ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
ГОСТ Р исо/мэк 27003—2012Информационная технология
Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности
ISO/IEC 27003:2010 Information technology — Security techniques — Information security management systems implementation guidance (IDT)
Издание официальное
Москва Стандарт* нформ
2014
ГОСТ Р ИСО/МЭК 27003—2012
Предисловие
1 ПОДГОТОВЛЕН Федеральным бюджетным учреждением «Консультационно-внедренческая фирма в области международной стандартизации и сертификации — «Фирма «Интерстандарт» (ФБУ «КВФ «Интерстандарт») совместно с Евро-Азиатской ассоциацией производителей товаров и услуг в области безопасности (Ассоциация ЕВРААС) и ООО «Научно-испытательный институт систем обеспечения комплексной безопасности» (ООО «НИИ СОКБ») на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 ноября 2012 г. № 812-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27003:2010 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности» (ISO/IEC 27003:2010 «Information technology— Security techniques—Information security management systems implementation guidance»).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном указателе «Национальнью стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования—на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)
©Стандартинформ, 2014
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии
и
ГОСТ Р ИСО/МЭК 27003—2012
Содержание
1 Область применения....................................... 1
2 Нормативные ссылки....................................... 1
3 Термины и определения...................................... 2
4 Структура настоящего стандарта................................. 2
4.1 Общая структура разделов настоящего стандарта....................... 2
4.2 Общая структура раздела настоящего стандарта....................... 3
4.3 Схемы............................................. 3
5 Получение одобрения руководства для запуска проекта СМИБ.................. 5
5.1 Описание получения одобрения руководства для запуска проекта СМИБ........... 5
5.2 Определение приоритетов организации для разработки СМИБ................. 5
5.3 Определение предварительной области действия СМИБ................... 8
5.4 Разработка технического обоснования и плана проекта для получения санкции руководства . . 9
6 Определение области действия СМИБ. границ и политики СМИБ................. 11
6.1 Общее описание определения области действия СМИБ. границ и политики СМИБ....... 11
6.2 Определение организационной области действия и границ................... 11
6.3 Определение области действия и границ для информационных и коммуникационных технологий
(ИКТ)............................................. 13
6.4 Определение физической области действия и границ...................... 14
6.5 Объединение всех областей действия и границ для получения области действия и границ СМИБ 15
6.6 Разработка политики СМИБ и получение одобрения руководства............... 16
7 Проведение анализа требований к информационной безопасности................ 16
7.1 Общее описание проведения анализа требований к информационной безопасности...... 16
7.2 Определение требований к информационной безопасности для процесса СМИБ........ 17
7.3 Определение активов в рамках области действия СМИБ................... 19
7.4 Проведение оценки информационной безопасности...................... 19
8 Проведение оценки риска и планирование обработки риска.................... 20
8.1 Описание проведения оценки риска и планирования обработки риска............. 20
8.2 Проведение оценки риска................................... 21
8.3 Выбор целей и средств управления.............................. 23
8.4 Получение санкции руководства на внедрение и использование СМИБ............ 23
9 Разработка СМИБ......................................... 24
9.1 Описание разработки СМИБ.................................. 24
9.2 Разработка информационной безопасности организации.................... 25
9.3 Разработка информационной безопасности ИКТ и физических объектов............ 30
9.4 Создание условий для обеспечения надежного функционирования СМИБ........... 32
9.5 Составление окончательного плана проекта СМИБ....................... 34
Приложение А (справочное) Описание контрольного перечня.................... 35
Приложение В (справочное) Роли и сферы ответственности в области информационной безопасности 40
Приложение С (справочное) Информация по внутреннему аудиту.................. 44
Приложение D (справочное) Структура политики........................... 45
Приложение Е (справочное) Мониторинг и измерения........................ 48
Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов
ссылочным национальным стандартам Российской Федерации........... 53
Библиография............................................ 54
III
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная технология
Методы и средства обеспечения безопасности.
Системы менеджмента информационной безопасности.
Руководство по реализации системы менеджмента информационной безопасности
Information technology. Security techniques. Information security management systems. Implementation guidance
of information security management system
Дата введения —2013—12—01
1 Область применения
В настоящем стандарте рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения системы менеджмента информационной безопасности (СМИБ) в соответствии со стандартом ISO/IEC 27001:2005. В нем описывается процесс определения и разработки СМИБ от запуска до составления планов внедрения. В нем описывается процесс получения одобрения руководством внедрения СМИБ. определяется проект внедрения СМИБ (упоминается в настоящем стандарте как проект СМИБ) и представлены рекомендации по планированию проекта СМИБ. в результате которого получается окончательный план внедрения СМИБ.
