Please enable JavaScript.

Coggle requires JavaScript to display documents.

ISO/IEC 27001:2005 Часть 1 - Coggle Diagram

- - - - a) Розуміння вимог інформаційної безпеки організації і необхідності визначення політики і цілей інформаційної безпеки
      - b) Впровадження та експлуатації механізмів контролю для управління ризиками інформаційної безпеки організації в контексті управління загальними бізнес ризиками організації
      - c) Моніторингу та перевірки продуктивності та ефективності СУІБ
      - d) Безперервне удосконалення на базі об'єктивних вимірів
- - - - Визначити область дії і кордони СУІБ в термінах характеристик бізнесу, організації, її розташування, ресурсів і технологій, а також включаючи детальну інформацію та обгрунтування для будь-яких винятків зі сфери дії
      - Визначити політику СУІБ в термінах характеристик бізнесу, організації, її розташування, ресурсів і технологій, яка
        
        включає в себе основу для визначення її цілей і встановлює загальний напрямок і принципи діяльності по відношенню до інформаційної безпеки
        
        враховує вимоги бізнесу і вимоги законодавчої або нормативної бази, а також контрактні зобов'язання в галузі безпеки
        
        об'єднується зі стратегічним контекстом управління ризиками в організації, в якому буде відбуватися створення і супровід СУІБ
        
        встановлює критерії для оцінювання ризиків
        
        Затверджена керівництвом
      - Визначити підхід організації до оцінки ризиків
        
        Визначити методологію оцінки ризиків, яка підходить для СУІБ, а також задовольняє вимогам бізнесу до інформаційної безпеки, вимогам законодавства та нормативної бази
        
        Розробити критерії для прийняття ризиків і визначити прийнятні рівні ризику
      - Ідентифікувати ризики
        
        Ідентифікувати ресурси, що знаходяться в області дії СУІБ і владельцев2 цих ресурсів
        
        Ідентифікувати загрози щодо цих ресурсів
        
        Ідентифікувати вразливості, які можуть бути використані для реалізації погроз
        
        Ідентифікувати наслідки порушення конфіденційності, цілісності і доступності ресурсів
      - Проаналізувати та оцінити ризики
        
        Оцінити збиток для бізнесу, яка може бути заподіяна внаслідок порушення безпеки, беручи до уваги потенційні наслідки порушення конфіденційності, цілісності або доступності ресурсів
        
        Оцінити реалістичну ймовірність порушень безпеки, що відбуваються в світі існуючих загроз, вразливостей і наслідків, пов'язаних з цими ресурсами, а також реалізованих в даний час механізмів контролю
        
        Оцінити рівні ризиків
        
        З використанням критерію, встановленого в 4.2.1с) 2), визначити чи є ризик прийнятним або потрібна його обробка
      - Ідентифікувати і оцінити можливості по обробці ризиків. Можливі дії включають в себе наступне
        
        застосування відповідних механізмів контролю
        
        усвідомлене і об'єктивне прийняття ризиків, за умови, що вони строго відповідають політиці організації та критеріям
        прийняття ризиків
        
        уникнення ризиків
        
        перенесення об'єднаних бізнес ризиків на інші сторони, наприклад, страховиків, постачальників
        
        Вибрати цілі і механізми контролю для обробки ризиків
      - Отримати схвалення керівництва для запропонованих залишкових ризиків
      - Отримати дозвіл керівництва на впровадження та експлуатацію СУІБ
      - j) Підготувати Декларацію про можливість застосування
    - - Виконувати процедури моніторингу та аналізу, а також застосовувати інші механізми контролю для того, щоб
        
        своєчасно виявляти помилки в результатах обробки даних
        
        своєчасно визначати невдалі і успішні інциденти і порушення безпеки
        
        надати керівництву можливість визначити, чи виконуються належним чином заходи безпеки, делеговані людям або реалізовані засобами інформаційних технологій
        
