Please enable JavaScript.
Coggle requires JavaScript to display documents.
ДСТУ ISO 27001 Самусь Владислав КБ-01-2 - Coggle Diagram
ДСТУ ISO 27001
Самусь Владислав
КБ-01-2
Загальні положення:
Цей стандарт призначений для встановлення вимог для системи управління інформаційною безпекою (СУІБ) та враховує вплив потреб, цілей, вимог щодо безпеки та організаційних процесів на її проектування та впровадження, при цьому враховується їх зміна з часом.
Система управления информационной безопасностью обеспечивает сохранение конфиденциальности, целостности и доступности информации через процесс управления рисками и дает уверенность заинтересованным сторонам в правильном управлении рисками.
Система управління інформаційною безпекою має бути інтегрованою в організаційні процеси та заходи безпеки, відповідно до потреб організації.
Цей стандарт може бути використано зацікавленими внутрішніми та зовнішніми сторонами для оцінки можливості організації відповідати власним вимогам щодо інформаційної безпеки.
ISO/IEC 27000 надає огляд і словник систем управління інф ормаційною безпекою з посиланням на сімейство стандартів щодо систем управління інформаційною безпекою
СФЕРА ЗАСТОСУВАННЯ:
Цей стандарт встановлює загальні вимоги до систем управління інформаційною безпекою для всіх типів організацій та вимагає виконання всіх наведених вимог в розділах 4-10.
НОРМАТИВНІ ПОСИЛАННЯ:
ISO/IEC 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary.
ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ:
У цьому стандарті використовують терміни та визначення, які надано в ІSО/ІЕС 27000.
ОБСТАВИНИ ОРГАНІЗАЦІЇ:
Розуміння організації та її обставин
Розуміння потреб та очікувань зацікавлених сторін
Визначення сфери застосування системи управління інформаційною безпекою
Система управління інформаційною безпекою
1.1. Організація повинна визначити внутрішні та зовнішні обставини, які важливі для її цілей та впливають на можливість досягнення наперед запланованого результату(-ів) її системи управлін ня інформаційною безпекою.
2.1 зацікавлені сторони, які важливі для системи управління інформаційною безпекою;
2.2 вимоги цих зацікавлених сторін, важливих для інформаційної безпеки.
3.1 зовнішні та внутрішні обставини, зазначені в "1"
3.2 вимоги, зазначені в "2";
3.3 інтерфейси та залежності між діями, які виконує організація, і тими, що виконують інші організації.
4.1 Організація повинна розробити, впровадити, підтримувати та постійно вдосконалювати сис
тему інформаційної безпеки відповідно до вимог цього стандарту.
КЕРІВНИЦТВО:
Керівництво та зобов’язання
Політика
3.Організаційні ролі, відповідальності та повноваженн
1.1 гарантуванням, що політика інформаційної безпеки та цілі інформаційної безпеки розроб лені та сумісні зі стратегічними планами організації;
1.2 гарантуванням інтеграції вимог системи інформаційної безпеки в процеси організації;
1.3 гарантуванням, що ресурси, потрібні для системи управління інформаційною безпекою, доступні;
1.4 доведенням до відома організації важливості ефективного управління інформаційною без пекою та відповідності вимогам системи управління інформаційною безпекою;
1.5 гарантуванням, що система управління інформаційною безпекою досягне своїх запланова
них результатів;
1.6 призначенням та підтримкою осіб для досягнення ефективності системи управління інфор
маційною безпекою
1.7 сприянням постійному вдосконаленню;
2.1 відповідає цілям організації;
2.2 містить цілі інформаційної безпеки (див. 6.2) або зазначає основні положення для визначення цілей інформаційної безпеки;
2.3 містить зобов’язання відповідати застосованим вимогам, пов’язаним з інформаційною без
пекою;
2.4 бути доступною як документована інформація;
2.5 бути розповсюдженою в середині організації;
3.1 гарантування, що система управління інформаційною безпекою відповідає вимогам цього стандарту;
3.2 звітування вищому керівництву щодо результативності системи управління інформаційною безпекою.
