Исо 27001 2013 информационная безопасность


Переход к ISO/IEC 27001:2013. Тонкости перевода и не только

Привет, Хабр! 25 сентября 2013 года был опубликован обновленный стандарт ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования» (Information security management systems — Requirements), пришедший на смену аналогичному стандарту 2005-го года. Мне в руки попал Transition Guide, и, дабы систематизировать свои знания и поделиться ими с теми, кому это будет интересно, я решил организовать эту короткую заметку. Под спойлером: для чего вообще нужен сей стандартЦитата из wiki: ISO/IEC 27001 — международный стандарт по информационной безопасности. Cодержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ). В стандарте ISO/IEC 27001 (ISO 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).

А нам-то что?

Само по себе прохождение аудита на соответствие 27001 не дает для бизнеса ничего, кроме гордости за свое ИБ-подразделение (поправьте меня, если я не прав). Однако может существенно облегчить прохождение таких важных аудитов, как, например, PCI DSS. Однако, как мне кажется, любая крупная компания с международным бизнесом стремится получить заветную корочку.

Изменения в терминах

Стандарт 27001:2013 опирается на группу 31000 (оценка рисков). В этой версии исчезает термин «Актив». Вместо него используются более широкие понятия «информация» и «сервис». Кто-то скажет: «Как же так?!». Но постойте, ведь это логично: далеко не всякая информация, которую нужно защищать, является активом компании (в том смысле, в котором его употребляет, например, Роберт Кийосаки). Добавлен термин «opportunities» (п.6.1.1) как потенциальная область для улучшений – широкий термин, который может включать в себя целый набор мер по устранению различных рисков.Например, возможности по улучшению программного обеспечения включают в себя фикс конкретных багов, изменение архитектуры и даже, возможно, какие-то меры воздействия на вендора, предоставляющего это ПО, на уровне соглашений. «Action» превратился в «Objective» — это текущая цель, конкретная и измеримая, в отличие от глобальной цели («Goal»).

В остальном, все также. Information Security — это обеспечение конфиденциальности, целостности и доступности, а риск-менеджмент осуществляется по методу Plan-Do-Check-Act.

По пунктам

Некоторые пункты совершенно новые, в некоторых добавились подпункты. Приведу (а, заодно, и переведу) основные из них.

п. 6.1.1:

Во время планирования СМИБ, организация должна определить риски и возможности (opportunities), что должно быть направлено на: a) подтверждение того, что СМИБ способна достичь ожидаемых от нее результатов; b) предотвращение или сокращение нежелательных эффектов; и c) достижение непрерывного совершенствования.

п. 6.1.2 сводится к тому, что в организации должна быть формализована методология оценки рисков. При этом, при идентификации рисков за каждым из них обязательно должен закрепляться владелец – это новое требование [6.1.2 с) 2)].

п. 6.2:

Возможности (opportunities) ИБ должны: b) быть измеримыми (если применимо); с) брать во внимание применимые требования ИБ и результаты оценки и обработки рисков. Во время планирования достижения возможностей ИБ организация должна определить: f) что должно быть сделано; g) какие ресурсы требуются; h) кто будет ответственным; i) когда нужно закончить; и j) как будут оцениваться результаты.

п. 7.4 Взаимодействие – новый пункт.

Организация должна определить необходимость внутренних и внешних взаимодействий, относящихся к СМИБ, включая: a) О чем; b) когда; c) с кем; d) кто; e) с помощью каких средств.Аудитору можно продемонстрировать, например, записи в календаре outlook. Обычно, в них есть весь требуемый перечень. п. 9.1 Мониторинг, измерение, анализ и оценка Организация должна определить: c) когда и b) кто будет осуществлять мониторинг и измерения; f) кто будет проводить анализ и оценку результатов.

Из п. 9.3 (Management review) исключено требование о ежегодном пересмотре СМИБ со стороны руководства.

п.10.1 Несоответствия и корректирующие действия

Когда обнаруживается несоответствие, организация должна: a) отреагировать на несоответствие, и, если применимо: 1) принять меры по его контролю и корректировке; и 2) работать с последствиями; e) если необходимо, внести изменения в СМИБ. Организация должна сохранить задокументированную информацию как доказательство: f) природы несоответствий и последующих принятых мер, и g) результатов корректирующих действий.

