Товары в корзине: 0 шт Оформить заказ

ГОСТ Р 57640-2017
Информационные технологии. Эталонная модель процесса (ЭМП) для управления информационной безопасностью

Стр. 1 

69 страниц

861.00 ₽

Купить ГОСТ Р 57640-2017 — бумажный документ с голограммой и синими печатями. подробнее

Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль"

Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.

Способы доставки

  • Срочная курьерская доставка (1-3 дня)
  • Курьерская доставка (7 дней)
  • Самовывоз из московского офиса
  • Почта РФ

В стандарте определена эталонная модель процесса (ЭМП) для управления информационной безопасностью. Архитектура модели определяет архитектуру процесса для области применения и включает ряд процессов, каждый из которых описан в терминах цели и результатов процесса.

 Скачать PDF

Идентичен ISO/IEC TS 33052:2016

Оглавление

1 Область применения

2 Нормативные ссылки

3 Термины и определения

4 Краткий обзор ЭМП

5 Описания процесса

     5.1 Введение

     5.2 ORG.1 Управление активами

     5.3 TEC.01 Управление возможностями

     5.4 TEC.02 Управление изменениями

     5.5 COM.01 Управление связью

     5.6 TEC.03 Управление конфигурацией

     5.7 COM.02 Управление документацией

     5.8 ORG.2 Управление оборудованием

     5.9 ORG.3 Управление персоналом в период занятости

     5.10 COM.03 Управление человеческими ресурсами

     5.11 COM.04 Улучшения

     5.12 TEC.04 Управление инцидентами

     5.13 ORG.4 Инфраструктура и рабочая среда

     5.14 COM.05 Внутренний аудит

     5.15 TOR.1 Лидерство

     5.16 COM.06 Анализ управления

     5.17 COM.07 Управление несоответствиями

     5.18 COM.09 Функциональная реализация и управление

     5.19 COM.08 Эксплуатационное планирование

     5.20 COM.10 Оценка функционирования

     5.21 TEC.05 Производство продукции/оказание услуг

     5.22 TEC.08 Продукция/услуги/системные требования

     5.23 COM.11 Управление рисками и возможностями

     5.24 TEC.06 Управление готовностью услуг

     5.25 TEC.07 Управление непрерывностью услуг

     5.26 ORG.5 Управление поставщиками

     5.27 TEC.09 Сохранение и восстановление технических данных

Приложение А (справочное) Отношения между требованиями к системе управления и эталонной моделью процесса

Приложение В (справочное) Положения по соответствию ИСО/МЭК 33004

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам

Библиография

 
Дата введения01.09.2018
Добавлен в базу01.01.2018
Актуализация01.01.2021

Этот ГОСТ находится в:

Организации:

05.09.2017УтвержденФедеральное агентство по техническому регулированию и метрологии115-ст
РазработанООО ИАВЦ
ИзданСтандартинформ2017 г.

Information technology. Process reference model (PRM) for information security management

Стр. 1
стр. 1
Стр. 2
стр. 2
Стр. 3
стр. 3
Стр. 4
стр. 4
Стр. 5
стр. 5
Стр. 6
стр. 6
Стр. 7
стр. 7
Стр. 8
стр. 8
Стр. 9
стр. 9
Стр. 10
стр. 10
Стр. 11
стр. 11
Стр. 12
стр. 12
Стр. 13
стр. 13
Стр. 14
стр. 14
Стр. 15
стр. 15
Стр. 16
стр. 16
Стр. 17
стр. 17
Стр. 18
стр. 18
Стр. 19
стр. 19
Стр. 20
стр. 20
Стр. 21
стр. 21
Стр. 22
стр. 22
Стр. 23
стр. 23
Стр. 24
стр. 24
Стр. 25
стр. 25
Стр. 26
стр. 26
Стр. 27
стр. 27
Стр. 28
стр. 28
Стр. 29
стр. 29
Стр. 30
стр. 30

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

ГОСТР

57640—

2017/

ISO/IEC TS 33052:2016

Информационные технологии

ЭТАЛОННАЯ МОДЕЛЬ ПРОЦЕССА (ЭМП) ДЛЯ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

(ISO/IEC TS 33052:2016, IDT)

Издание официальное

Москва

Стандартинформ

2017

Предисловие

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 22 «Информационные технологии»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 5 сентября 2017 г. № 1015-ст

4    Настоящий стандарт идентичен международному документу ISO/IEC TS 33052:2016 «Информационные технологии. Эталонная модель процесса (ЭМП) для управления информационной безопасностью» (ISO/IEC TS 33052:2016 «Infonnation technology — Process reference model (PRM) for information security management», IDT).

