимости должна включать следующее: 

1. задачи и  средства управления, выбранные в 4.2.1g), и причины их выбора;
2. задачи и средства управления, действующие в настоящее время (см. 4.2.1e)2)); и
3. исключение каких-либо задач и средств управления из Приложения А и обоснование их исключения.

 

ПРИМЕЧАНИЕ: Декларация применимости представляет собой сводку решений относительно сокращения риска. Обоснование исключений обеспечивает перепроверку по разным источникам того, что ни одного элемента управления не было упущено. 
 

4.2.2 Внедрение и использование СМИБ 

Организация должна сделать следующее. 

a) Сформулировать план сокращения риска, который определяет соответствующие управляющие действия, ресурсы, обязательства и приоритеты для управления рисками информационной безопасности (см. 5). 

b) Осуществить план сокращения рисков для того, чтобы достигнуть установленных целей, которые включают анализ финансирования и распределения ролей и обязанностей. 

c) Внедрить средства управления, выбранные в 4.2.1g), для достижения поставленных целей. 

d) Определить, как измерить эффективность выбранных средств управления или групп средств управления, и установить как эта система мер должна использоваться, чтобы оценить эффективность управления и получить соизмеримые и воспроизводимые результаты (см. 4.2.3с)). 

ПРИМЕЧАНИЕ: Оценка эффективности средств управления позволяет менеджерам и штату служащих определить, насколько хорошо средства управления достигают поставленных целей. 

e) Внедрить обучающие и информирующие программы (см. 5.2.2). 

f) Управлять функционированием СМИБ. 

g) Обеспечить СМИБ трудовыми ресурсами (см. 5.2) 

h) Внедрить методику и другие средства управления, способные своевременно выявить события безопасности и ответную реакцию на инциденты безопасности (см. 4.2.3а)).