Настоящий стандарт предназначен для использования организациями, применяющими СМИБ. Он применяется ко всем типам организаций (например, коммерческим предприятиям, правительственным органам, некоммерческим организациям) любых размеров. Сложность структуры и риски каждой организации уникальны, и на внедрение СМИБ будут влиять ее особые требования. Небольшие организации могут посчитать, что действия, указанные в настоящем стандарте, применимы к ним и могут быть упрощены. Крупным организациям или организациям со сложной структурой для эффективного выполнения действий, указанных в настоящем стандарте, может потребоваться многоуровневая система организации или управления.
Однако в обоих случаях соответствующие действия можно планировать, применяя настоящий стандарт.
Настоящий стандарт содержит рекомендации и разъяснения; в нем не указано никаких требований. Настоящий стандарт предназначен для использования в сочетании с ISO/IEC 27001:2005 и ISO/IEC 27002:2005, но не предназначен для изменения или сокращения требований, указанных в ISO/IEC 27001:2005, или рекомендаций, содержащихся в ISO/IEC 27001:2005.
Предъявление требований на соответствие настоящему стандарту не применяется.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты (для недатированных ссылок следует использовать только последнее издание указанного стандарта, включая поправки).
ISO/IEC 27000:2009 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология (ISO/IEC 27000:2009, Information technology — Security techniques — Information security management systems — Overview and vocabulary)
ISO/IEC 27001:2005 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001:2005. Information technology — Security techniques — Information security management systems — Requirements)
Издание официальное
3 Термины и определения
В настоящем стандарте применены термины и определения по ISO/IEC 27000:2009, ISO/IEC 270012005, а также следующий термин с соответствующим определением.
3.1 проект СМИБ (ISMS project): Структурированные действия, предпринимаемые организацией для внедрения системы управления информационной безопасностью.
4 Структура настоящего стандарта
4.1 Общая структура раздела настоящего стандарта
Внедрение системы менеджмента информационной безопасности (СМИБ) является важным видом деятельности и обычно осуществляется в организации как проект. В настоящем стандарте объясняется внедрение СМИБ с подробным описанием запуска, планирования и определения проекта. Процесс планирования конечного внедрения СМИБ включает пять фаз, и каждая фаза представлена в отдельном пункте. Все разделы имеют одинаковую структуру, описываемую ниже. Эти пять фаз следующие:
a) получение одобрения руководства для запуска проекта СМИБ (раздел 5);
b) определения области действия и политики СМИБ (раздел 6);
c) проведение анализа организации (раздел 7);
d) проведение анализа рисков и планирование обработки рисков (раздел 8):
e) разработка СМИБ (раздел 9).
На рисунке 1 представлены пять фаз планирования проекта СМИБ с указанием стандартов ISO/IEC и основных выходных документов.
Дополнительная информация приведена в приложениях:
Приложение А. Описание контрольного перечня.
Приложение В. Роли и сферы ответственности в области информационной безопасности. Приложение С. Информация по внутреннему аудиту.
Приложение D. Структура политики.
Приложение Е. Мониторинг и измерения.
2
ГОСТ Р ИСО/МЭК 27003—2012
4.2 Общая структура раздела настоящего стандарта
Каждый раздел содержит:
a) цель или цели (начиная с того, чего необходимо достичь), указанные в начале каждого раздела в текстовом окне,
или
b) действие или действия, необходимые для достижения цели или целей данной фазы.
Каждое действие описывается в соответствующем пункте.
Описания действий в каждом подпункте структурированы следующим образом:
Действие
Действие определяет, что необходимо сделать для выполнения данного действия, чтобы достичь всех целей или части целей данной фазы.
Исходные данные
В исходных данных представлено описание отправной точки, например, наличие документированных решений или выходных данных других действий, описываемых в настоящем стандарте. Исходные данные могут упоминаться как полный набор исходных данных в начале соответствующего пункта или конкретная информация по какому либо действию, которая может добавляться после ссылки на соответствующий пункт.
Рекомендации
В рекомендациях содержится подробная информация, позволяющая выполнить данное действие. Некоторые рекомендации могут не соответствовать для применения во всех случаях, и другие способы достижения результата могут быть более оптимальными.
