ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
НАЦИОНАЛЬНЫЙ
СТАНДАРТ
РОССИЙСКОЙ
ФЕДЕРАЦИИ
ГОСТ Р исо/мэк
27002-
2012
2012
Информационная технологии МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ Свод норм и правил менеджмента информационной безопасности
ISO/IEC 27002:2005 Information technology – Security techniques -Code of practice for information security management (IDT)
Издание официальное
Москва
Стандартинформ
2014
ГОСТ Р ИСО/МЭК 27002-2012
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации – ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»
Сведения о стандарте
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл») и обществом с ограниченной ответственностью «Информационный аналитический вычислительный центр» (ООО «ИАВЦ») на основе собственного аутентичного перевода стандарта на русский язык международного стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 «Информационные технологии»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от 24 сентября 2012 г. № 423-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27002:2005 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности» (ISO/IEC 27002:2005 «Information technology – Security techniques -Code of practice for information security management»).
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.5).
5 ВЗАМЕН ГОСТ Р ИСО/МЭК 17799-2005
ГОСТ Р ИСО/МЭК 27002 2012
c) осведомленность, обучение и тренинг1) в области информационной безопасности (см. 8.2.2);
d) корректная обработка в прикладных программах (см. 12.2);
e) менеджмент технических уязвимостей (см. 12.6);
f) менеджмент непрерывности бизнеса (см. раздел 14);
д) менеджмент инцидентов информационной безопасности и необходимое совершенствование (см. 13.2).
Перечисленные меры и средства контроля и управления применимы для большинства организаций и сред.
Следует отметить, что хотя все меры и средства контроля и управления, приведенные в настоящем документе, являются важными, уместность какой-либо меры и средства контроля и управления должна определяться в свете конкретных рисков, с которыми сталкивается организация. Следовательно, несмотря на то, что вышеописанный подход рассматривается как отправная точка информационной безопасности, он не заменяет выбор мер и средств контроля и управления, основанный на оценке рисков.
0.7 Важнейшие факторы успеха
Практика показывает, что для успешного внедрения информационной безопасности в организации решающими факторами зачастую являются следующие:
a) соответствие целей, политик и процедур информационной безопасности целям бизнеса;
b) подход и основы для внедрения, поддержки, мониторинга и улучшения информационной безопасности, которые согласуются с корпоративной культурой;
c) видимая поддержка и обязательства со стороны руководства всех уровней;
d) четкое понимание требований информационной безопасности, оценки рисков и менеджмента рисков;
е) эффективный маркетинг информационной безопасности среди всех руководителей, сотрудников и других сторон для достижения осведомленности;
“Тренинг – обучение на практических занятиях или в приближенных к реальным условиях.
XI
f) распространение руководящих указаний политики информационной безопасности и соответствующих стандартов среди всех руководителей, сотрудников и других сторон;
д) обеспечение финансирования деятельностей по менеджменту информационной безопасности;
h) обеспечение соответствующей осведомленности, обучения и тренинга;
i) создание эффективного процесса менеджмента инцидентов информационной безопасности;
j) внедрение системы измерений1, используемых для оценивания эффективности менеджмента информационной безопасности и предложений по улучшению.
0.8 Разработка собственных рекомендаций
Настоящий свод норм и правил может расцениваться как отправная точка для разработки рекомендаций, специфичных для организации. Не все рекомендации, меры и средства контроля и управления, приведенные в настоящем своде норм и правил, могут быть применимы. Более того, могут потребоваться дополнительные меры и средства контроля и управления и рекомендации, не включенные в данный документ. В документы, содержащие дополнительные рекомендации, а также меры и средства контроля и управления, в соответствующих случаях полезно включать перекрестные ссылки на положения настоящего стандарта для облегчения проверки соответствия, проводимой аудиторами и партнерами по бизнесу.
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная технология
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Свод норм и правил менеджмента информационной безопасности
Information technology. Security techniques. Code of practice for information security management
Дата введения-2014-01-01
1 Область применения
Настоящий национальный стандарт предлагает рекомендации и основные принципы введения, реализации, поддержки и улучшения менеджмента информационной безопасности в организации. Цели, изложенные в данном национальном стандарте, обеспечивают полное руководство по общепринятым целям менеджмента
информационной безопасности.
