ISO 27001 Воловик М С

0 ВСТУП

0.1 Загальні положення Цей стандарт створений для визначення вимог для розроблення, впровадження, функціонування, моніторингу, перегляду, підтримування та постійного вдосконалення системи управління інформаційною безпекою (СУІБ). Прийняття системи управління інформаційною безпекою є стратегічним рішенням для організації. На проектування та впровадження системи управління інформаційною безпекою організації впливають потреби та цілі організації, вимоги щодо безпеки, застосовувані організаційні процеси, розмір і структура організації. Очікують, що всі ці чинники змінюються з часом.

Система управління інформаційною безпекою забезпечує збереження конфіденційності, цілісності й доступності інформації за допомогою запровадження процесу управління ризиками та надає впевненості зацікавленим сторонам, що ризиками належним чином управляють.

Важливо, щоб система управління інформаційною безпекою була частиною та інтегрувалася в процеси організації та загальну структуру управління, щоб інформаційну безпеку розглядали в процесах розроблення, інформаційних системах і заходах безпеки. Очікують, що впровадження системи управління інформаційною безпекою буде масштабованим відповідно до потреб організації

Цей стандарт може бути використано зацікавленими внутрішніми та зовнішніми сторонами для оцінки можливості організації відповідати власним вимогам щодо інформаційної безпеки.

Послідовність, з якою вимоги надано в цьому стандарті, не відображає їх важливості чи послідовності, з якою їх має бути впроваджено. Перелік пунктів понумеровано лише для цілей забезпечення посилань.

ISO/IEC 27000 надає огляд і словник систем управління інформаційною безпекою з посиланням на сімейство стандартів щодо систем управління інформаційною безпекою (охоплюючи ISO/IEC 27003 [2], ISO/IEC 27004 [3] та ISO/IEC 27005 [4]), з пов’язаними термінами та визначеннями

Цей стандарт використовує високорівневу структуру, ідентичні назви підрозділів, ідентичний текст, загальні терміни та основні визначення, які надано в додатку SL ISO/IEC Directives, Part 1, Consolidated ISO Supplement, тому підтримує сумісність з іншими стандартами систем управління, які визначено в додатку SL. Такий загальний підхід, визначений в додатку SL, буде корисним тим організаціям, що обирають застосування одній системі управління, яка забезпечує виконання вимог двох або більше стандартів систем управлін

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт визначає вимоги до проектування, впровадження, підтримки та постійного вдосконалення системи управління інформаційною безпекою з урахуванням обставин організації. Цей стандарт також містить вимоги для оцінювання та оброблення ризиків інформаційної безпеки, пов’язаних з потребами організації. Вимоги, наведені в цьому стандарті, є загальними та можуть бути запроваджені для всіх організацій незалежно від типу, розміру та природи. Вилучення будь-якої з вимог, наведених в розділах 4— 10 неприпустимо в разі, якщо організація прагне відповідати цьому стандарту

2 НОРМАТИВНІ ПОСИЛАННЯ

Наведені нижче нормативні документи в цілому або в частині необхідні для застосування цього стандарту. У разі датованих посилань застосовують лише наведені видання. У разі недатованих посилань потрібно користуватись останнім виданням нормативних документів (разом зі змінами). ISO/IEC 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary

З ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ

У цьому стандарті використовують терміни та визначення, які надано в ІSО/ІЕС 27000.

4 ОБСТАВИНИ ОРГАНІЗАЦІЇ

4.1 Розуміння організації та її обставин Організація повинна визначити внутрішні та зовнішні обставини, які важливі для її цілей та впливають на можливість досягнення наперед запланованого результату(-ів) її системи управління інформаційною безпекою. Примітка. Визначення цих обставин стосується визначення внутрішнього та зовнішнього середовища організації, роз глянутого в розділі 5 3 ІSO 31000:2009 [5].

4.2 Розуміння потреб та очікувань зацікавлених сторін Організація повинна визначити: a) зацікавлені сторони, які важливі для системи управління інформаційною безпекою; та b) вимоги цих зацікавлених сторін, важливих для інформаційної безпеки. Примітка. Вимоги зацікавлених сторін можуть охоплювати законодавчі та регуляторні вимоги, а також контрактні зобо в’язання.