Выходные данные
В выходных данных описывается результат(ы) или документ(ы) для сдачи, получаемые после выполнения действия. Выходные данные являются одинаковыми независимо от размера организации и области действия СМИБ.
Дополнительная информация
В разделе дополнительной информации содержится дополнительная информация, которая может помочь в выполнении действия, например, ссылки на другие стандарты.
Примечание — Фазы и действия, описываемые в данном стандарте, включают предлагаемую последовательность выполнения действий на основе зависимостей, определяемых на основе описаний «исходных данных» и «выходных данных» для каждого действия. Однако в зависимости от множества различных факторов (например, эффективности существующей системы управления, понимания важности информационной безопасности, причин внедрения СМИБ) организация может выбирать в любом порядке любые действия, необходимые для подготовки к учреждению и внедрению СМИБ.
4.3 Схемы
Проект часто изображается в графическом виде или в виде схем, показывающих выполняемые действия и их результаты.
На рисунке 2 показаны условные обозначения на схемах, указываемых в пункте обзора каждой фазы. Схемы обеспечивают обзор высокого уровня действий, входящих в каждую фазу.
8 верхнем прямоугольнике показаны фазы планирования проекта СМИБ. Фаза, разъясняемая в конкретном пункте, затем указывается вместе с ключевыми выходными документами.
Нижняя схема (действия в фазе) показывает ключевые действия в указанной фазе верхнего прямоугольника и основные выходные документы каждой фазы.
Временная шкала на нижней схеме основывается на временной шкале верхней схемы.
Действия А и В могут выполняться одновременно. Действие С следует начинать после завершения действий А и В.
3
ГОСТ Р ИСО/МЭК 27003—2012
|
-Ьч
Документ |
|
-ь.
Документ |
|
• |
• |
|
Документ |
|
Документ |
Рисунок 2 — Условные обозначения на блок-схеме
ГОСТ Р ИСО/МЭК 27003—2012
5 Получение одобрения руководства для запуска проекта СМИБ
5.1 Описание получения одобрения руководства для запуска проекта СМИБ
Существует несколько факторов, которые необходимо учитывать при принятии решения о внедрении СМИБ. Для того чтобы учесть эти факторы, руководство должно рассмотреть деловые аргументы в пользу внедрения проекта СМИБ и утвердить его. Следовательно, цель этой фазы — получить одобрение руководства для запуска проекта СМИБ посредством определения случая применения СМИБ для данного предприятия и плана проекта.
Чтобы получить одобрение руководства, организация должна составить описание случая применения СМИБ для данного предприятия, включающее приоритеты и цели внедрения СМИБ, а также структуру организации для СМИБ. Наряду с этим следует составить начальный план проекта СМИБ.
Работа, выполняемая в данной фазе, позволит организации понять важность СМИБ и определить роли и сферы ответственности в области информационной безопасности внутри организации, требуемые для проекта СМИБ.
Ожидаемым результатом этой фазы будет предварительное разрешение руководства и принятие им обязательства по внедрению СМИБ и выполнению действий, описываемых в настоящем стандарте. Выходные данные 8 этом пункте включают описание случая применения СМИБ для данного предприятия и предварительный план проекта СМИБ с описанием ключевых этапов.
На рисунке 3 показан процесс получения одобрения руководства для запуска проекта СМИБ.
Примечание — Выходные данные раздела 5 (документированное поручение руководства на планирование и внедрение СМИБ) и один из документов с выходными данными раздела 7 (документированное описание состояния информационной безопасности) не являются требованиями ISO/IEC 27001:2005. Однако выходные данные по этим действиям являются рекомендованными исходными данными для других действий, описываемых в данном документе.
5.2 Определение приоритетов организации для разработки СМИБ
Действия
Цели внедрения СМИБ должны учитываться при рассмотрении приоритетов и требований организации к информационной безопасности.
Исходные данные:
a) стратегические цели организации;
b) обзор существующих систем управления;
c) перечень правовых, нормативных и договорных требований к информационной безопасности, применяемых в организации.
Рекомендации
Для запуска проекта СМИБ обычно требуется одобрение руководства. Следовательно, первое действие, которое необходимо выполнить, — сбор существенной информации, показывающей значение СМИБ для организации. Организация должна определить, зачем нужна СМИБ, определить цели внедрения СМИБ и запустить проект СМИБ.