Afterword

Более общую информацию о стандарте можно найти по cсылке из Вики Буду рад, если эта заметка кому-то пригодится. Метки:
  • iso/iec27000
  • стандарты ИБ
  • риск-менеджмент

habr.com

Подводные камни ISO 27001 2013 на русском языке поймёт не каждый

Официальный вариант ISO 27001 2013 на русском языке так и не издан.

На 2015 год во многих странах система менеджмента информационной безопасности, как правило, организуется по стандарту ISO 27001 2013. В Российской Федерации насчитывается в области защиты информации более 30 национальных стандартов. В их число входит стандарт ИСО/МЭК 27001 – 2006, который является переводом ISO/IEC 27001:2005.

Учитывая то, что замена стандарта от 2005 года произошла в рамках общей политики ISO приведения различных стандартов на системы менеджмента к единому формату, то в ближайшее время следует ожидать официального российского варианта ISO 27001 2013 на русском языке.

Либеральность ISO 27001 2013, которую нужно правильно воспринять

В новой редакции ISO 27001 произошли серьёзные изменения, которые коснулись структуры, обобщённых положений, терминологии, описания роли руководителей; приложений. Она построена согласно требованиям Указания ISO  (приложение SL (Annex SL)), в которой отмечается, что для гарантии сочетаемости с иными системами менеджмента необходимо в новых стандартах применять общую конфигурацию, текст и терминологию. В Приложении SL (Annex SL) зафиксирована так.

А) Структура стандарта из 10 разделов:

область применения; нормативные ссылки; термины и определения; контекст организации; лидерство; планирование; поддержка; эксплуатация (операционные процессы); оценка эффективности; улучшение

Б) Общая терминология из 22 понятий:

организация; заинтересованная сторона; требование; система менеджмента; высшее руководство; результативность; политика; цель; риск; компетентность; документированная информация; процесс; продуктивность (эффективность) (performance); передавать на аутсорсинг; мониторинг; измерение; аудит; соответствие; несоответствие; коррекция; корректирующее действие; улучшение.

Чтобы выполнить большой и важный труд, необходимы две вещи: ясный план и ограниченное время. Элберт Хаббард

В ISO 27001 2013 предусмотрено планирование (Planning), функционирование (Operation ), оценка результативности (Performance evaluation), улучшение (Improvement). По сути, данный процесс построен на основе ранее использованной модели Деминга (план — действие – контроль (сопоставление ожидаемого результата с полученным) – коррекция действий (улучшение).

На английском языке модель описывается как PDCA или Plan-Do-Check-Act. Отсюда делаем вывод, что в новой редакции стандарта не отказываются от использования модели Деминга, а переодели её в «новые одежды». Имеет ли это какой-то глубинный смысл, мы увидим в будущем, а пока будем считать терминологические изыски «подводным камнем». Тот, кто поспешит отказаться от имеющегося опыта работы с моделью Деминга на этом «камешке» может простор зря потратить время.

Вторым «подводным камнем» стандарта можно считать видимую либеральность. Она просматривается в отказе подробно описывать процесс оценки рисков информационной безопасности.

Отсутствие в новом тексте термина «актив» (asset) и соответственно «идентификации активов» позволяет предположить возможность оценивать риски без изучения активов.

Тем не менее, терминология, установленная для стандартов серии 27000 и закреплённая в ISO 27000: 2014, показывает, что формой актива для ISO 27001 2013 выступает информация. Таким образом, как и раньше оценку рисков необходимо проводить через идентификацию информации, то есть через asset («актив»). Дополнительно уточним, что понимание «информации» в английском варианте и русском несколько различаются. Английский термин включает как сами данные, так и технологии передачи этих данных.