4.3 Визначення сфери застосування системи управління інформаційною безпекою Організація повинна визначити межі та можливість застосування системи управління інформаційною безпекою для встановлення її сфери застосування. Для визначення сфери застосування організація повинна розглянути: a) зовнішні та внутрішні обставини, зазначені в 4.1; b) вимоги, зазначені в 4.2; та c) інтерфейси та залежності між діями, які виконує організація, і тими, що виконують інші організації. Сфера застосування має бути доступною як документована інформація.

4.4 Система управління інформаційною безпекою Організація повинна розробити, впровадити, підтримувати та постійно вдосконалювати систему інформаційної безпеки відповідно до вимог цього стандарту.

5 КЕРІВНИЦТВО

5.1 Керівництво та зобов’язання Вище керівництво повинно продемонструвати дії з управління та зобов’язання по відношенню до систем управління інформаційною безпекою. a) гарантуванням, що політика інформаційної безпеки та цілі інформаційної безпеки розроблені та сумісні зі стратегічними планами організації; b) гарантуванням інтеграції вимог системи інформаційної безпеки в процеси організації; c) гарантуванням, що ресурси, потрібні для системи управління інформаційною безпекою, доступні; d) доведенням до відома організації важливості ефективного управління інформаційною безпекою та відповідності вимогам системи управління інформаційною безпекою; е) гарантуванням, що система управління інформаційною безпекою досягне своїх запланованих результатів; f) призначенням та підтримкою осіб для досягнення ефективності системи управління інфор маційною безпекою; g) сприянням постійному вдосконаленню; та h) підтримкою інших пов’язаних ролей вищого керівництва, щоб продемонструвати їх керівну роль, яку вони застосовують у сферах їх відповідальності.

5.2 Політика Вище керівництво повинно запровадити політику інформаційної безпеки, яка: a) відповідає цілям організації; b) містить цілі інформаційної безпеки (див. 6.2) або зазначає основні положення для визначення цілей інформаційної безпеки; c) містить зобов’язання відповідати застосованим вимогам, пов’язаним з інформаційною безпекою; та d) містить зобов’язання щодо постійного вдосконалення системи управління інформаційною безпекою. 2 Д С Т У ІSО/ІЕС 27001:2015 Політика інформаційної безпеки має: е) бути доступною як документована інформація; ї) бути розповсюдженою в середині організації; і g) бути доступною зацікавленим сторонам, за потреби.

5.3 Організаційні ролі, відповідальності та повноваження Вище керівництво повинно гарантувати, що відповідальності та повноваження для ролей, пов’язаних з інформаційною безпекою, призначені й доведені. Вище керівництво повинно призначити відповідальності та повноваження для: a) гарантування, що система управління інформаційною безпекою відповідає вимогам цього стандарту; і b) звітування вищому керівництву щодо результативності системи управління інформаційною безпекою. Примітка. Вище керівництво може також призначити відповідальності та повноваження для звітування щодо резуль тативності системи управління інформаційною безпекою в межах організаці

6 ПЛАНУВАННЯ

6.1 Дії щодо ризиків та можливостей

6.1.1 Загальні положення Під час планування системи управління інформаційною безпекою організація повинна розглянути питання, описані в 4.1, і вимоги, описані в 4.2, а також визначити ризики та можливості, які потрібно мати на увазі, щоб: a) гарантувати, що система управління інформаційною безпекою може досягти запланованого результату(-ів); b) запобігти або зменшити небажані ефекти; і c) досягти постійного вдосконалення. Організація повинна планувати: d) дії, які стосуються цих ризиків та можливостей, і е) як саме 1) інтегрувати й упровадити ці дії до процесів її системи управління інформаційною безпекою; та 2) оцінювати ефективність цих дій.

