Информационна сигурност (лекционен материал)
Структура на стандарта ISO/IEC 27001:2013. Основни раздели
Изтегляне 1.92 Mb. Pdf просмотр
|
| Структура на стандарта ISO/IEC 27001:2013. Основни раздели: 0.Въведение – стандартът използва процесен подход. 1. Обхват – определя общи изисквания за ISMS (СУИС - системата за управление на информационната сигурност) подходящи за организации от всякакъв вид, мащаб или природа. 2. Нормативни препоръки – само ISO/IEC 27000 се смята за абсолютно задължителен за потребителите на 27001. Останалите стандарти ISO 27000 са незадължителни. 3. Условия и дефиниции – кратък формализиран речник, който предстои да бъде заменен от ISO/IEC 27000. 4.Контекст на организацията – разбиране на организационния контекст, потребностите и очакванията на заинтересованите страни и определяне обхвата на СУИС. Раздел 4.4 ясно заявява, че „организацията създава, прилага, поддържа и непрекъснато подобрява“ съответстващата системата за управление на информационната сигурност. 5.Лидерство – висшият мениджмънт трябва да демонстрира лидерство и ангажираност към СУИС, и да определя ролите, отговорностите и органите за сигурност на информацията. 6. Планиране – очертава процеса на идентифициране, анализ и планиране на третирането на информационните рискове и изясняването на целите за информационна сигурност. 7. Подкрепа – трябва да бъдат назначени адекватни, компетентни ресурси, повишена информираност, подготвена и контролирана документация. 8. Операция – малко по-подробно за оценката и третирането на информационните рискове, управлението на промените и документирането на нещата (отчасти за да могат да бъдат одитирани от сертифициращите одитори). 9.Оценка на ефективността – наблюдение, измерване, анализ и оценка (одит), преглед на контрола, процесите и системата за управление на информацията, за да се направят системни подобрения, когато е уместно. 10. Подобряване – адресиране на резултатите от одита и прегледите (например несъответствия и коригиращи действия), непрекъснато усъвършенстване на системата за управление на информационната сигурност. Приложение А, Референтни цели за контрол –от списък от заглавия на контролните секции в ISO/IEC 27002. Приложението е нормативно, което означава, че сертифицираните 66 66 организации се очаква да го използват, но те са свободни да се отклоняват или да го допълват, за да отговорят на специфичните информационни рискове. Библиография – включва петте свързани стандарта заедно с част 1 на директивите ISO/IEC, за повече информация. В допълнение ISO/IEC 27000 присъства в стандарта като нормативен (основен) стандарт и има няколко позовавания на ISO 31000 за управление на риска. Задължителни изисквания за сертифициране. ISO/IEC 27001 е формализирана спецификация за СУИС с две различни цели: определя на високо ниво какво може да направи дадена организация, за да въведе системата за управление на информационната сигурност ; може (по избор) да бъде използвана като основа за официална оценка на съответствието от акредитирани одитори за сертифициране, за да бъде сертифицирана организацията. За сертифициране е изрично необходима следната задължителна документация (документирана информация в понятийния апарат на стандарта): 1.Обхват на СУИС. 2.Политика за сигурност на информацията. 3.Процес на оценка на информационния риск (клауза 6.1.2). 4.Процес на третиране на информационния риск (клауза 6.1.3). 5.Цели на информационната сигурност (клауза 6.2). 6. Доказателство за компетентността на хората, работещи в областта на информационната сигурност (клауза 7.2). 7. Други документи, свързани със СУИС, които организацията смята за необходими (клауза 7.5.1б). 8.Документи за оперативно планиране и контрол (клауза 8). 9.Резултати от оценките на риска (клауза 8.2). 10.Решения относно третирането на риска (клауза 8.3). 11. Доказателства за мониторинга и измерването на информационната сигурност (клауза 9.1). 12.Програма за вътрешен одит на СУИС и резултати от проведените одити (клауза 9.2). 13.Доказателства за прегледи от ръководството на СУИС (клауза 9.3). 14. Доказателство за установени несъответствия и възникнали коригиращи действия (клауза 10.1). 15. Различни други: Приложение А, което е нормативно, посочва, но не уточнява напълно допълнителната документация, включително правилата за приемливо използване на активите, политиката за контрол на достъпа, оперативните процедури, конфиденциалността или споразуменията за 67 67 неоповестяване, взаимоотношенията с доставчиците, процедурите за реагиране при инциденти по сигурността на информацията, съответните закони, подзаконови актове и договорни задължения плюс свързаните с тях процедури за съответствие и процедурите за непрекъснатост на информацията. |