Оцените статью (голосов: 3, оценка: 5,00)

.

iso.dicaster.ru

Управление информационной безопасностью предприятий оборонно-промышленного комплекса в контексте стандарта ISO 27001:2013

УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ПРЕДПРИЯТИЙ ОБОРОННО-ПРОМЫШЛЕННОГО КОМПЛЕКСА В КОНТЕКСТЕ СТАНДАРТА ISO 27001:2013

А.В. Суханов, доктор технических наук, доцент. ЗАО «ЭВРИКА».

А.С. Смирнов, доктор технических наук, доцент.

Национальный центр управления в кризисных ситуациях МЧС России. С.Б. Хитов.

Санкт-Петербургский университет ГПС МЧС России

Рассмотрены основные изменения международного стандарта ISO/IEC 27001, являющегося основой построения систем менеджмента информационной безопасности в организациях, внесенные версией ISO/IEC 27001:2013 по сравнению с редакцией ISO/IEC 27001:2005.

Ключевые слова: ISO/IEC 27001:2013, информационная безопасность, система менеджмента информационной безопасностью

MANAGEMENT OF DEFENSE INDUSTRY'S INFORMATION SECURITY IN THE CONTEXT OF THE ISO/IEC 27001:2013 STANDARD

A.V. Sukhanov. ZAO «EURICA».

A.S. Smirnov. National crisis management center of EMERCOM of Russia.

S.B. Khitov. Saint-Petersburg university of State fire service of EMERCOM of Russia

The main clauses of the new international standard for information security management -ISO/IEC 27001:2013, in comparing with ISO/IEC 27001:2005 are considered in the article. This standard is basis of creation an information security management system for any organization. Keywords: ISO/IEC 27001:2013, information security, information security management

system

С обострением международной обстановки, ростом глобального информационного противоборства, активностью террористических группировок особую остроту приобретает реализация угроз информационной безопасности (ИБ) посредством проведения компьютерных атак на государственные информационные системы и ресурсы [1]. При этом к одним из наиболее вероятных «мишеней» или объектов подобного рода атак можно в полной мере отнести предприятия и организации оборонно-промышленного комплекса (ОПК) страны, перед которыми, в данных условиях, приобретает особое значение обеспечение ИБ. В настоящее время данная проблема решается применением комплекса общих правовых, организационно-технических и экономических методов [1].

Построение систем менеджмента ИБ как основы эффективного управления ИБ

Популярный в настоящее время процессный подход к управлению организациями, представляющий собой методологию, идентифицирующую процессы в организации таким образом, чтобы были понятны, видимы и измеримы их взаимосвязь, а итоговая совокупность процессов понималась как единая система целей деятельности организации, предполагает выделение в структуре системы обеспечения ИБ [2]: - системы управления ИБ;

- инфраструктуры защиты информации, непосредственно реализующей процессы ИБ.

Кроме того, обеспечение ИБ путем реализации на предприятиях ОПК принципа управления рисками, профилактики и предупреждения крупномасштабных факторов, рисков и угроз ведет к необходимости создания в рамках общей системы обеспечения ИБ системы менеджмента ИБ (СМИБ), являющейся частью общей системы менеджмента организации, основанной на подходе бизнес-рисков по созданию, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению ИБ и отвечающей современным стандартам и требованиям [3, 4].

Требования, предъявляемые к СМИБ, даны в линейке международных стандартов ISO/IEC 27000, в которой определен понятийный аппарат, терминология, методология построения и деятельности СМИБ. Стандарты серии 27000 являются наиболее известными и широко используемыми при управлении ИБ.

Основными (обязательными) документами серии являются стандарты ISO/IEC 27001 и ISO/IEC 27006. Первый определяет назначение СМИБ, ее цели, понятия, а также требования, предъявляемые к системе, второй - требования к организациям, осуществляющим аудит и сертификацию СМИБ.

Согласно ISO/IEC 27001 целью СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон. Создание и эксплуатация СМИБ требует применения такого же подхода, как и любая другая система менеджмента. Обязательные процедуры стандарта управления качеством ISO 9001 требуются и стандартом ISO/IEC 27001.

