Принципы Организации экономического сотрудничества и развития и настоящий стандарт
Принципы, представленные в Руководстве ОЭСР по обеспечению безопасности информационных систем и сетей [1], применимы ко всем уровням политики и эксплуатации, которые определяют безопасность информационных систем и сетей. Настоящий стандарт предлагает концептуальную основу системы менеджмента информационной безопасности для реализации некоторых из принципов ОЭСР с использованием модели PDCA и процессов, описанных в разделах 4, 5, 6 и 8. Принципы ОЭСР и модель PDCA приведены в таблице В.1.
Таблица В.1 - Принципы ОЭСР и модель PDCA
Принцип ОЭСР | Соответствующий процесс СМИБ и стадия PDCA |
Осведомленность | Данные мероприятия являются частью стадии "Осуществление" (см. 4.2.2 и 5.2) |
Ответственность | Данные мероприятия являются частью стадии "Осуществление" (см. 4.2.2 и 5.1) |
Реагирование | Является частью стадии "Проверка" деятельности по мониторингу (см. 4.2.3, раздел 6 и 7.3) и мероприятий по реагированию стадии "Действие" (см. 4.2.4, 8.1, 8.2 и 8.3). Данные мероприятия могут быть также охвачены некоторыми элементами стадий "Планирование" и "Проверка" |
Оценка риска | Этот вид деятельности является частью стадии "Планирование" (см. 4.2.1), а повторная оценка (переоценка) риска является частью стадии "Проверка" (см. 4.2.3, раздел 6 и 7.3) |
Разработка и внедрение безопасности | После выполнения оценки рисков выбирают меры управления для обработки рисков как часть стадии "Планирование" (см. 4.2.1). Стадия "Осуществление" (см. 4.2.2 и 5.2) охватывает затем внедрение и обеспечение функционирования этих мер управления |
Менеджмент безопасности | Менеджмент рисков представляет собой процесс, включающий в себя предотвращение, обнаружение инцидентов и реагирование на них, сопровождение, анализ и аудит. Все эти вопросы решают на стадиях "Планирование", "Осуществление", "Проверка" и "Действие" |
Повторная оценка | Переоценка (повторная оценка) информационной безопасности является частью стадии "Проверка" (см. 4.2.3, раздел 6 и 7.3), на которой должны быть предприняты регулярные анализы эффективности системы менеджмента информационной безопасности, а повышение уровня безопасности является частью стадии "Действие" (см. 4.2.4, 8.1, 8.2 и 8.3) |