Автор работы: Пользователь скрыл имя, 04 Ноября 2011 в 12:47, реферат
МОС (Международная организация по стандартизации) и МЭК (Международная электротехническая комиссия) формируют специализированную систему стандартизации, распространённую во всём мире. Национальные организации, являющиеся членами МОС и МЭК, участвуют в развитии Международных Стандартов посредством технических комиссий, учреждённых соответствующей организацией, чтобы работать с особыми сферами технической деятельности. Технические комиссии МОС и МЭК сотрудничают в сферах взаимного интереса. Другие международные организации, государственные либо негосударственные, совместно с МОС и МЭК также участвуют в работе. В сфере информационных технологий МОС и МЭК учредили совместную комиссию, МОС/МЭК ОТК.
ПРИМЕЧАНИЕ: МОС 19011:2002, Рекомендации по
ревизованию качества и/или систем менеджмента
экологии, могут быть полезными в проведении
внутренних аудитов СМИБ.
7
Проверка управления
СМИБ
7.1
Общие положения
Руководство
должно проверять СМИБ в запланированные
периоды (как минимум раз в
год), чтобы убедиться в том, что
она по-прежнему пригодна, адекватна и
эффективна. Такая проверка должна включать
оценку возможностей совершенствования
и необходимости изменений в СМИБ, в т.ч.
и в политике информационной безопасности
и целях информационной безопасности.
Результаты проверки необходимо оформить
документально, и сделать записи (см. 4.3.3).
7.2
Входные данные
для проверки
Входные данные для проверки управления должны включать:
a) результаты аудитов и проверок СМИБ;
b) рекомендации заинтересованных сторон;
c) технику, продукты или методики, которые могли бы использоваться в организации, чтобы совершенствовать функционирование и эффективность СМИБ;
d) состояние превентивных и корректирующих мер;
e) уязвимости или угрозы, недостаточно исследованные при предыдущей оценке риска;
f) результаты оценки эффективности;
g) контроль принятия соответствующих мер после предыдущих проверок управления;
h) любые изменения, которые могут повлиять на СМИБ; и
i) рекомендации
по совершенствованию.
7.3
Выходные данные
проверки
Итоги проверки
управления должны включать любые решения
и меры, связанные со следующим.
a) Совершенствование
эффективности СМИБ;
b) Обновление
планов оценки и сокращения риска;
c) Модификация методов и средств управления, влияющих на информационную безопасность, как необходимость реагирования на внутренние и внешние события, которые могут принести ущерб СМИБ, а также изменения в:
1) требованиях бизнеса;
2) требованиях безопасности;
3) бизнес-процессах,
влияющих на существующие
4) юридических или регулятивных требованиях;
5) договорных обязательствах; и
6) уровнях
риска и/или критериях
d) Приобретение
необходимых ресурсов.
e) Совершенствование
системы оценивания эффективности.
8
Совершенствование
СМИБ
8.1
Постоянное совершенствование
Организация
должна постоянно совершенствовать
эффективность СМИБ, привлекая к
этому процессу политику информационной
безопасности, цели информационной безопасности,
результаты аудита, анализ отслеженных
событий, корректирующие и превентивные
мероприятия и проверки управления (см.
7).
8.2
Корректирующие меры
Организация должна предпринимать меры по устранению причин несоответствия требованиям СМИБ, чтобы избежать повторения. Документированная процедура проведения корректирующих мероприятий должна содержать требования по:
a) выявлению несоответствий;
b) определению причин несоответствий;
c) оценке необходимости мер, устраняющих несоответствия;
d) определению и проведению необходимых корректирующих мероприятий;
e) записи результатов предпринятых мер (см. 4.3.3); и
f) проверке
предпринятых корректирующих мер.
8.3
Превентивные мероприятия
Организация должна определить меры, направленные на устранение причин возможного несоответствия требованиям СМИБ, чтобы предотвратить их повторение. Превентивные действия должны соответствовать ущербу от возможных ударов. Документированная процедура проведения превентивных мероприятий должна содержать требования по:
a) выявлению возможных несоответствий и их причин;
b) оценке необходимости действий, предотвращающих повторение несоответствий;
c) определению и проведению необходимых превентивных мероприятий;
d) записи результатов предпринятых мер (4.3.3); и
e) проверке
предпринятых превентивных мер.
Организация
должна выявить изменения в рисках
и определить требования по превентивным
действиям, акцентируя внимание на значительно
измененных рисках.
Приоритеты
превентивных мероприятий должны быть
расставлены согласно результатам
оценки риска.
ПРИМЕЧАНИЕ: Меры по предупреждению несоответствий часто более эффективны и дешевле обходятся, чем уже корректирующие мероприятия.
(нормативное)
Задачи (цели)
и средства управления
Цели и
средства управления, перечисленные
в таблице А.1, непосредственно выводятся
и подгоняются под цели и средства, перечисленные
в разделах с 5 по 15 стандарта МОС/МЭК 17799:2005.
Список из таблицы А.1 не является исчерпывающим,
потому организация может предусмотреть
дополнительные цели и средства управления.
А перечисленные в данных таблицах необходимо
выбрать как составляющий компонент СМИБ,
определённой в 4.2.1.
Разделы МОС/МЭК
17799:2005 с 5 по 15 предусматривают руководство
по внедрению и наилучшему использованию
средств управления, определённых с пункта
А.5 по пункт А.15.