Стандарт ISO/IEC 27001, являющийся совместной разработкой международной организации по стандартизации (ISO, в отечественной аббревиатуре ИСО) и международной электротехнической комиссии (IEC, МЭК), вышел в свет в конце 2005 г. Год спустя на основе аутентичного перевода ISO/IEC 27001 в нашей стране был принят в качестве государственного стандарта ГОСТ Р ИСО/МЭК 27001-2006 [5], который лег в основу построения отечественных СМИБ.

Стандартом ISO/IEC 27001:2005, а также ГОСТ Р ИСО/МЭК 27001-2006 на основе процессного подхода применительно к менеджменту ИБ реализовывалась циклическая модель управления качеством PDCA (Plan-Do-Check-Act-Планирование-Осуществление-Проверка-Действие), представленная на рисунке.

Рис. Цикл PDCA для СМИБ в соответствии с ISO/IEC 27001:2005

Из рисунка видно, что СМИБ, используя в качестве входных данных требования ИБ и ожидания заинтересованных сторон, с помощью необходимых действий и процессов выдает выходные данные по результатам обеспечения ИБ, которые соответствуют этим требованиям и ожидаемым результатам [5].

В соответствии с моделью РБСЛ построение СМИБ начинается с этапа «Планирование», в котором проводится оценка состояния ИБ с учетом угроз и уязвимостей, связанных с информационными активами организации. Проводится выбор необходимых мер и средств контроля и управления ИБ, определяются цели их применения, а также цели применения мер и средств контроля и управления для обработки рисков. Разрабатываемые и реализуемые политики и процедуры должны охватывать следующие ключевые процессы:

- управление активами;

- управление рисками;

- управление мерами контроля;

- управление персоналом;

- управление документацией и записями СМИБ;

- управление инцидентами;

- управление эффективностью системы;

- управление изменениями (пересмотр и модернизация системы);

- управление непрерывностью бизнеса и восстановление после прерываний.

На этапе «Внедрение» проводится внедрение выбранных мер и средств управления и контроля для достижения целей ИБ, определяется способ измерения результативности СМИБ, проводятся измерения мер и средств управления и контроля.

На этапе «Проверка» осуществляется анализ результативности СМИБ, производится пересмотр оценки рисков, с учетом результативности СМИБ, производится подтверждение эффективности СМИБ с учетом результатов предыдущих аудитов, определяются направления совершенствования СМИБ, формируются исходные данные для принятия решения по усовершенствованию СМИБ, развитию способов оценивания результативности мер и средств управления и контроля.

На последнем этапе «Действие» проводится реализация принятых решений по улучшению СМИБ.

Переход к КОЯЕС 27001:2013

Международный «старший брат» 180/1БС 27001 в 2013 г. претерпел изменения, коснувшиеся как формы, так и содержания по сравнению с версией 2005 г. Одной из причин подобного обновления можно отметить появление Приложения БЬ (ЛппехБЬ) первой части директив ИСО, унифицирующего многочисленные стандарты на системы менеджмента и определяющего для них новую единую высокоуровневую структуру [6].

Согласно данному документу специальные требования любого из стандартов должны быть отображены в следующих разделах:

1. Область действия.

2. Нормативные ссылки.

3. Термины и определения.

4. Контекст организации.

5. Руководство.

6. Планирование.

7. Поддержка.

8 Производственная деятельность.

9. Оценка эффективности.

10. Улучшение.

С целью облегчения понимания специалистами новшеств КОЛЕС 27001:2013 в сравнении ТБО/ТЕС 27001:2005 при совершенствовании как разработанных ранее, так

и вновь внедряемых СМИБ, британским национальным органом по стандартизации (BritishStandardsInstitution (BSI)) было выпущено «Руководство по переходу от ISO/IEC 27001:2005 к ISO/IEC 27001:2013» [7], на основании которого авторами предлагается провести анализ основных изменений.

Приводя ISO/IEC 27001 в соответствие Приложению SL, изменения затронули структуру документа, количество и состав разделов и подразделов, в документе появился ряд новых терминов и определений, уточнена роль руководства, повышена роль коммуникаций, изменено Приложение А.

