Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

— определяют требования к СУИБ и сертификации таких систем;

— содержат прямую поддержку, детальное руководство и разъяснение целого процесса создания, внедрения, сопровождения и улучшения СУИБ;

— включают в себя отраслевые руководящие принципы для СУИБ;

— руководят проведением оценки соответствия СУИБ.

1. Сфера применения

Стандарт предосталяет обзор СУИБ, а также условий и определений, широко использующихся в семействе стандартов СУИБ. Стандарт применим ко всем типам и размерам организаций (например, коммерческие предприятия, правительственные учреждения, неприбыльные организации).

2. Термины и определения

Раздел содержит определение 89 терминов, например:

— информационная система — приложения, сервисы, ИТ активы и другие компоненты обработки информации;

— информационная безопасность (ИБ) — сохранение конфиденциальности, целостности и доступности информации;

— доступность — свойство быть доступным и готовым к использованию по запросу уполномоченного лица;

— конфиденциальность — свойство информации быть недоступной или закрытой для неуполномоченных лиц;

— целостность — свойство точности и полноты;

— неотказуемость — способность удостоверять наступление события или действие и их создающих субьектов;

— событие ИБ — выявленное состояние системы (сервиса или сети), указывающее на возможное нарушение политики или мер ИБ, или прежде неизвестная ситуация, которая может касаться безопасности;

— инцидент ИБ — одно или несколько событий ИБ, которые со значительной степенью вероятности приводят к компрометации бизнес-операций и создают угрозы для ИБ;

— управление инцидентами ИБ — процессы обнаружения, оповещения, оценки, реагирования, рассмотрения и изучения инцидентов ИБ;

— система управления — набор взаимосвязанных элементов организации для установления политик, целей и процессов для достижения этих целей;

— мониторинг — определение статуса системы, процесса или действия;

— политика — общее намерение и направление, официально выраженное руководством;

— риск — эффект неопределенности в целях;

— угроза — возможная причина нежелательного инцидента, который может нанести ущерб;

— уязвимость — недостаток актива или меры защиты, которое может быть использовано одной или несколькими угрозами.

3. Системы управления ИБ

Раздел «СУИБ» состоит из следующих основных пунктов:

— описание СУИБ;

— внедрение, контроль, сопровождение и улучшение СУИБ;

— преимущества внедрения стандартов семейства СУИБ.

3.1. Введение

Организации всех типов и размеров:

— собирают, обрабатывают, хранят и передают информацию;

— осознают, что информация и связанные процессы, системы, сети и люди являются важными активами для достижения целей организации;

— сталкиваются с целым рядом рисков, которые могут повлиять на функционирование активов;

— устраняют предполагаемый риск посредством внедрения мер и средств ИБ.

Вся информация, хранимая и обрабатываемая организацией, является объектом для угроз атаки, ошибки, природы (например, пожар или наводнение) и т. п. и объектом уязвимостей, свойственных ее использованию.

Обычно понятие ИБ базируется на информации, которая рассматиривается как имеющий ценность актив и требует соответствующей защиты (например, от потери доступности, конфиденциальности и целостности). Возможность получить своевременный доступ уполномоченных лиц к точной и полной информации является катализатором бизнес-эффективности.

Эффективная защита информационных активов путем определения, создания, сопровождения и улучшения ИБ является необходимым условием для достижения организацией своих целей, а также поддержания и улучшения правового соответствия и репутации. Эти координированные действия, направленные на внедрение надлежащих мер защиты и обработку неприемлемых рисков ИБ, общеизвестны как элементы управления ИБ.

По мере изменения рисков ИБ и эффективности мер защиты в зависимости от меняющихся обстоятельств организации следует:

— контролировать и оценивать эффективность внедренных мер и процедур защиты;

— идентифицировать возникающие риски для обработки;

— выбирать, внедрять и улучшать соответствующие меры защиты надлежащим образом.

Для взаимосвязи и координации действий ИБ каждой организации следует сформировать политику и цели ИБ и эффективно достигать этих целей, используя систему управления.

3.2. Описание СУИБ

Описание СУИБ предусматривает следующие составляющие:

— положения и принципы;

— информация;

— информационная безопасность;

— управление;

— система управления;

— процессный подход;

— важность СУИБ.