Please enable JavaScript.

Coggle requires JavaScript to display documents.

БРИТАНСЬКИЙ СТАНДАРТ BS ISO/IEC 27001:2005 BS 7799-2:2005 Інформаційні…

- - - - a) Розуміння вимог інформаційної безпеки організації і необхідності визначення політики і цілей інформаційної безпеки;
      - b) Впровадження та експлуатації механізмів контролю для управління ризиками інформаційної безпеки організації в контексті управління загальними бізнес ризиками організації;
      - c) Моніторингу та перевірки продуктивності та ефективності СУІБ;
      - d) Безперервне удосконалення на базі об'єктивних вимірів.
    - - Планування (створення СУІБ)
        
        Визначення політики СУІБ, цілей, процесів і процедур, що відносяться до управління ризиками і вдосконалення інформаційної безпеки для отримання результатів відповідно до загальних політиками і цілями організації.
      - Реалізація (впровадження та
        експлуатація СУІБ)
        
        Впровадження та експлуатація політики СУІБ, механізмів контролю, процесів і процедур.
      - Перевірка (моніторинг і аналіз СУІБ)
        
        Оцінка і, там де це може бути застосовано, вимір характеристик виконання процесу відповідно до політики СУІБ, цілями і практичним досвідом, і надання звітів керівництву для аналізу.
      - Дія (супровід та вдосконалення
        СУІБ)
        
        Впровадження коригувальних і превентивних заходів, заснованих на результатах внутрішнього аудиту СУІБ, перевірки з боку керівництва або іншої відноситься до справи, для забезпечення безперервного вдосконалення СУІБ.
- - - - Вимоги, викладені в цьому стандарті, носять загальний характер і призначені для застосування в будь-яких організаціях, незалежно від їх типу, розміру або області діяльності.
- - - - a) Визначити область дії і кордони СУІБ в термінах характеристик бізнесу, організації, її розташування, ресурсів і технологій, а також включаючи детальну інформацію та обгрунтування для будь-яких винятків зі сфери дії
      - b) Визначити політику СУІБ в термінах характеристик бізнесу, організації, її розташування, ресурсів і технологій, яка:
        
        1) включає в себе основу для визначення її цілей і встановлює загальний напрямок і принципи діяльності по відношенню до інформаційної безпеки;
        
        2) враховує вимоги бізнесу і вимоги законодавчої або нормативної бази, а також контрактні зобов'язання в галузі безпеки;
        
        3) об'єднується зі стратегічним контекстом управління ризиками в організації, в якому буде відбуватися створення і супровід СУІБ;
        
        4) встановлює критерії для оцінювання ризиків;
        
        5) затверджена керівництвом.
      - c) Визначити підхід організації до оцінки ризиків:
        
        1) Визначити методологію оцінки ризиків, яка підходить для СУІБ, а також задовольняє вимогам бізнесу до інформаційної безпеки, вимогам законодавства та нормативної бази;
        
        2) Розробити критерії для прийняття ризиків і визначити прийнятні рівні ризику.
      - d) Ідентифікувати ризики:
        
        1) Ідентифікувати ресурси, що знаходяться в області дії СУІБ і владельцев2 цих ресурсів.
        
        2) Ідентифікувати загрози щодо цих ресурсів.
        
        3) Ідентифікувати вразливості, які можуть бути використані для реалізації погроз.
        
        4) Ідентифікувати наслідки порушення конфіденційності, цілісності і доступності ресурсів.
      - e) Проаналізувати та оцінити ризики:
        
        1) Оцінити збиток для бізнесу, яка може бути заподіяна внаслідок порушення безпеки, беручи до уваги потенційні наслідки порушення конфіденційності, цілісності або доступності ресурсів.
        
        2) Оцінити реалістичну ймовірність порушень безпеки, що відбуваються в світі існуючих загроз, вразливостей і наслідків, пов'язаних з цими ресурсами, а також реалізованих в даний час механізмів контролю.
        
        3) Оцінити рівні ризиків.
        
        4) З використанням критерію, визначити чи є ризик прийнятним або потрібна його обробка.
      - f) Ідентифікувати і оцінити можливості по обробці ризиків. Можливі дії включають в себе наступне:
        
        1) застосування відповідних механізмів контролю;
        
        2) усвідомлене і об'єктивне прийняття ризиків, за умови, що вони строго відповідають політиці організації та критеріям прийняття ризиків;
        
        3) уникнення ризиків;
        
        4) перенесення об'єднаних бізнес ризиків на інші сторони, наприклад, страховиків, постачальників.
      - g) Вибрати цілі і механізми контролю для обробки ризиків.
      - h) Отримати схвалення керівництва для запропонованих залишкових ризиків.
      - i) Отримати дозвіл керівництва на впровадження та експлуатацію СУІБ.
      - j) Підготувати Декларацію про можливість застосування, яка включає в себе наступне:
        
        1) Відібрані в 4.2.1g) цілі і механізми контролю та причини їх вибору;
        
        2) Цілі та механізми контролю, реалізовані в даний час;
        