Первое, что может сразу броситься в глаза при рассмотрении ISO/IEC 27001:2013 -отсутствие явного отражения представленной в версии 2005 г. модели PDCA. Однако при внимательном анализе структуры нового документа можно увидеть, что цикл PDCA в нем все же прослеживается - в структуре выделяются разделы, расположенные последовательно один за другим:

- Планирование (Planning);

- Производственная деятельность (Operation);

- Оценка эффективности (Performance evaluation);

- Улучшение (Improvement).

Рассматривая разделы ISO/IEC 27001:2013, можно отметить, что значительным изменениям подвергся процесс, связанный с оценкой рисков ИБ. Взаимное соответствие пунктов стандартов, связанных с идентификацией и оценкой рисков представлено в табл. 1.

Таблица 1. Соответствие пунктов ISO/IEC 27001:2013 и ISO/IEC 27001:2005 в части определения требований к идентификации и оценке рисков ИБ

3S ОЛЕ С 2 7001:20В IS ОЛЕ С 27001:29005

6.1.1 Действия е отношении рисков и ВОЗМОЖНОСТеЙ. HSIipSB ЛеННЫе jjtt ^подтверждение способности СМИЕ к достижению ожидаемых от нее результатов b) предотвращение ели сокращение нежелательных аффектов c) достижение непрерывисто совершенствования 8.3. Предупреждающие действия

6.12. Иденлификапия рисков 6.1.2. (с) Обязательное закрепление за каждым риском его владельца 4.2.1. (с) Определение подхода к опенке рисла 1. Методологии опенки риска 2. Разработка критериев и уровней риска 4.2.1. (d) Идентификация рисков 1. Идентификация активов и определение их владельцев 2. Идентификация угроз в отношении активов 3. Идентификация уязвим остей 4. Идентификация последствий 4.2.1. (е) Анализ и опенка рисков

6.1.3. Обработка рисков ИБ 4.2.1. (f) Определение и опенка вариантов обработки рисков 4.2.1. (g) Выбор пелеи имер управления для обработки рисков 4.2.1. (Ъ) Утв ерждение руководством остаточных рисков 4.2.1. ©Разрешение руководства на внедрение и эксплуатацию СМИЕ 4.2.1. ф Разработка «Положение о применимости* 4.2.2. Разработка клана обработки рисков

6.2. Цели информационной без опасности и планиров акие их достижения 5.1. (Ь) Обеспечение руководством разработки целей и планов СМИЕ

Теперь, стандартом, который в данном аспекте стал соответствовать стандарту ISO 31000 «Менеджмент риска. Принципы и Руководство», предусматриваются следующие этапы оценки рисков:

- определение критериев принятия рисков и критериев к процессу их оценки;

- идентификация рисков;

- анализ рисков (определение последствий, вероятности, определение уровней рисков);

- сопоставление оценок рисков с установленными критериями. Определение приоритетов по их обработке.

Кроме этого, существенной особенностью ISO/IEC 27001:2013 является явное отсутствие такого основополагающего понятия менеджмента рисков, как «актив» (asset), а также подраздела, связанного с идентификацией активов и их владельцев. Вместо «актива» стандарт оперирует понятием «информация, попадающая в пределы СМИБ» (information within the scope of the information security management system).

Тем не менее рассматривая понятие «информация» с точки зрения международного стандарта IS027000:2014, определяющего соответствующие отраслевые термины, можно отметить, что «информация является тем активом, который жизненно важен для эффективной хозяйственной деятельности организации и потому подлежит защите должным образом» [8].

Кроме того, документ относит к важнейшим активам организаций связанные с информацией процессы, системы и сети.

Таким образом, понятие «информация, попадающая в пределы СМИБ», по мнению авторов, можно рассматривать как «информационные активы, попадающие в пределы СМИБ».

Среди новых терминов и определений, появившихся в ISO/IEC 27001:2013, отметим такие как: контекст организации (context of the organization), владелец риска (risk owner) и цели информационной безопасности (information security objectives).