        допомагати виявленню подій безпеки і, за допомогою цього, запобігати інцидентам безпеки шляхом використання індикаторів
        
        визначати, чи були ефективними дії, що вживаються для усунення порушення безпеки
      - Вживати регулярні перевірки ефективності СУІБ (включаючи виконання вимог політики безпеки і досягнення цілей контролю, а також перевірку механізмів контролю), беручи до уваги результати аудитів безпеки, інциденти, результати вимірювання ефективності, пропозиції та відгуки від усіх зацікавлених сторін
      - Вимірювати ефективність механізмів контролю, щоб перевірити виконання вимог безпеки
      - Переглядати оцінки ризиків через певні інтервали, переглядати залишкові ризики та ідентифіковані рівні допустимих ризиків, беручи до уваги зміни, що відбуваються в
        
        організації
        
        технологіях
        
        бізнес цілях і процесах
        
        Ідентифікованих загрозах
        
        зовнішніх подіях, таких як зміни в законодавчій або нормативному середовищі, зміни контрактних зобов'язань і зміни соціального клімату
      - Проводити внутрішній аудит СУІБ через заплановані інтервали часу
      - Виробляти аналіз СУІБ керівництвом на регулярній основі для того, щоб гарантувати, що область дії СУІБ залишається адекватною і поліпшення в процесах СУІБ ідентифіковані
      - Оновлювати плани забезпечення безпеки, щоб прийняти до уваги висновки, отримані в ході моніторингу і аналізу
      - Протоколювати дії і події, які можуть впливати на ефективність або поведінку СУІБ
    - - Вживати відповідні коригувальні та запобіжні дії згідно 8.2 та 8.3. Використовувати власний досвід і досвід інших організацій в області забезпечення безпеки
      - Запитувати про заходи, що вживаються і вдосконалення всім зацікавленим сторонам зі ступенем подробиці, що відповідає обставинам, і, в разі необхідності, погоджувати свої дії
      - Впроваджувати ідентифіковані вдосконалення в СУІБ
      - Забезпечувати досягнення поставлених цілей в ході реалізації удосконалень
  - - - План обробки ризиків
      - задокументовані методики, які необхідні організації для забезпечення ефективного планування, виконання та контролю процесів інформаційної безпеки і описують як вимірювати ефективність механізмів контролю
      - Звіт про оцінку ризиків
      - протоколи, які вимагає цим Міжнародним стандартом
      - Опис методології оцінки ризиків
      - Декларація про можливість застосування
      - Процедури та механізми контролю, що підтримують СУІБ
      - Область дії СУІБ
      - Задокументовані положення політики безпеки (див. 4.2.1b)) і мети контролю
    - - затвердження документів перед опублікуванням з точки зору їх достовірності та достатності
      - аналізу і коригування документів у разі необхідності, а також повторного затвердження документів
      - забезпечення ідентифікації змін та статусу поточних ревізій документів
      - забезпечення доступності найостанніших версій відповідних документів в місцях їх використання
      - надання гарантій того, що документи залишаються зрозумілими і простоти ідентифікації документів
      - забезпечення доступності документів для тих, кому вони необхідні, а також забезпечення передачі, зберігання і, в кінцевому підсумку, знищення документів згідно з процедурами, відповідним їх класифікації
      - забезпечення ідентифікації документів, що мають зовнішнє
        походження
      - забезпечення контролю над поширенням документівi) запобігання ненавмисному використанню застарілих документів
      - застосування відповідної схеми ідентифікації застарілих документів, якщо вони зберігаються з якої-небудь причини
    - - Повинні створюватися і зберігатися записи для надання доказів відповідності вимогам і ефективності функціонування СУІБ. Вони повинні контролюватися і бути захищені. СУІБ повинна брати до уваги будь-які пов'язані з нею вимоги законодавства або нормативної бази, а також контрактні зобов'язання