6.1.2 Оцінка ризиків інформаційної безпеки Організація повинна визначити та застосовувати процес оцінювання ризиків інформаційної безпеки, який: a) встановлює та підтримує критерії ризиків інформаційної безпеки, які містять: 1) критерії прийняття ризиків; і 2) критерії для виконання оцінки ризиків інформаційної безпеки; b) гарантує, що повторні оцінки ризиків інформаційної безпеки призводять до послідовних, дійових та порівняльних результатів; c) ідентифікує ризики інформаційної безпеки: 1) застосовує процес оцінювання ризиків інформаційної безпеки для ідентифікації ризиків, пов’язаних із втратою конфіденційності, цілісності й доступності в межах сфери застосування системи управління інформаційною безпекою; та 2) ідентифікує власників ризиків; d) виконує аналіз ризиків інформаційної безпеки: 1) оцінює потенційні наслідки, які будуть результатом реалізації ризиків, ідентифікованих в 6.1.2 с) 1); 2) оцінює практичну імовірність появи ризиків, ідентифікованих у 6.1.2 с) 1); та 3) визначає рівні ризиків; е) оцінює ризики інформаційної безпеки. 1) порівнює результати аналізу ризиків з критеріями ризиків, визначеними в 6.1.2 а); та 2) визначає пріоритети проаналізованих ризиків для оброблення ризиків. 3 ДСТУ ІSО/ІЕС 27001:2015 Організація повинна зберігати документовану інформацію стосовно процесу оцінювання ризиків інформаційної безпеки.

6.1.3 Оброблення ризиків інформаційної безпеки Організація повинна визначити та застосовувати процес оброблення ризиків інформаційної безпеки для: a) вибору доречних опцій оброблення ризиків інформаційної безпеки з урахуванням результатів оцінки ризиків; b) визначити всі заходи безпеки, які необхідно впровадити для вибраної(-их) опції(-ій) оброб лення ризиків; Примітка. Організація може розробити необхідні заходи безпеки або ідентифікувати їх з будь-якого джерела. c) порівняти заходи безпеки, визначені в 6.1.3 b) вище, з наведеними в додатку А, і підтвердити, що не було опущено потрібних заходів безпеки; Примітка 1. Додаток А містить всебічний перелік цілей заходів безпеки та заходів безпеки. Користувачів цього стандарту відсилаємо до додатка А для впевненості, що необхідні заходи безпеки не було пропущено. Примітка 2. Цілі заходів безпеки повністю долучено до вибраних заходів безпеки Перелік цілей заходів безпеки та заходи безпеки, надані в додатку А не є вичерпними і можуть бути потрібні додаткові цілі заходів безпеки та заходи безпеки. сі) підготувати Положення щодо застосовності, яке містить: — необхідні заходи безпеки (див. 6.1.3 b) та с)); — обґрунтування для їх застосування; — впроваджені необхідні заходи безпеки чи ні; — обґрунтування для виключень заходів безпеки, наданих у додатку А; е) розробити план оброблення ризиків інформаційної безпеки; та f) отримати від власників ризиків підтвердження плану оброблення ризиків інформаційної безпеки та згоду на залишкові ризики інформаційної безпеки. Організація повинна зберігати задокументовану інформацію щодо процесу оброблення ризиків інформаційної безпеки. Примітка. Процес оцінювання та оброблення ризиків інформаційної безпеки в цьому стандарті відповідає принципам та загальним настановам, зазначеним в ІSО 31000 [5].

6.2 Цілі інформаційної безпеки та планування їх досягнення

Організація повинна встановити цілі інформаційної безпеки для відповідних функцій та рівнів. Цілі інформаційної безпеки мають: a) відповідати політиці інформаційної безпеки; b) бути вимірюваними (якщо доцільно); c) враховувати вимоги до інформаційної безпеки, які застосовують, а також результати оцінювання ризиків та оброблення ризиків; d) бути розповсюдженими; та е) оновлюватися, за потреби. Організація повинна зберігати документовану інформацію щодо цілей інформаційної безпеки. Під час планування дій для досягнення цілей інформаційної безпеки організація повинна визначити: f) що треба зробити; g) які ресурси будуть потрібні; h) хто буде відповідальним; і) коли процес буде завершено; та j ) як результати будуть оцінювати.