Контекст организации предполагает определение пределов СМИБ, исходя из различных внешних и внутренних аспектов, влияющих на управление рисками ИБ. Так, на пределы СМИБ, создаваемой и внедряемой на предприятиях ОПК страны, прямо влияют требования российского законодательства, национальных регуляторов в области ИБ, договорных обязательств. Описание контекста организации должно входить в документально оформленные пределы СМИБ.

В соответствии с ISO/IEC 27001:2013 для определенных рисков ИБ необходимо идентифицировать владельцев риска - субъектов, отвечающих за управление риском с соответствующими полномочиями.

Термин «цели информационной безопасности» предполагает четкое определение соответствующих целей, а также планирование мероприятий по их достижению для функций и уровней организации.

При планировании, оформляемом документально, должны отражаться проводимые для достижения целей ИБ мероприятия, ответственные за их выполнение должностные лица, необходимые средства и ресурсы, сроки проведения, а также форма оценки результатов.

Повышая роль коммуникаций, ISO/IEC 27001:2013 требует планирования в организациях внешних и внутренних, связанных с вопросами обеспечения ИБ, коммуникаций.

Уточняются такие пункты, как мониторинг, измерение, анализ и оценка, а также внутренний аудит (табл. 2.)

Таблица 2. Соответствие пунктов КОЛЕС 27001:2013 и 18О/1ЕС 27001:2005 в части определения требований к мониторингу, измерениям, анализу и оценке, а также к внутреннему аудиту

ISO ТЕС 27001:2013 КОЛЕС 27001:20005

9.1. Мониторинг, измерение, анализи оценка. 4.2.2 (с!) Определение способа измерения результативности выбранных мер управления или их групп и использование этих измерений для оценки результативности управления... 4.2.3 (Ь) Проведение регулярн от о анализа результативности СМИБ и анализа мер \:правления безопасностью... 4.2.3 (с) Измерение результативности мер управления для проверки соответствия требованиям ИБ

9.2. Внутренний аудит 4.2.3 (е) Проведение внутренних аудитов СМИБ через у стан ов ленные п ери оды вр емени 6. Внутренние аудиты СМИБ

Выполняя пункт 9.1, организация должна определить, когда и какое должностное лицо будет осуществлять мониторинг и измерения, кто будет проводить анализ и оценку результатов.

В части проведения внутреннего аудита ISO/IEC 27001:2013 устанавливается требование выбора аудиторов и проведения аудита с обеспечением объективности и беспристрастности процесса аудита.

Особое внимание в ISO/IEC 27001:2013 уделено роли руководства в обеспечении результативного функционирования СМИБ. В соответствии со стандартом руководство предприятия ОПК должно обеспечивать:

- соответствие целей ИБ стратегическому направлению развития организации;

- разработку и внедрение в организации политики ИБ;

- интеграцию процесса обеспечения ИБ в бизнес-процессы организации;

- обеспечение СМИБ необходимыми средствами и ресурсами;

- контроль достижения СМИБ поставленных целей;

- разграничение полномочий и ответственности;

- и ряд других мероприятий, направленных на эффективное управление ИБ.

Исключен пункт, требующий ежегодного пересмотра СМИБ со стороны руководства.

По сравнению с версией 2005 г., в новой версии изменился и перечень контролей,

который приводится в «Приложении А». Теперь данное приложение содержит перечень целей и средств управления, которые совпадают с аналогичными целями и средствами управления стандарта ISO 27002, при пересмотре которого количество средств управления было сокращено со 133 до 114, а число доменов расширено от 11 до 14. К существующим доменам добавились такие домены как:

- криптография (А.10);

- безопасность коммуникаций (А.13);

- взаимодействие с поставщиками (А.15).

Таким образом, в ISO/IEC 27001:2013 представлены 114 контролей, делящихся на 14 доменов. Подробная таблица соответствия контролей версий ISO/IEC 27001:2013 и ISO/IEC 27001:2005 приводится в документе [7].

«Приложение B» стандарта ISO/IEC 27001:2013 представлено таблицей, в которой показано соответствие процедур СМИБ и этапов цикла PDCA принципам «Организации по экономическому сотрудничеству и развитию» (OECD).

В «Приложении C» определяется соответствие требований стандартов ISO 9001, 14001 и 27001.

