Читаем Обеспечение информационной безопасности бизнеса полностью

Стандарты вида Б (стандарт рекомендаций для системы менеджмента) предназначены для оказания содействия организации в реализации и /или улучшении системы менеджмента путем предоставления дополнительного руководства по элементам стандарта требований системы менеджмента. Примеры таких стандартов:

— руководство по использованию стандартов требований системы менеджмента;

— руководство по установлению системы менеджмента;

— руководство по совершенствованию/улучшению системы менеджмента;

— характерные для сектора стандарты рекомендаций для системы менеджмента.

Стандарты вида В (стандарт, связанный с системой менеджмента) предназначены для обеспечения дополнительной информации по определенным компонентам системы менеджмента или руководствам по взаимосвязанным поддерживающим методам и средствам, являющимся полезным и востребованным дополнением к положениям стандартов на системы менеджмента. Примеры таких стандартов:

— документы по терминологии системы менеджмента;

— стандарты руководств по аудиту, документированию, обучению, мониторингу, измерениям и оцениванию функционирования;

— стандарты по маркировке и оценке жизненного цикла.

Комплекс стандартов, имеющих с своем составе стандарты систем менеджмента типов А, Б и В, рекомендуется рассматривать как семейство стандартов менеджмента. Например, для систем менеджмента информационной безопасности к 2010 г. уже фактически сформировалось семейство стандартов СМИБ, отвечающее требованиям Руководства ISO 72 (см. рис. 30).

Совместимость стандартов требований системы менеджмента или стандартов рекомендаций для системы менеджмента и простоту использования их предполагается улучшить посредством увеличения общности между стандартами, разрабатываемыми в соответствии с положениями Руководства ISO 72. Общность стандартов основывается на следующих общих составляющих стандартов:

— модель системы менеджмента;

— структура стандарта;

— система общих элементов вместе с их формулировкой;

— используемая терминологии.

Модель и структура. Общая структура стандарта требований системы менеджмента или рекомендаций для системы менеджмента основывается на признанной модели (модели Деминга) и логике системы требований (спецификации) к системе менеджмента в соответствии с данной моделью. В Руководстве ISO 72 отмечается, что в настоящее время в международных стандартах менеджмента используются две признанные модели: модель Деминга (PDCA) и процессная модель. Однако это не означает, что существующие модели для стандартов систем менеджмента будут с течением времени развиваться, и могут появиться новые модели.

Общие элементы. В Руководстве ISO 72 отмечается, что опыт работы со стандартами систем менеджмента, созданными ИСО, показывает, что практика работ выводит на ряд общих областей систем менеджмента. Такими общими областями предлагается считать:

— политику системы менеджмента;

— планирование;

— реализацию и введение в действие;

— оценку функционирования;

— совершенствование;

— проверки, проводимые руководством.

Боле подробно данные общие элементы представлены в таблице 1.

Общие элементы стандартов систем менеджмента ИСО

Таблица 1

Продолжение табл. 1

Окончание табл. 1

Таблица 1 показывает общие элементы стандартов требований системы менеджмента и стандартов рекомендаций для системы менеджмента ИСО, перечисленные в соответствии с этой структурой. Разработчиками стандартов системы менеджмента рекомендуется соблюдение представленной в Руководстве ISO 72 системы элементов для облегчения использования стандартов, а также совместной реализации стандартов систем менеджмента. При этом ими рекомендуется также использование подобных (схожих) формулировок при составлении текстов для общих элементов стандартных требований к системам менеджмента.

Стандартной СМИБ присущи все общие для систем менеджмента элементы. При этом опыт использования стандартизированных требований к СМИБ показал, что следующие факторы часто оказываются решающими для успешной реализации обеспечения информационной безопасности в организации:

— политика информационной безопасности, цели и мероприятия, отражающие цели бизнеса организации;

— подход и структура для реализации, поддержки мониторинга и совершенствования информационной безопасности, согласующиеся с культурой организации;

— явная поддержка и приверженность руководства всех уровней;

— хорошее понимание требований ИБ, оценки риска и менеджмента риска;

— эффективные мероприятия по осведомленности по вопросам ИБ для достижения должного осознания;

— распространение руководств (инструкций) по политике и стандартам информационной безопасности среди всех руководителей, служащих и других сторон;

— обеспечение финансирования мероприятий менеджмента ИБ;

— обеспечение соответствующей информированности, обучения и образования;

— установление эффективного процесса менеджмента инцидентов информационной безопасности;