ПЛАНУВАННЯ:
Загальні положення
Оцінка ризиків інф ормаційної безпеки
Оброблення ризиків інформаційної безпек
1.1 гарантувати, що система управління інформаційною безпекою може досягти заплановано го результату(-ів);
1.2 запобігти або зменшити небажані ефекти
1.3 досягти постійного вдосконалення
1.4 Організація повинна планувати: дії, які стосуються цих ризиків та можливостей
2.1 встановлює та підтримує критерії ризиків інформаційної безпеки, які містять:
2.2. гарантує, що повторні оцінки ризиків інформаційної безпеки призводять до послідовних, дійових та порівняльних результатів;
2.3 дентифікує ризики інформаційної безпеки:
2.4 виконує аналіз ризиків інформаційної безпеки
2.5 оцінює ризики інформаційної безпеки.
2.1.1 критерії прийняття ризиків;
2.1.2 критерії для виконання оцінки ризиків інформаційної безпеки;
2.3.1 Система управления информационной безопасностью оценивает риски потери конфиденциальности, целостности и доступности информации в своей сфере применения.
2.3.2 ідентифікує власників ризиків;
2.4.1 оцінює потенційні наслідки, які будуть результатом реалізації ризиків, ідентифікованих
в 6.1.2
2.4.2 оцінює практичну імовірність появи ризиків, ідентифікованих у 6.1.2
2.4.3 визначає рівні ризиків;
3.1 вибору доречних опцій оброблення ризиків інформаційної безпеки з урахуванням результатів оцінки ризиків
3.2 визначити всі заходи безпеки, які необхідно впровадити для вибраної(-их) опції(-ій) оброблення ризиків;
3.3 порівняти заходи безпеки, визначені в 6.1.3 b) вище, з наведеними в додатку А, і підтвердити, що не було опущено потрібних заходів безпеки;
3.4 розробити план оброблення ризиків інформаційної безпеки
ПІДТРИМКА:
Ресурси
Компетенція
Обізнаність
Комунікація
Документована інформація
Організація повинна визначити й забезпечувати наявність ресурсів, потрібних для розроблення, впровадження, підтримання й постійного вдосконалення системи управління інформаційною безпекою
2.1 "Визначити рівень компетентності персоналу, впливаючого на інформаційну безпеку, є необхідним."
2.2 гарантувати, що цей персонал має компетенцію на основі відповідного навчання, тренінгів або досвіду;
2.3 за можливості, забезпечувати виконання певних дій для досягнення необхідної компетенції та оцінювати ефективність таких дій
2.4 зберігати відповідну документовану інформацію як доказ компетентності
3.1 політиці інформаційної безпеки;
3.2 його вкладі в ефективність системи управління інформаційною безпекою, враховуючи переваги від вдосконалення результативності інформаційної безпеки;
3.3 розумінні невідповідності вимогам системи управління інформаційною безпекою
4.1 з яких питань спілкуватися;
4.2 коли спілкуватися;
4.3. з ким спілкуватися;
4.4 хто повинен спілкуватися;
4.5 процеси, за допомогою яких комунікація повинна відбуватися.
5.1 Загальні положення
5.2 Створення та оновлення
5.3 Контроль документ ованої інформації
5.4
ВДОСКОНАЛЕННЯ:
Невідповідності й корегувальні дії
Постійне вдосконалення
2.1 Організація повинна постійно вдосконалювати систему управління інформаційною безпекою для забезпечення її надійності та ефективності.
1.1 реагувати на невідповідності і за можливості:
1.2 Оцінювати потреби для усунення невідповідностей та запобігання їх повторенню за допомогою дій.
1.3 впровадити певні дії, за потреби
1.4 переглянути ефективність виконаних коригувальних дій;
1.5 сутності невідповідностей та будь-яких послідовних дій, що були виконані, та результати будь-яких коригувальних дій.
1.1.1 виконувати дії для контролю та їх корекції;
1.1.2 вживати заходів щодо наслідків;
1.2.1. перегляду невідповідностей
1.2.2. визначення причин невідповідностей
1.2.3. визначення, чи існують подібні невідповідності або потенційно можуть з’являтися;