Подводя итог, отметим, что с обновлением ISO/IEC 27001 подобной процедуре подвергся и «идущий рядом» стандарт ISO/IEC 27002. Рассмотренные выше основные изменения стандарта ISO/IEC 27001 требуют наиболее пристального внимания как при разработке и внедрении на предприятиях ОПК страны СМИБ по новому стандарту, так и при приведении в соответствие с ISO/IEC 27001:2013 существующих систем. При создании и актуализации документированной информации организация должна обеспечить соответствующие идентификацию и наименование, формат, анализ и официальное одобрение с точки зрения адекватности и пригодности.

Литература

1. Смирнова О.Г., Хитов С.Б. Правовые основы защиты информационных систем Российской Федерации от компьютерных атак // Право. Безопасность. Чрезвычайные ситуации. 2016. № 1 (30). С. 38-42.

2. Васильева И.Н. Управление информационной безопасностью: учеб. пособие. СПб.: Изд-во СПбГЭУ, 2014. 82 с.

3. Еременко С.П., Хитов С.Б., Можаев О. А. Анализ нормативно-правовой базы для задачи формирования модели и метода оценки результативности СМИБ в организациях МЧС России // Проблемы управления рисками в техносфере. 2015. № 4 (36). С. 101-107.

4. Еременко С.П., Хитов С.Б. Оценка результативности как важнейший аспект построения системы обеспечения информационной безопасности в системе распределенных ситуационных центров МЧС России // Науч.-аналит. журн. «Вестник С.-Петерб. ун-та ГПС МЧС России». 2016. № 2. С. 84-90.

5. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. М.: Госстандарт России. 2008. 31 с.

6. ISO/IECDirectives, Part 1ConsolidatedISOSupplement - Procedures specificto ISO. Seventhedition, 2016. URL: http://isotc.iso.org/livelink/livelink/fetch/2000/2122/4230450/4230452/ ISO_IEC_Directives_Part_1_and_Consolidated_ISO_Supplement_%2D_2016_%287th_edition%2 9_%2D_PDF.pdf?nodeid=17668772&vernum=-2 (дата обращения: 28.06.2016).

7. Transitionguide. MovingfromISO/IEC 27001:2005 toISO/IEC 27001:2013.BSIGROUP, UnitedKingdom. 16 p.

8. Международный стандарт ISO/IEC 27000. 3-е изд. URL: http://pqm-online.com/assets/files/lib/std/iso-mek-27000-2014.pdf (дата обращения: 28.06.2016).

References

1. Smirnova O.G., Khitov S.B. Pravovyeosnovyzacschityinformacionnyh system RossijskojFederaciiotkompjuternahatak [Legal bases of protection of information systems of the Russian Federation against computer attacks] // Law. Safety. Emergency situations. 2016. № 1 (30). p. 38-42 (In Russ.).

2. Vasiljeva I.N. Upravlenieinformacionnojbezopasnostju: Uchebnoeposobie [Management of information security: tutorial]. SPb.: SPbGEU, 2014. 82 p.

3. Eremenko S.P., Khitov S.B. Analiz normativno-pravovoj bazy dlya zadachi formirovanija modeli i metoda ocenki rezultativnosti SMIB v organizaciyah MCHS Rossii // Problemy upravlenija riskami v tehnosfere [Analysis legal norms for the task of construction of model and method of estimation of efficiency of ISMS in the organizations of Emercom of Russia] // Problems in the technosphere risk management. 2015. № 4 (36). p. 101-107 (In Russ.).

4. Eremenko S.P., Khitov S.B. Ocenka rezultativnosti kak vazhnejshij aspect postroenija sistemy obespechenija informacionnoj bezopasnosti v sisteme raspredelennyh situacionnyh centrov Mchs Rossii. [Productivity assessment as the most important aspect of creation of system of ensuring information security in system of the distributed situational centers of EMERCOM of Russia] // Vestnik S.-Peterb. un-ta GPS MCHS Rossii.2016. № 2. p. 84-90 (In Russ.).