7 ПІДТРИМКА

7.1 Ресурси Організація повинна визначити й забезпечувати наявність ресурсів, потрібних для розроблення, впровадження, підтримання й постійного вдосконалення системи управління інформаційною безпекою

7.2 Компетенція Організація повинна: а) визначити рівень необхідної компетентності персоналу, який виконує роботи, що впливають на результативність інформаційної безпеки; 4 ДСТУ ІSО/ІЕС 27001:2015 b) гарантувати, що цей персонал має компетенцію на основі відповідного навчання, тренінгів або досвіду; c) за можливості, забезпечувати виконання певних дій для досягнення необхідної компетенції та оцінювати ефективність таких дій; і d) зберігати відповідну документовану інформацію як доказ компетентності. Примітка. Можливі дії можуть охоплювати, наприклад: проведення тренінгів, наставництво або перепризначення наявних працівників, або наймання на роб

7.3 Обізнаність Персонал, який виконує функції під наглядом організації, повинен бути обізнаним в: a) політиці інформаційної безпеки; b) його вкладі в ефективність системи управління інформаційною безпекою, враховуючи переваги від вдосконалення результативності інформаційної безпеки; та c) розумінні невідповідності вимогам системи управління інформаційною безпекою.

7.4 Комунікація Організація повинна визначити потребу у внутрішніх та зовнішніх комунікаціях з питань системи управління інформаційною безпекою, включаючи: a) з яких питань спілкуватися; b) коли спілкуватися; c) з ким спілкуватися; d) хто повинен спілкуватися; та е) процеси, за допомогою яких комунікація повинна відбуватися.

7.5 Документована інформація

7.5.1 Загальні положення Система управління інформаційною безпекою організації повинна включати: a) документовану інформацію, визначену цим стандартом; і b) документовану інформацію, визначену організацією як необхідну для ефективності системи управління інформаційною безпекою. Примітка. Обсяги документованої інф ормації для системи управління інформаційною безпекою можуть бути різними для різних організацій залежно від: 1) розміру організації й типу її діяльності, процесів, продуктів і послуг; 2) складності процесів та їх взаємодії; і 3) компетенції персоналу

7.5.2 Створення та оновлення У разі створення й оновлення документованої інформації організація повинна гарантувати відповідну: a) ідентифікацію та опис (наприклад, назву, дату, автора чи посилальний номер); b) формат (наприклад, мову, версію програмного забезпечення, графіки) та носії (наприклад, папір, електронні); та c) перегляд і затвердження для відповідності й адекватності.

7.5.3 Контроль документованої інформації Задокументована інформація, визначена системою управління інформаційною безпекою та цим стандартом має контролювати для гарантії того, що: a) вона доступна й придатна для використання, де і коли вона потрібна; і b) її належним чином захищено (наприклад, від втрати конфіденційності, помилкового використання або втрати цілісності). Для контролю документованої інформації організація повинна виконувати такі дії відповідним чином: c) розподіл, доступ, повернення та використання; d) збереження та консервування, зокрема й консервування чіткості/розбірливості; е) контроль змін (наприклад, контроль версій); та f) утримування й розташування. Документована інформація від зовнішнього джерела, визначена організацією як необхідна для планування та функціонування системи управління інформаційною безпекою, має бути ідентифікована відповідних чином і контрольована. Примітка. Доступ означає рішення стосовно дозволу лише на перегляд документованої інф ормації чи дозволу та повноважень на перегляд і зміну документованої інформації тощо.

8 ФУНКЦІОНУВАННЯ

8.1 Робоче планування й контроль Організація повинна планувати, впроваджувати й контролювати процеси, необхідні для вико нання вимог інформаційної безпеки, а також впроваджувати дії, визначені в 6.1. Організація також повинна впроваджувати плани для досягнення цілей інформаційної безпеки, визначених в 6.2. Організація повинна зберігати документовану інформацію в обсязі, необхідному для впевненості, що процес виконується як було заплановано. Організація повинна контролювати заплановані зміни та переглядати наслідки непередбачених змін, застосовуючи дії для усунення будь-яких шкідливих дій, за потреби. Організація повинна гарантувати, що процеси, віддані на аутсорсинг, визначені й контрольовані.

8.2 Оцінювання ризиків інформаційної безпеки Організація повинна виконувати оцінювання ризиків через заплановані інтервали або коли запропоновані чи відбуваються суттєві зміни з урахуванням критеріїв, визначених в 6.1.2 а). Організація повинна зберігати задокументовану інформацію стосовно результатів оцінювання ризиків інформаційної безпеки

8.3 Оброблення ризиків інформаційної безпеки Організація повинна впровадити план оброблення ризиків інформаційної безпеки. Організація повинна зберігати задокументовану інформацію стосовно результатів оброблення ризиків інформаційної безпеки.