Реализация целей управления, а также мер и средств контроля и управления настоящего национального стандарта направлена на удовлетворение требований, определенных оценкой рисков. Настоящий национальный стандарт может служить практическим руководством по разработке стандартов безопасности организации, для эффективной практики менеджмента безопасности организаций и способствует укреплению доверия в отношениях между организациями.
2 Термины и определения
В настоящем документе используются следующие термины с соответствующими определениями.
2.1 актив (asset): Все, что имеет ценность для организации.
(ИСО/МЭК 13335-1:2004]
2.2 мера и средство контроля и управления (control): Средство менеджмента риска, включающее в себя политики, процедуры, рекомендации, инструкции или организационные структуры, которые могут быть административного, технического, управленческого или правового характера.
Примечание – Термин «мера и средство контроля и управления» также используется как синоним терминов «защитная мера» (safeguard) или «контрмера» (countermeasure).
2.3 рекомендация (guideline): Описание, поясняющее действия и способы их выполнения, необходимые для достижения целей, изложенных в политике.
(ИСО/МЭК 13335-1:2004]
2.4 средства обработки информации (information processing facilities): Любая система обработки информации, услуга или инфраструктура, или их фактическое месторасположение.
2.5 информационная безопасность (information security): Защита
конфиденциальности, целостности и доступности информации: кроме того, сюда могут быть отнесены и другие свойства, например аутентичность, подотчетность, неотказуемость и надежность.
2.6 событие информационной безопасности (information security event): Какое-либо событие информационной безопасности, идентифицируемое появлением определенного состояния системы, сервиса или сети, указывающее на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.
(ИСО/МЭК ТО 18044:2004]
2.9 риск (risk): Сочетание вероятности события и его последствий.
(ИСО/МЭК Руководство 73:2002)
2.10 анализ риска (risk analysis): Систематическое использование информации для определения источников и количественной оценки риска.
[ИСО/МЭК Руководство 73:2002]
2.11 оценка риска (risk assessment): Общий процесс анализа риска и оценивания
риска.
[ИСО/МЭК Руководство 73:2002]
2.12 оценивание риска (risk evaluation): Процесс сравнения количественно оцененного риска с заданными критериями риска для определения значимости риска.
[ИСО/МЭК Руководство 73:2002]
2.13 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в отношении риска.
Примечание – Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и коммуникацию риска.
[ИСО/МЭК Руководство 73:2002]
2.14 обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации риска.
[ИСО/МЭК Руководство 73:2002]
2.15 третья сторона (third party): Лица или организация, которые признаны независимыми от участвующих сторон, по отношению к рассматриваемой проблеме.
[ИСО/МЭК Руководство 2:1996]
2.16 угроза (threat): Потенциальная причина нежелательного инцидента,
результатом которого может быть нанесение ущерба системе или организации.
[ИСО/МЭК 13335-1:2004]
3 Структура настоящего стандарта
Настоящий стандарт состоит из 11-ти разделов, посвященных мерам и средствам контроля и управления безопасности, которые все вместе содержат, в целом, 39 основных категорий безопасности, и одного вводного раздела, знакомящего с оценкой и обработкой рисков.
3.1 Разделы
В каждом разделе содержится несколько основных категорий безопасности. Этими одиннадцатью разделами (сопровождаемыми количеством основных категорий, включенных в каждый раздел) являются:
a) политика безопасности (1);
b) организационные аспекты информационной безопасности (2);
c) менеджмент активов (2);
d) безопасность, связанная с персоналом (3);
e) физическая защита и защита от воздействия окружающей среды (2);
f) менеджмент коммуникаций и работ (10);
д) управление доступом (7);
h) приобретение, разработка и эксплуатация информационных систем (6);
i) менеджмент инцидентов информационной безопасности (2);
j) менеджмент непрерывности бизнеса (1);
k) соответствие (3).
Примечание – Порядок расположения разделов в настоящем стандарте не подразумевает степень их важности. В зависимости от обстоятельств, все разделы могут быть важными, следовательно, каждой организации, использующей стандарт, следует определить применимые разделы, их важность, а также определить их применимость для отдельных процессов бизнеса. Все перечни, приведенные в настоящем стандарте, составлены без учета приоритетности, кроме случаев, оговоренных особо.
3.2 Основные категории безопасности
Каждая основная категория безопасности включает в себя:
4
ГОСТ Р ИСО/МЭК 27002-2012
a) цель управления, в которой формулируется, что должно быть достигнуто;
b) одну или более мер и средств контроля и управления, с помощью которых могут быть достигнуты цели управления.
