Please enable JavaScript.
Coggle requires JavaScript to display documents.
BS ISO/IEC 27001:2005 Талда А.Ю - Coggle Diagram
BS ISO/IEC 27001:2005 Талда А.Ю
Вимоги до документування
Управління записами.
Повинні створюватися і
зберігатися записи для надання доказів відповідності вимогам і ефективності функціонування
СУІБ.
Управління документами.
Документи, які необхідні для
СУІБ, повинні бути захищені і знаходиться під контролем
Загальні вимоги.
Документація повинна включати в себе записи про рішення керівництва, забезпечувати простежуваність дій до рішень керівництва і політик, а
також відтворюваність запротокольованих результатів
СИСТЕМА УПРАВЛІННЯ ІНФОРМАЦІЙНОЇ
БЕЗПЕКИ
Створення та управління СУІБ
Впровадження та експлуатація СУІБ
Визначити, як вимірювати ефективність вибраних
механізмів контролю або груп механізмів контролю, і визначити, як ці вимірювання повинні використовуватися
для оцінки ефективності механізмів контролю з метою отримання порівнянних і відтворюваних результатів
Реалізувати програми навчання і підвищення обізнаності
Реалізувати механізми контролю, вибрані в 4.2.1g), для
досягнення цілей контролю
Управляти експлуатацією СУІБ.
Реалізувати план обробки ризиків з метою досягнення
встановлених цілей контролю, що включає в себе розгляд питань фінансування, призначення ролей і розподіл
відповідальності.
Управляти ресурсами СУІБ
Розробити план обробки ризиків, який визначає відповідні
дії керівництва, ресурси, відповідальність і пріоритети з управління ризиками інформаційної безпеки
Впровадити процедури та інші механізми контролю,
придатні для точного виявлення подій безпеки та реагування на інциденти безпеки
Моніторинг та аналіз СУІБ
Переглядати оцінки ризиків через певні інтервали,
переглядати залишкові ризики та ідентифіковані рівні допустимих ризиків
Проводити внутрішній аудит СУІБ через заплановані
інтервали часу
Вимірювати ефективність механізмів контролю
Виробляти аналіз СУІБ керівництвом на регулярній основі
Вживати регулярні перевірки ефективності СУІБ
Оновлювати плани забезпечення безпеки,
Виконувати процедури моніторингу та аналізу, а також
застосовувати інші механізми контролю
Протоколювати дії і події, які можуть впливати на
ефективність або поведінку СУІБ
Створення СУІБ
Визначити політику СУІБ в термінах характеристик бізнесу,
організації, її розташування, ресурсів і технологій,
Визначити підхід організації до оцінки ризиків
Визначити область дії і кордони СУІБ в термінах
характеристик бізнесу, організації, її розташування, ресурсів і технологій, а також включаючи детальну
інформацію
Ідентифікувати ризики
Проаналізувати та оцінити ризики
Ідентифікувати і оцінити можливості по обробці ризиків
Вибрати цілі і механізми контролю для обробки ризиків
Отримати схвалення керівництва для запропонованих
залишкових ризиків
Отримати дозвіл керівництва на впровадження та
експлуатацію СУІБ.
Підготувати Декларацію про можливість застосування.
Супровід та вдосконалення СУІБ
Вживати відповідні коригувальні та запобіжні дії
Запитувати про заходи, що вживаються і вдосконалення
всім зацікавленим сторонам
Впроваджувати ідентифіковані вдосконалення в СУІБ
Забезпечувати досягнення поставлених цілей в ході
реалізації удосконалень.
Загальні вимоги
.Організація повинна створити,
впровадити, експлуатувати, здійснювати моніторинг, аналізувати, супроводжувати і вдосконалювати документовану СУІБ.
ТЕРМІНИ ТА ВИЗНАЧЕННЯ
Доступність
властивість, що полягає в доступності і застосовності для авторизованих суб'єктів, коли буде потрібно.
Конфіденційність
властивість, що полягає в
недоступності інформації
Ресурс
все, що має цінність для організації
Інформаційна безпека
забезпечення конфіденційності,
цілісності та доступності інформації
Цілісність
властивість, що полягає в забезпеченні
точності і повноти ресурсів
Залишковий ризик
ризик, що залишається після вжиття
заходів з обробки ризиків
Декларація про можливість застосування
документоване заяву, що описує цілі і механізми контролю
Прийняття ризику
рішення про прийняття ризику
Аналіз ризиків
систематичне використання інформації
для ідентифікації джерел та оцінки величини ризиків
Оцінка ризиків
загальний процес аналізу та оцінювання ризиків
ОБЛАСТЬ ДІЇ
Застосування.
Вимоги, викладені в цьому стандарті,
носять загальний характер і призначені для застосування в будь-яких організаціях.
Загальні положення.
Міжнародний стандарт визначає
вимоги для створення, впровадження,експлуатації, моніторингу, аналізу, супроводу і вдосконаленнядокументованої СУІБ в контексті загальних бізнес ризиків організації.
НОРМАТИВНІ ДОКУМЕНТИ
Для документів, датованих певним числом, може бути
застосована тільки зазначена редакція. Для недатованих документів, застосовується їх остання редакціяISO / IEC 17799: 2005,
Інформаційні технології - Методи забезпечення безпеки Практичні правила управління інформаційною безпекою.