9 ОЦІНЮВАННЯ РЕЗУЛЬТАТИВНОСТІ

9.1 Моніторинг, вимірювання, аналіз та оцінювання Організація повинна оцінювати результативність інформаційної безпеки та ефективність системи управління інформаційною безпекою. Організація повинна визначити: a) що саме потрібно моніторити й вимірювати, включаючи процеси інформаційної безпеки та заходи безпеки; b) методи моніторингу, вимірювань, аналізу та оцінювання, які може бути застосовано для гарантії обґрунтованих результатів; П рим ітка. Обрані методи, які надають порівняні та відтворювані результати, можна розглядати як обґрунтовані. c) коли моніторинг та вимірювання потрібно виконувати; d) хто повинен виконувати моніторинг та вимірювання; е) коли результати моніторингу та вимірювань потрібно аналізувати й оцінювати; та f) хто повинен аналізувати й оцінювати ці результати. Організація повинна зберігати відповідну задокументовану інформацію як доказ результатів моніторингу та вимірювань.

9.2 Внутрішній аудит Організація повинна проводити внутрішні аудити через заплановані інтервали часу для забезпечення того, що інформація чи система управління інформаційною безпекою: a) відповідають 1) власним вимогам організації для її системи управління інформаційною безпекою; та 2) вимогам цього стандарту; b) ефективно впроваджена та підтримується. Організація повинна: c) планувати, розробляти, впроваджувати та підтримувати програму(-и) аудиту, зокрема й частоту, методи, відповідальності, заплановані вимоги та звітність. Програма(-и) аудиту повинна(-і) враховувати аналіз важливості процесів, що їх розглядають, і результати попередніх аудитів; d) визначити критерії аудиту та сферу застосування для кожного аудиту; е) призначити аудиторів і виконати аудити, які гарантують об'єктивність і неупередженість процесу аудиту;

9.3 Перегляд з боку керівництва Вище керівництво повинно переглядати систему управління інформаційною безпекою організації через заплановані проміжки часу для гарантування її постійної придатності, адекватності й ефективності. Перегляд з боку керівництва повинен стосуватися розгляду: a) статусу дії, що є наслідком попереднього перегляду керівництва; b) зміни в зовнішніх та внутрішніх обставинах, які мають відношення до системи управління інформаційною безпекою; c) зворотного впливу на результативність інформаційної безпеки, охоплюючи тенденції в: 1) невідповідностях та коригувальних діях; 2) результатах моніторингу та вимірювань; 3) результатах аудиту; та 4) досягненнях цілей інформаційної безпеки; сі) зворотного зв’язку від зацікавлених сторін; е) результатів оцінювання ризиків і статусу плану оброблення ризиків; та f) можливостей для постійного вдосконалення. Вихідні дані перегляду з боку керівництва повинні включати рішення стосовно можливостей постійного вдосконалення та будь-яких потреб внесення змін до системи управління інформаційною безпекою. Організація повинна зберігати документовану інформацію як доказ результатів переглядів з боку керівництва.

10 ВДОСКОНАЛЕННЯ

10.1 Невідповідності й корегувальні дії У разі виявлення невідповідностей організація повинна: a) реагувати на невідповідності і за можливості: 1) виконувати дії для контролю та їх корекції; та 2) вживати заходів щодо наслідків; b) оцінювати потреби в діях для усунення причин невідповідностей для запобігання їх повторення чи виникнення будь-де за допомогою: 1) перегляду невідповідностей; 2) визначення причин невідповідностей; і 3) визначення, чи існують подібні невідповідності або потенційно можуть з’являтися; c) впровадити певні дії, за потреби; d) переглянути ефективність виконаних коригувальних дій; і е) внести зміни до системи управління інформаційною безпекою, за потреби. Коригувальні дії мають бути адекватними до наслідків виявлених невідповідностей. Організація повинна зберігати документовану інформацію як доказ: f ) сутності невідповідностей та будь-яких послідовних дій, що були виконані, та g) результати будь-яких коригувальних дій

10.2 Постійне вдосконалення Організація повинна постійно вдосконалювати придатність, адекватність та ефективність системи управління інформаційною безпекою, гарантування її постійної придатності, адекватності та ефективності.