Описания меры и средства контроля и управления структурируются следующим образом:
Мера и средство контроля и управления
Определяется формулировка специфической меры и средства контроля и управления для достижения цели управления.
Рекомендация по реализации
Предоставляется более детализированная информация для поддержки реализации меры и средства контроля и управления и достижения цели управления. Некоторые из этих рекомендаций могут быть неприемлемы для всех случаев, поэтому другие способы реализации меры и средства контроля и управления могут быть более уместными.
Дополнительная информация
Предоставляется дополнительная информация, которая может быть рассмотрена, например правовые вопросы и ссылки на другие стандарты.
4 Оценка и обработка рисков
4.1 Оценка рисков безопасности
Оценка рисков должна идентифицировать риски, определить количество и приоритеты рисков на основе критериев для принятия риска и целей, значимых для организации. Результаты должны служить ориентиром и определять соответствующие действия руководства и приоритеты менеджмента рисков информационной безопасности, а также реализацию мер и средств контроля и управления, выбранных для защиты от этих рисков. Может возникнуть необходимость в неоднократном выполнении процесса оценки рисков и выбора мер и средств контроля и управления для того, чтобы охватить различные подразделения организации или отдельные информационные системы.
Оценка рисков должна включать систематический подход, заключающийся в количественной оценке рисков (анализ риска), и процесс сравнения количественно оцененных рисков с данными критериями рисков для определения значимости рисков (оценивание рисков).
5
Оценки рисков следует выполнять периодически, чтобы учитывать изменения в требованиях безопасности и в ситуации, связанной с риском, например в отношении активов, угроз, уязвимостей, воздействий, оценивания рисков, а также при значительных изменениях. Такие оценки рисков следует проводить систематически, способом, дающим сравнимые и воспроизводимые результаты.
Чтобы быть эффективной, оценка рисков информационной безопасности должна иметь четко определенную область применения и, при необходимости, взаимосвязь с оценками рисков в других областях.
Областью применения оценки рисков может быть целая организация, ее подразделения, отдельная информационная система, определенные компоненты системы, или услуги, где это возможно, реально и полезно. Примеры методик оценки рисков рассматриваются в ИСО/МЭК ТО 13335-3 [4].
4.2 Обработка рисков безопасности
Прежде чем рассмотреть обработку некоего риска, организация должна выбрать критерии определения приемлемости или неприемлемости рисков. Риски могут быть приняты, если, например они оцениваются как низкие, или когда стоимость обработки невыгодна для организации. Такие решения необходимо регистрировать.
В отношении каждого из выявленных рисков, вслед за оценкой рисков, необходимо принимать решение по его обработке. Возможные варианты обработки рисков включают в себя:
a) применение соответствующих мер и средств контроля и управления для снижения рисков;
b) сознательное и объективное принятие рисков в том случае, если они, несомненно, удовлетворяют политике и критериям организации в отношении принятия рисков;
c) предотвращение рисков путем недопущения действий, которые могут стать причиной возникновения рисков;
d) перенос взаимодействующих рисков путем разделения их с другими сторонами, например страховщиками или поставщиками.
6
ГОСТ Р ИСО/МЭК 27002-2012
Что касается тех рисков, в отношении которых было принято решение об их обработке с применением соответствующих мер и средств контроля и управления, эти меры и средства контроля и управления следует выбирать и реализовывать таким образом, чтобы они соответствовали требованиям, идентифицированным оценкой рисков. Меры и средства контроля и управления должны обеспечивать уверенность в том, что эти риски снижены до приемлемого уровня, принимая во внимание:
a) требования и ограничения национальных и международных законов и норм;
b) цели организации;
c) эксплуатационные требования и ограничения;
d) стоимость реализации и эксплуатации в отношении снижаемых рисков должна оставаться пропорциональной требованиям и ограничениям организации;
e) необходимость сохранения баланса между инвестициями в реализацию и эксплуатацию мер и средств контроля и управления и ущербом, который может иметь место в результате недостаточной безопасности.