        3) Виключення будь-яких цілей і механізмів контролю з Додатка А та обґрунтування їх виключення.
    - - a) Розробити план обробки ризиків, який визначає відповідні дії керівництва, ресурси, відповідальність і пріоритети з управління ризиками інформаційної безпеки.
      - b) Реалізувати план обробки ризиків з метою досягнення встановлених цілей контролю, що включає в себе розгляд питань фінансування, призначення ролей і розподіл відповідальності.
      - c) Реалізувати механізми контролю, для досягнення цілей контролю.
      - d) Визначити, як вимірювати ефективність вибраних механізмів контролю або груп механізмів контролю, і визначити, як ці вимірювання повинні використовуватися для оцінки ефективності механізмів контролю з метою отримання порівнянних і відтворюваних результатів.
      - e) Реалізувати програми навчання і підвищення обізнаності.
      - f) Управляти експлуатацією СУІБ.
      - g) Управляти ресурсами СУІБ.
      - h) Впровадити процедури та інші механізми контролю, придатні для точного виявлення подій безпеки та реагування на інциденти безпеки.
    - - a) Виконувати процедури моніторингу та аналізу, а також застосовувати інші механізми контролю для того, щоб:
        
        1) своєчасно виявляти помилки в результатах обробки даних;
        
        2) своєчасно визначати невдалі і успішні інциденти і порушення безпеки;
        
        3) надати керівництву можливість визначити, чи виконуються належним чином заходи безпеки, делеговані людям або реалізовані засобами інформаційних технологій;
        
        4) допомагати виявленню подій безпеки і, за допомогою цього, запобігати інцидентам безпеки шляхом використання індикаторів;
        
        5) визначати, чи були ефективними дії, що вживаються для усунення порушення безпеки.
      - b) Вживати регулярні перевірки ефективності СУІБ (включаючи виконання вимог політики безпеки і досягнення цілей контролю, а також перевірку механізмів контролю), беручи до уваги результати аудитів безпеки, інциденти, результати вимірювання ефективності, пропозиції та відгуки від усіх зацікавлених сторін.
      - c) Вимірювати ефективність механізмів контролю, щоб перевірити виконання вимог безпеки.
      - d) Переглядати оцінки ризиків через певні інтервали, переглядати залишкові ризики та ідентифіковані рівні допустимих ризиків, беручи до уваги зміни, що відбуваються в:
        
        1) організації;
        
        2) технологіях;
        
        3) бізнес цілях і процесах;
        
        4) ідентифікованих загрозах;
        
        5) зовнішніх подіях, таких як зміни в законодавчій або нормативному середовищі, зміни контрактних зобов'язань і зміни соціального клімату.
      - e) Проводити внутрішній аудит СУІБ через заплановані інтервали часу.
      - f) Виробляти аналіз СУІБ керівництвом на регулярній основі для того, щоб гарантувати, що область дії СУІБ залишається адекватною і поліпшення в процесах СУІБ ідентифіковані.
      - g) Оновлювати плани забезпечення безпеки, щоб прийняти до уваги висновки, отримані в ході моніторингу і аналізу.
      - h) Протоколювати дії і події, які можуть впливати на ефективність або поведінку СУІБ.
    - - a) Впроваджувати ідентифіковані вдосконалення в СУІБ.
      - b) Вживати відповідні коригувальні та запобіжні дії згідно 8.2 та 8.3. Використовувати власний досвід і досвід інших організацій в області забезпечення безпеки.
      - c) Запитувати про заходи, що вживаються і вдосконалення всім зацікавленим сторонам зі ступенем подробиці, що відповідає обставинам, і, в разі необхідності, погоджувати свої дії.
      - d) Забезпечувати досягнення поставлених цілей в ході реалізації удосконалень.
  - - - a) задокументовані положення політики безпеки (див. 4.2.1b)) і мети контролю;
      - b) область дії СУІБ (див. 4.2.1a));
      - c) процедури та механізми контролю, що підтримують СУІБ;
      - d) опис методології оцінки ризиків (див. 4.2.1с));
      - e) звіт про оцінку ризиків (див. 4.2.1c) - 4.2.1g));
      - f) план обробки ризиків (див. 4.2.2b)).
      - g)задокументовані методики, які необхідні організації для забезпечення ефективного планування, виконання та контролю процесів інформаційної безпеки і описують як вимірювати ефективність механізмів контролю (див. 4.2.3с));
      - h) протоколи, які вимагає цим Міжнародним стандартом (див. 4.3.3);
      - i)Декларація про можливість застосування.
    - - a) затвердження документів перед опублікуванням з точки зору їх достовірності та достатності;
      - b) аналізу і коригування документів у разі необхідності, а також повторного затвердження документів;
      - c) забезпечення ідентифікації змін та статусу поточних ревізій документів;
      - d)забезпечення доступності найостанніших версій відповідних документів в місцях їх використання;
      - e) надання гарантій того, що документи залишаються зрозумілими і простоти ідентифікації документів;
      - f) забезпечення доступності документів для тих, кому вони необхідні, а також забезпечення передачі, зберігання і, в кінцевому підсумку, знищення документів згідно з процедурами, відповідним їх класифікації;
      - g)забезпечення ідентифікації документів, що мають зовнішнє походження;
      - h)забезпечення контролю над поширенням документів;
      - i)запобігання ненавмисному використанню застарілих документів;
      - j)застосування відповідної схеми ідентифікації застарілих документів, якщо вони зберігаються з якої-небудь причини.