Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

Приложение В
(справочное)

     
Принципы Организации экономического сотрудничества и развития и настоящий стандарт


Принципы, представленные в Руководстве ОЭСР по обеспечению безопасности информационных систем и сетей [1], применимы ко всем уровням политики и эксплуатации, которые определяют безопасность информационных систем и сетей. Настоящий стандарт предлагает концептуальную основу системы менеджмента информационной безопасности для реализации некоторых из принципов ОЭСР с использованием модели PDCA и процессов, описанных в разделах 4, 5, 6 и 8. Принципы ОЭСР и модель PDCA приведены в таблице В.1.


Таблица В.1 - Принципы ОЭСР и модель PDCA

Принцип ОЭСР

Соответствующий процесс СМИБ и стадия PDCA

Осведомленность

Участники должны быть осведомлены о необходимости обеспечения безопасности информационных систем и сетей и о том, что они могут сделать для повышения уровня безопасности

Данные мероприятия являются частью стадии "Осуществление" (см. 4.2.2 и 5.2)

Ответственность

Все участники являются ответственными за безопасность информационных систем и сетей

Данные мероприятия являются частью стадии "Осуществление" (см. 4.2.2 и 5.1)

Реагирование

Участники должны действовать совместно и своевременно, чтобы предотвращать, обнаруживать инциденты безопасности и реагировать на них

Является частью стадии "Проверка" деятельности по мониторингу (см. 4.2.3, раздел 6 и 7.3) и мероприятий по реагированию стадии "Действие" (см. 4.2.4, 8.1, 8.2 и 8.3). Данные мероприятия могут быть также охвачены некоторыми элементами стадий "Планирование" и "Проверка"

Оценка риска

Участники должны проводить оценку рисков

Этот вид деятельности является частью стадии "Планирование" (см. 4.2.1), а повторная оценка (переоценка) риска является частью стадии "Проверка" (см. 4.2.3, раздел 6 и 7.3)

Разработка и внедрение безопасности

Участники должны внедрить безопасность как важный элемент информационных систем и сетей

После выполнения оценки рисков выбирают меры управления для обработки рисков как часть стадии "Планирование" (см. 4.2.1). Стадия "Осуществление" (см. 4.2.2 и 5.2) охватывает затем внедрение и обеспечение функционирования этих мер управления

Менеджмент безопасности

Участники должны применять всесторонний подход к менеджменту безопасности

Менеджмент рисков представляет собой процесс, включающий в себя предотвращение, обнаружение инцидентов и реагирование на них, сопровождение, анализ и аудит. Все эти вопросы решают на стадиях "Планирование", "Осуществление", "Проверка" и "Действие"

Повторная оценка

Участники должны анализировать и повторно оценивать состояние безопасности информационных систем и сетей, и вносить соответствующие изменения в политику, практику, меры и процедуры безопасности

Переоценка (повторная оценка) информационной безопасности является частью стадии "Проверка" (см. 4.2.3, раздел 6 и 7.3), на которой должны быть предприняты регулярные анализы эффективности системы менеджмента информационной безопасности, а повышение уровня безопасности является частью стадии "Действие" (см. 4.2.4, 8.1, 8.2 и 8.3)