Меры и средства контроля и управления могут быть выбраны из настоящего стандарта или других совокупностей мер и средств контроля и управления, могут быть созданы новые меры и средства контроля и управления с целью удовлетворения специфических потребностей организации. Необходимо признать, что некоторые меры и средства контроля и управления не могут быть применены для каждой информационной системы или среды, и не могут быть применены для всех организаций. В качестве примера, в 10.1.3 описывается, как обязанности могут быть разделены, чтобы предотвратить мошенничество и ошибки. В небольших организациях может отсутствовать возможность разделения всех обязанностей, и могут потребоваться другие способы достижения той же самой цели управления. В качестве другого примера в 10.10 описывается способ осуществления мониторинга работы системы и сбора доказательств. Описанные меры и средства контроля и управления, например регистрация событий, могут вступать в противоречие с действующим законодательством, например по обеспечению конфиденциальности в отношении клиентов или на рабочем месте.
Меры и средства контроля и управления информационной безопасности должны рассматриваться на этапе спецификации и разработки системных и проектных требований. Отказ от этого может приводить к дополнительным расходам и менее эффективным решениям, а в худшем случае, к неспособности достижения адекватной безопасности.
Следует иметь в виду, что никакая совокупность мер и средств контроля и управления не может достигать полной безопасности, и что необходимо реализовывать дополнительные действия по менеджменту, чтобы осуществлять мониторинг, оценку и повышение действенности и эффективности мер и средств контроля и управления безопасности для поддержки целей организации.
5 Политика безопасности
5.1 Политика информационной безопасности
Цель: Обеспечить управление и поддержку высшим руководством информационной безопасности в соответствии с требованиями бизнеса и соответствующими законами и нормами.
Высшее руководство должно установить четкое направление политики в соответствии с целями бизнеса и демонстрировать поддержку и обязательства в отношении обеспечения информационной безопасности посредством разработки и поддержки политики информационной безопасности в рамках организации.
При необходимости следует предусмотреть наличие контактного лица, занимающегося вопросами информационной безопасности внутри организации, к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специалистами по безопасности или группами специалистов, включая соответствующие органы, чтобы находиться в курсе отраслевых тенденций, осуществлять мониторинг стандартов и методов оценки, и обеспечивать адекватные точки контакта при обработке инцидентов информационной безопасности. Следует поощрять многопрофильный подход к обеспечению информационной безопасности.
5.1.1 Документирование политики информационной безопасности
Мера и средство контроля и управления
Политика информационной безопасности должна быть утверждена руководством, издана и доведена до сведения всех сотрудников организации и соответствующих сторонних организаций.
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок – в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования – на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
© Стандартинформ, 2013
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии
ГОСТ Р ИСО/МЭК 27002-2012
Рекомендация по реализации
Политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к менеджменту информационной безопасности, Документ, в котором излагается политика, должен содержать положения относительно:
a) определения информационной безопасности, ее общих целей и сферы действия, а также упоминания значения безопасности как инструмента, обеспечивающего возможность совместного использования информации (см. «Введение»);
b) изложения намерений руководства, поддерживающих цели и принципы информационной безопасности в соответствии со стратегией и целями бизнеса;
c) подхода к установлению мер и средств контроля и управления и целей их применения, включая структуру оценки риска и менеджмента риска;
d) краткого разъяснения наиболее существенных для организации политик безопасности, принципов, стандартов и требований соответствия, например:
1) соответствие законодательным требованиям и договорным обязательствам;
2) требования по обеспечению осведомленности, обучения и тренинга в отношении безопасности;
3) менеджмент непрерывности бизнеса;
4) ответственность за нарушения политики информационной безопасности;
e) определения общих и конкретных обязанностей сотрудников в рамках менеджмента информационной безопасности, включая информирование об инцидентах безопасности;
f) ссылок на документы, дополняющие политику информационной безопасности, например более детальные политики и процедуры безопасности для определенных информационных систем, а также правила безопасности, которым должны следовать пользователи.
Данная политика информационной безопасности должна быть доведена до сведения пользователей в рамках всей организации в актуальной, доступной и понятной форме.
9
Содержание
1 Область применения…………………………………………………………………………
2 Термины и определения…………………………………………………………………..
3 Структура настоящего стандарта……………………………………………………….
3.1 Разделы…………………………………………………………………………………….
3.2 Основные категории безопасности………………………………………………
4 Оценка и обработка рисков……………………………………………………………….
4.1 Оценка рисков безопасности……………………………………………………….
4.2 Обработка рисков безопасности………………………………………………….