Цели внедрения СМИБ можно определить, ответив на следующие вопросы;
a) менеджмент риска — как может СМИБ улучшить управление рисками для информационной безопасности?
b) результативность — как может СМИБ улучшить управление информационной безопасностью?
c) преимущества для предприятия — как может СМИБ создать конкурентные преимущества для организации?
Чтобы ответить на приведенные выше вопросы, необходимо рассмотреть приоритеты и требования организации в области информационной безопасности на основе следующих факторов:
а) важнейшие сферы деятельности предприятия и организации:
1 Что является важнейшими сферами деятельности предприятия и организации?
2 Какие сферы деятельности организации обеспечивают ведение бизнеса и чему уделяется особое внимание?
3 Какие существуют взаимоотношения и соглашения с третьими сторонами?
4 Привлекаются ли сторонние организации для оказания каких-либо услуг?
5
ГОСТ Р ИСО/МЭК 27003—2012
b) засекреченная или ценная информация:
1 Какая информация является наиболее важной для организации?
2 Какими могли бы быть возможные последствия при разглашении определенной информации неуполномоченным сторонам (например, потеря конкурентных преимуществ, ущерб по отношению к бренду или репутации, судебный иск и т. д.)?
c) законы, делающие обаятельным принятие мер информационной безопасности:
1 Какие законы, относящиеся к обработке риска или информационной безопасности, применяются в организации?
2 Является ли организация публичной глобальной организацией, для которой требуется внешняя финансовая отчетность?
d) контрактные или организационные соглашения, относящиеся к информационной безопасности:
1 Какие требования предъявляются к хранению данных (включая сроки хранения)?
2 Существуют ли контрактные требования, связанные с секретностью или качеством (например, соглашение об уровне услуг — SLA)?
e) отраслевые требования, определяющие конкретные способы управления и меры информационной безопасности:
1 Какие требования, характерные для данной отрасли, применяются к организации?
f) угрозы:
1 Какие нужны виды защиты и от каких угроз?
2 Для каких отдельных категорий информации требуется защита?
3 Каковы отдельные типы информационной деятельности, требующие защиты?
д) Конкурентные движущие факторы:
1 Какие минимальные требования к информационной безопасности существуют на рынке?
2 Какие дополнительные способы менеджмента информационной безопасности могут быть стимулированы конкурентными преимуществами организации?
h) требования непрерывности бизнес-процессов
1 Какие существуют важнейшие бизнес-процессы?
2 Как долго организация может выдерживать приостановки каждого из важнейших бизнес-процессов?
Предварительную область действия СМИБ можно определить, ответив на приведенные выше вопросы. Это также необходимо для того, чтобы определить случай применения СМИБ для данного предприятия и общий план проекта СМИБ для утверждения руководством. Подробная область действия СМИБ должна быть определена во время составления проекта СМИБ.
Требования, указанные в ISO/IEC 27001:2005. пункт 4.2.1, а), определяют область действия на основе характеристик предприятия, организации, местонахождения, активов и технологий. Определению этих факторов способствует информация, полученная на основе вышеуказанных вопросов.
Перечень некоторых тем, которые необходимо рассмотреть при принятии первоначальных решений, касающихся области действия СМИБ:
a) каковы обязательные требования к менеджменту информационной безопасности, определенные руководством организации, и обязательства, накладываемые на организацию извне?
b) несут ли ответственность за предлагаемые системы в рамках области действия СМИБ руководящие группы (например, сотрудники разных филиалов и отделов)?
c) как будут передаваться документы, связанные с СМИБ. внутри организации (например, на бумаге или через корпоративную сеть)?
d) могут ли существующие системы управления удовлетворять потребности организации? Являются ли они полнофункциональными, поддерживаются ли в работоспособном состоянии и функционируют ли, как это необходимо?
Примеры целей управления, которые могут использоваться в качестве исходных данных для определения предварительной области действия СМИБ. включают:
a) содействие непрерывности бизнес-процессов и восстановлению их в чрезвычайных ситуациях:
b) повышение устойчивости к инцидентам;
c) внимание к соответствию законам (условиям) контракта и обязательствам;
d) обеспечение возможности сертификации по другим стандартам ISO/IEC;
е) обеспечение развития и положения организации;
f) снижение затрат на управление безопасностью;
д) защита стратегически важных активов;
7