5. GOST R ISO/MEK 27001-2006 «Informacionnayatehnologiya. Metody i sredstva obespecheniya bezopasnosti. Systemy menedzhmenta informacionnoj bezopasnosti. Trebovaniya» [National standard of Russia ISO/IEC 27001 - 2006 Information technology - Security techniques - Information security management systems - Requirements]. M.: Gosstandart Rossii. 2008. 31 p.

6. ISO/IEC Directives, Part 1Consolidated ISO Supplement - Procedures specific to ISO. Seventh edition, 2016. URL: http://isotc.iso.org/livelink/livelink/fetch/2000/2122/4230450/ 4230452/ISO_IEC_Directives_Part_1_and_Consolidated_ISO_Supplement_%2D_2016_%287th_e dition%29_%2D_PDF.pdf?nodeid=17668772&vernum=-2 (data obrascheniya: 28.06.2016).

7. Transition guide. Moving from ISO/IEC 27001:2005 to ISO/IEC 27001:2013. BSIGROUP, UnitedKingdom. 16 p.

8. Mezhdunarodnyj standart ISO/IEC 27000, Tretie izdanie. [International standard ISO/IEC 27000, Third version] URL: http://pqm-online.com/assets/files/lib/std/iso-mek-27000-2014.pdf (data obrascheniya: 28.06.2016).

cyberleninka.ru

036. ISO/IEC 27001:2013 Введение, внедрение и внутренний аудит системы управления информационной безопасностью на соответствие требованиям стандарта.

Код:  036

Длительность курса:  5 рабочих дней

Ближайшие даты: 08 - 12 августа 2016 года

Стоимость:  60 000 рублей

Записаться на курс!

Для кого этот курс:  специалисты и менеджеры по информационной безопасности, ИТ-аудиторы, аудиторы информационной безопасности.

Цель курса:  Обучить навыкам внедрения стандарта ISO/IEC 27001:2013, а также проведения аудита системы управления информационной безопасностью (СУИБ).

Требования к предварительной подготовке:  Базовые знания в области внедрения организационных и технических мер информационной безопасности.

Результат обучения:  знания:

  • применение стандарта ISO/IEC 27001:2013;
  • внедрение системы управление информационной безопасностью;
  • проведение внутреннего аудита информационной безопасностью.

Курс ведет: Александр Дорофеев

Программа: 

Часть 1. Введение в международный стандарт ISO 27001:2013. Основы системы управления информационной безопасностью.

  1. Основы, мифы и реальность.
  2. Требования бизнеса: коммерческие и законодательные.
  3. История стандартов СУИБ: развитие и текущий статус.
  4. Сертификация: Процесс и последующие действия.
  5. Аккредитация: Текущее состояние и прогнозы, возможные варианты.
  6. Разработка и внедрение Системы Менеджмента:
  • политика ИБ;
  • область СУИБ;
  • оценка рисков;
  • управление рисками;
  • положение о применимости контролей;
  • критические моменты при внедрении.

Часть 2. Внедрение системы управления информационной безопасностью

  1. Введение.
  2. История ИБ.
  3. Определение Области и Политики СУИБ.
  4. Идентификация информационных активов.
  5. Определение ценности информационных активов.
  6. Определение рисков и потерь.
  7. Установление целей и выбор контролей.
  8. Разработка политик.
  9. Документирование СУИБ.
  10. Соответствие требованиям СУИБ в части документированных процедур.
  11. Процесс сертификации.
  12. Подготовка плана внедрения СУИБ.

Часть 3. Внутренний аудит СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2013.

  1. Принципы аудита.
  2. Разработка плана.
  3. Процессы аудита.
  4. Инициация аудита.
  5. Подготовка к аудиту.
  6. Проведение аудита.
  7. Отчетность по аудиту.
  8. Контроль выполнения последующих действий.

Условия обучения:  Участникам представляются раздаточные материалы. По окончании обучения слушателям выдается сертификат международного образца от BSI

Регистрация на курс

036. ISO/IEC 27001:2013 Введение, внедрение и внутренний аудит системы управления информационной безопасностью на соответствие требованиям стандарта.

uc-echelon.ru


Смотрите также