5 Политика безопасности……………………………………………………………………..
5.1 Политика информационной безопасности……………………………………
6 Организационные аспекты информационной безопасности………………..
6.1 Задачи, решаемые внутри организации………………………………………
6.2 Аспекты взаимодействия со сторонними организациями………………
7 Менеджмент активов…………………………………………………………………………
7.1 Ответственность за активы…………………………………………………………
7.2 Классификация информации………………………………………………………
8 Безопасность, связанная с персоналом……………………………………………..
8.1 Перед трудоустройством…………………………………………………………….
8.2 В течение занятости……………………………………………………………………
8.3 Прекращение или смена занятости………………………… ..
9 Физическая безопасность и защита от воздействий окружающей среды
9.1 Зоны безопасности…………………………………………………………………….
9.2 Безопасность оборудования……………………………………………………….
10 Менеджмент коммуникаций и работ…………………………………………………
10.1 Эксплуатационные процедуры и обязанности…………………………….
10.2 Менеджмент оказания услуг третьей стороной…………………………..
10.3 Планирование и приемка систем……………………………………………….
ГОСТ Р ИСО/МЭК 27002 2012
10.4 Защита от вредоносной и мобильной программы………………………………………..
10.5 Резервирование………………………………………………………………………………………..
10.6 Менеджмент безопасности сети…………………………………………………………………
10.7 Обращение с носителями информации………………………………………………………
10.8 Обмен информацией…………………………………………………………………………………
10.9 Услуги электронной торговли…………………………………………………………………….
10.10 Мониторинг……………………………………………………………………………………………..
11 Управление доступом………………………………………………………………………………………
11.1 Требование бизнеса по управлению доступом……………………………………………
11.2 Менеджмент доступа пользователей………………………………………………………….
11.3 Обязанности пользователя………………………………………………………………………..
11.4 Управление доступом к сети……………………………………………………………………..
11.5 Управление доступом к эксплуатируемой системе………………………………………
11.6 Управление доступом к информации и прикладным программам…………………
11.7 Мобильная вычислительная техника и дистанционная работа…………………….
12 Приобретение, разработка и эксплуатация информационных систем…………………
12.1 Требования безопасности информационных систем……………………………………
12.2 Корректная обработка в прикладных программах……………………………………….
12.3 Криптографические меры и средства контроля и управления………………………
12.4 Безопасность системных файлов……………………………………………………………….
12.5 Безопасность в процессах разработки и поддержки…………………………………….
12.6 Менеджмент технических уязвимостей……………………………………………………….
13 Менеджмент инцидентов информационной безопасности………………………………….
13.1 Оповещение о событиях и уязвимостях информационной безопасности………
13.2 Менеджмент инцидентов информационной безопасности и необходимое
совершенствование……………………………………………………………………………………
14 Менеджмент непрерывности бизнеса……………………………………………………………….
14.1 Аспекты информационной безопасности в рамках менеджмента
непрерывности бизнеса………………………………………………………………………………
V
ГОСТ Р ИСО/МЭК 27002 2012
0 Введение
0.1 Что такое информационная безопасность?
Информация – это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом, что важно для среды бизнеса, где наблюдается все возрастающая взаимосвязь. Как результат такой все возрастающей взаимосвязи, информация в настоящее время подвергается растущему числу и более широкому спектру угроз и уязвимостей (см. также «Руководство ОЭСР” по обеспечению безопасности информационных систем и сетей») (OECD Guidelines for the Security of Information System and Networks).
Информация может существовать в различных формах: быть напечатанной или написанной на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных средств связи, демонстрироваться на пленке или выражена устно. Независимо от формы представления информации, средств ее распространения или хранения, она всегда должна быть адекватно защищена.
Информационная безопасность защищает информацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса, минимизации риска бизнеса, получения максимальной отдачи от инвестиций, а также реализации потенциальных возможностей бизнеса.
Информационная безопасность достигается путем реализации соответствующего комплекса мер и средств контроля и управления, которые могут быть представлены политиками, процессами, процедурами, организационными структурами, а также функциями программных и аппаратных средств. Указанные меры и средства контроля и управления необходимо создавать, реализовывать, подвергать мониторингу, анализировать и улучшать, если необходимо, для обеспечения уверенности в том, что определенная безопасность и определенные цели бизнеса организации достигнуты. Все это необходимо выполнять наряду с другими процессами менеджмента бизнеса.