Таблица A.1 –
Цели и средства управления
| A.5 Политика безопасности | ||
|
A.5.1
Политика информационной
безопасности
Цель: Обеспечить управление и поддержку руководством информационной безопасности в соответствии с бизнес-требованиями и важными законами и положениями. | ||
| A.5.1.1 | Документ политики информационной безопасности | Средство
управления
Политика информационной безопасности должна быть одобрена руководством, издана и передана все сотрудникам и важным сторонним организациям. |
| A.5.1.2 | Пересмотр политики информационной безопасности | Средство
управления
Необходимо проводить пересмотр политики безопасности в запланированные периоды либо в случае серьёзных изменений, чтобы убедиться в её пригодности, адекватности и эффективности. |
| A.6 Организация информационной безопасности | ||
|
A.6.1
Внутренняя организация
Цель: управление информационной безопасностью в пределах организации. | ||
| A.6.1.1 | Обязанности руководства по обеспечению информационной безопасности | Средство
управления
Руководство должно активно поддерживать безопасность в пределах организации посредством чёткого управления, выполнения обязательств, явного распределения и уведомления об обязанностях по обеспечению безопасности. |
| A.6.1.2 | Согласованность мероприятий по защите информации | Средство
управления
Мероприятия по защите информации должны быть согласованы представителями различных отделов организации, занимающих наиболее ответственные должности. |
| A.6.1.3 | Распределение обязанностей по защите информации | Средство
управления
Все обязанности по обеспечению защиты информации должны быть чётко распределены. |
| A.6.1.4 | Процесс утверждения средств обработки информации | Средства
управления
Необходимо определить и задействовать процесс управления одобрением и утверждением новых средств обработки информации. |
| A. 6.1.5 | Соглашения по конфиденциальности | Средства
управления
Необходимо определить и постоянно пересматривать требования конфиденциальности или сокрытия соглашений, отражающих нужды организации в защите информации. |
| A. 6.1.6 | Связь с ведомствами | Средства
управления
Необходимо поддерживать соответствующие контакты с важными ведомствами. |
| A. 6.1.7 | Связь с особо заинтересованными группами | Средства
управления
Необходимо поддерживать соответствующие контакты с особо заинтересованными сторонами или другими форумами безопасности и профессиональными объединениями. |
| A. 6.1.8 | Независимая проверка информационной безопасности | Средства
управления
В запланированные периоды или в результате серьёзных изменений в безопасности, необходимо проводить независимую проверку методики управления информационной безопасностью в организации и её внедрения (напр., задачи управления, средства управления, политики, методологии и приёмы защиты информации). |
| A.6.2
Сторонние организации
Цель: Поддержать безопасность информации и средств обработки информации, которые доступны, обрабатываются, передаются или управляются сторонними организациями. | ||
| A.6.2.1 | Определение рисков, связанных с привлечением сторонних организаций | Средства
управления
Необходимо выявить риски безопасности информации и средств обработки информации, разработанных с привлечением сторонних организаций, а также определить соответствующие средства управления и внедрить их раньше, чем будет предоставлен доступ. |
| A. 6.2.2 | Обеспечение безопасности во время работы с заказчиками | Средства
управления
Необходимо обеспечить выполнение всех установленных требований безопасности раньше, чем заказчикам будет предоставлен доступ к информации или активам организации. |
| A. 6.2.3 | Обеспечение безопасности при подписании соглашений со сторонними организациями | Средства
управления
Соглашения с третьими лицами, затрагивающие доступ, обработку, передачу или управление информацией либо средствами обработки информации или же приложение других продуктов либо служб к средствам обработки информации должны накрывать все наиболее важные требования безопасности. |
| A.7 Asset management | ||
|
A.7.1
Ответственность за
активы
Цель: Достичь и поддерживать соответствующий уровень защиты активов организации. | ||
| A.7.1.1 | Опись активов | Средство
управления
Необходимо чётко идентифицировать все активы, провести инвентаризацию. |
| A.7.1.2 | Владение активами | Средство
управления
Вся информация и активы, связанные со средствами обработки информации должны 'числиться' 3) за a назначенным отделом организации. |
| A.7.1.3 | Допустимое использование активов | Средство
управления
Необходимо разработать, документально оформить и ввести правила использования информации и активов, связанных со средствами обработки информации. |
| A.7.2
Классификация информации
Цель: Обеспечить соответствующий уровень защищённости информации. | ||
| A.7.2.1 | Руководства по классификации | Средство
управления
Необходимо классифицировать информацию в зависимости от её ценности, юридических требований, критичности и необходимости для организации. |
| A.7.2.2 | Маркирование и обработка информации | Средство
управления
Необходимо классифицировать информацию в зависимости от её ценности, юридических требований, критичности и необходимости для организации. |
| A.8 Защита трудовых ресурсов | ||
|
A.8.1
До наёма на работу4)
Цель: Обеспечить понимание сотрудниками, подрядными и сторонними организациями своих обязательств, определить их пригодность к выполнению предполагаемой работы, сократить риск кражи, подделки, или неправильного обращения с аппаратурой. | ||
| A.8.1.1 | Роли и обязанности | Средство
управления
В соответствии с политикой информационной безопасности организации должны быть определены и документально оформлены роли и обязательства сотрудников, а также подрядных и сторонних организаций. |