ц ОЭСР – организация экономического сотрудничества и развития (OECD – Organization for Economic Cooperation and Development)
VII
0.2 Почему необходима информационная безопасность?
Информация и поддерживающие ее процессы, системы и сети являются важными деловыми активами. Определение, достижение, поддержка и улучшение информационной безопасности могут быть существенными аспектами для поддержания конкурентоспособности, денежного оборота, доходности, соблюдения законов и коммерческого имиджа.
Организации, а также их информационные системы и сети сталкиваются с угрозами безопасности из широкого диапазона источников, включая компьютерное мошенничество, шпионаж, саботаж, вандализм, пожар или наводнение. Источники ущерба, например вредоносный код, компьютерное хакерство и атаки типа отказа в обслуживании, становятся более распространенными и все более и более изощренными.
Информационная безопасность важна как для государственного, так и для частного секторов бизнеса, а также для защиты критических инфраструктур. В обоих секторах информационная безопасность действует в качестве фактора, способствующего, например использованию «электронного правительства» или «электронного бизнеса», и чтобы избежать или снизить соответствующие риски. Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов приводит к увеличению трудностей, связанных с управлением доступом к информации. Тенденция к использованию распределенной обработки данных также ослабляет эффективность централизованного контроля.
При проектировании многих информационных систем проблемы безопасности не учитывались. Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен поддерживаться надлежащим менеджментом и процессами. Выбор необходимых мер и средств контроля и управления требует тщательного планирования и внимания к деталям. Менеджмент информационной безопасности нуждается, как минимум, в участии всех сотрудников организации. Кроме того, может потребоваться участие акционеров, поставщиков, представителей третьей стороны, клиентов или представителей других внешних сторон. Кроме того, могут потребоваться консультации специалистов сторонних организаций.
ГОСТ Р ИСО/МЭК 27002 2012
0.3 Как определить требования к информационной безопасности
Организация должна определить свои требования к информационной безопасности. Существуют три основных источника требований безопасности.
Один из источников складывается из оценки рисков организации, принимая во внимание общую стратегию и цели бизнеса организации. Посредством оценки рисков идентифицируются угрозы активам организации, оцениваются уязвимости и вероятности возникновения угроз, а также оцениваются возможные последствия.
Вторым источником являются правовые, законодательные, нормативные и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг, а также их социокультурная среда.
Еще одним источником является определенный набор принципов, целей и требований бизнеса для обработки информации, которые разработала организация для поддержки своей деятельности.
0.4 Оценка рисков безопасности
Требования безопасности определяются с помощью систематической оценки рисков. Расходы на меры и средства контроля и управления должны быть соизмеримы с возможным ущербом бизнесу в результате отказа от обеспечения безопасности.
Результаты оценки рисков помогут в определении конкретных мер и приоритетов в области менеджмента рисков информационной безопасности, а также внедрению мер и средств контроля и управления, выбранных для защиты от этих рисков.
Оценка рисков должна периодически повторяться, чтобы учитывать любые изменения, которые могли бы повлиять на результаты оценки риска.
Более подробную информацию об оценке рисков безопасности можно найти в 4.1 «Оценка рисков безопасности».
0.5 Выбор мер и средств контроля и управления
После того как были определены требования к безопасности и риски безопасности и приняты решения в отношении обработки рисков, следует выбрать и внедрить такие меры и средства контроля и управления, которые обеспечат уверенность в снижении рисков до приемлемого уровня. Меры и средства контроля и управления могут быть выбраны из настоящего документа и других источников, а также могут быть разработаны
IX
новые меры и средства контроля и управления, удовлетворяющие специфическим потребностям организации. Выбор мер и средств контроля и управления зависит от решений организации, основанных на критериях принятия рисков, вариантах обработки рисков и общем подходе к менеджменту рисков, применяемом в организации. При этом необходимо также учитывать все соответствующие национальные и международные законы и нормы.
Некоторые меры и средства контроля и управления, приведенные в настоящем документе, рекомендуется рассматривать как руководящие принципы для менеджмента информационной безопасности и применять для большинства организаций. Более подробно такие меры и средства контроля и управления рассматриваются ниже под заголовком «Отправная точка информационной безопасности».
Дополнительную информацию о выборе мер и средств контроля и управления и других вариантах обработки риска можно найти в 4.2 «Обработка рисков безопасности».
0.6 Отправная точка информационной безопасности
Отдельные меры и средства контроля и управления могут рассматриваться как подходящая отправная точка информационной безопасности. Такие меры и средства контроля и управления либо основываются на ключевых требованиях законодательства, либо рассматриваются как общепринятая практика в области информационной безопасности.
Ключевыми мерами и средствами контроля и управления, с точки зрения законодательства, для организации являются:
a) защита данных и конфиденциальность персональных данных (см. 15.1.4);
b) защита документов организации (см. 15.1.3);
c) права на интеллектуальную собственность (см. 15.1.2).
Меры и средства контроля и управления, рассматриваемые как общепринятая практика в области информационной безопасности, включают:
a) документирование политики информационной безопасности (см. 5.1.1);
b) распределение обязанностей по обеспечению информационной безопасности (см. 6.1.3);
1
2.7 инцидент информационной безопасности (information security incident): Какой-либо инцидент информационной безопасности, являющийся следствием одного или нескольких нежелательных или неожиданных событий информационной безопасности, которые имеют значительную вероятность компрометации операции бизнеса или создания угрозы информационной безопасности.
(ИСО/МЭК ТО 18044:2004]
2.8 политика (policy): Общее намерение и направление, официально выраженное руководством.
2.17 уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.
[ИСО/МЭК 13335-1:2004]
1 Область применения
2 Термины и определения
3 Структура настоящего стандарта
3.1 Разделы
3.2 Основные категории безопасности
4 Оценка и обработка рисков
4.1 Оценка рисков безопасности
4.2 Обработка рисков безопасности
5 Политика безопасности
5.1 Политика информационной безопасности
6 Организационные аспекты информационной безопасности
6.1 Задачи, решаемые внутри организации
6.2 Аспекты взаимодействия со сторонними организациями
7 Менеджмент активов
7.1 Ответственность за активы
7.2 Классификация информации
8 Безопасность, связанная с персоналом
8.1 Перед трудоустройством
8.2 В течение занятости
8.3 Прекращение или смена занятости
9 Физическая безопасность и защита от воздействий окружающей среды
9.1 Зоны безопасности
9.2 Безопасность оборудования
10 Менеджмент коммуникаций и работ
10.1 Эксплуатационные процедуры и обязанности
10.2 Менеджмент оказания услуг третьей стороной
10.3 Планирование и приемка систем
10.4 Защита от вредоносной и мобильной программы
10.5 Резервирование
10.6 Менеджмент безопасности сети
10.7 Обращение с носителями информации
10.8 Обмен информацией
10.9 Услуги электронной торговли
10.10 Мониторинг
11 Управление доступом
11.1 Требование бизнеса по управлению доступом
11.2 Менеджмент доступа пользователей
11.3 Обязанности пользователя
11.4 Управление доступом к сети
11.5 Управление доступом к эксплуатируемой системе
11.6 Управление доступом к информации и прикладным программам
11.7 Мобильная вычислительная техника и дистанционная работа
12 Приобретение, разработка и эксплуатация информационных систем
12.1 Требования безопасности информационных систем
12.2 Корректная обработка в прикладных программах
12.3 Криптографические меры и средства контроля и управления
12.4 Безопасность системных файлов
12.5 Безопасность в процессах разработки и поддержки
12.6 Менеджмент технических уязвимостей
13 Менеджмент инцидентов информационной безопасности
13.1 Оповещение о событиях и уязвимостях информационной безопасности
13.2 Менеджмент инцидентов информационной безопасности и необходимое совершенствование
14 Менеджмент непрерывности бизнеса
14.1 Аспекты информационной безопасности в рамках менеджмента непрерывности бизнеса
15 Соответствие
15.1 Соответствие требованиям законодательства
15.2 Соответствие политикам безопасности и стандартам, техническое соответствие
15.3 Рассмотрение аудита информационных систем
Библиография
стр. 1
стр. 2
стр. 3
стр. 4
стр. 5
стр. 6
стр. 7
стр. 8
стр. 9
стр. 10
стр. 11
стр. 12
стр. 13
стр. 14
стр. 15
стр. 16
стр. 17
стр. 18
стр. 19
стр. 20
стр. 21
стр. 22
стр. 23
стр. 24
стр. 25
стр. 26
стр. 27
стр. 28
стр. 29
стр. 30