ISO/IEC TS 33052 разработан подкомитетом ПК 7 «Системная и программная инженерия» Совместного технического комитета СТК 1 «Информационные технологии» Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

6    Некоторые положения международного документа, указанного в пункте 4, могут являться объектом патентных прав. ИСО и МЭК не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информащюнном указателе «Национальные стандарты» В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

©Стандартинформ. 2017

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

27001 2ED 07.5.2

Создание и обновление [2. 5]

27001 2ED 07 5 3

Контроль зарегистрированной информации [2—4. 6. 7]

27001 2ED 08 1

Эксплуатационное планирование и контроль [7]

27001 2ED 08 3

Реакция на риски нарушения информационной безопас-ности [1. 5)

27001 2ED 09 1

Контроль, измерения, анализ и оценка (1)

27001 2ED 09 2

Внутренний аудит (1)

27001 2ED09 3

Анализ управления (1]

27001 2ED 101

Несоответствия и корректирующие действия (1)

27001 2EDA05 1 1

Политика обеспечения информационной безопасности (5. 6]

27001 2EDA081.3

Надлежащее использование активов [1]

27001 2EDA09 1 1

Политика контроля доступа (1)

27001 2EDA121 1

Зарегистрированные рабочие процедуры [1, 6)

27001 2EDA12 4 1

Регистрация событий [1]

27001 2EDA13 2 4

Соглашения о конфиденциальности или неразглашении [1]

27001 2EDA14 2.5

Принципы безопасной системной инженерии (1. 3]

27001 2EDA151.1

Политика информационной безопасности в отношениях с поставщиками [1. 3]

27001 2EDA16 1 5

Реагирование на инциденты нарушения информационной безопасности[1]

27001 2EDA16 1 7

Сбор свидетельств (1)

27001 2EDA17 1 2

Обеспечение непрерывности информационной безопасности [1, 3)

27001 2EDA18 1.1.01

Применяемые законодательные и нормативные требования [1.3]

27001 2EDA18 1.1.02

Применяемые контрактные требования [1, 3]

27001 2EDA18 1 3

Защита записей [4]

5.8 ORG.2 Управление оборудованием

Идентификатор процесса

ORG 2

Название

Управление оборудованием

Цель

Цель процесса — гарантировать целостность функционирования и поведения оборудования и связанных с ним программных средств

Контекст

Этот процесс определяет действия, которые будут предприняты для защиты оборудования от изменений по установке (т е проверка) или изменений в окружающей среде, которые могут привести к сбою в параметрах установки

Выходные результаты

В результате успешной реализации этого процесса

1    Производится установка оборудования таким образом, чтобы минимизировать риск ущерба среде и иного ущерба

2    Гарантируется непрерывность обеспечения услуг для оборудования

6

ГОСТ Р 57640-2017

3    Оборудование обслуживается таким образом, чтобы гарантировать его длительную пригодность и целостность

4    Оборудование управляется на местах, чтобы гарантировать целостность функционирования

5    Обеспечивается целостность информации после технического обслуживания оборудования

6    Контролируется перемещение оборудования

Прослеживаемость

требований

27001 2ED А. 11.2.1 Размещение и защита оборудования [1J 27001 2ED All.2.2 Поддерживающие утилиты [2]

27001 2ED А 11.2 3 Защита кабельных сетей (1)

27001 2ED А 11.2.4 Обслуживание оборудования (3)

27001 2ED А 11.2 5 Перемещение активов [6]

27001 2ED А 11.2 6 Защита оборудования и активов вне территории [4]

27001 2EDA11 2.7 Безопасная утилизация или повторное использование оборудования [5]

27001 2ED А 13.1.1 Средства управления сетями [3]

5.9 ORG.3 Управление персоналом в период занятости

Идентификатор процесса

ORG.3

Название

Управление персоналом в период занятости

Цель

Цель процесса состоит в том, чтобы предотвратить угрозы информационной безопасности со стороны персонала перед наймом, во время работы и по ее завершению

Контекст

Этот процесс обращается к предосторожностям в области безопасности, связанным с работой персонала Эти предосторожности касаются действий персонала до начала работы, в период работы и после расторжения контракта

Выходные

результаты

В результате успешной реализации этого процесса

1    Определяются роли и обязанности служащих, подрядчиков и пользователей, имеющих отношение к третьей стороне

2    Принимаются перспективные работники в соответствии с определенными законами, инструкциями и этикой, согласно профессиональным требованиям с учетом осознанных рисков

3    Устанавливается согласие принимаемых работников со сроками и условиями трудового контракта

4    Руководствуются сроками и условиями занятости

5    [Служащие применяют соответствующие организационные политики и процедуры согласно их рабочим функциям)

бПрименяютсядисциплинарныемерыкслужащим, которые нарушили согласованные условия контракта

7    Определяются обязанности по завершению или изменению условий контракта

8    По завершении контракта служащие возвращают организации все активы, находившиеся в их владении

9    Доступ служащего к информационным ресурсам прекращается после завершения контракта

Прослеживаемость

требований

27001 2ED 07.1.1 Предварительная проверка (2)

27001 2ED 07 1 2 Условия трудового соглашения (1, 3) 27001 2ED 07 2 1 Ответственность руководства (4)

7

27001 2ED 07.2.3 Дисциплинарные меры (6)

27001 2ED 07.3.1 Освобождение от обязанностей или их изменение [7)

27001 2ED 08 1 4 Возврат активов [8]

27001 2ED 09.2.6 Отмена или изменение прав доступа [9]

27001 2ED 09.3.1 Использование секретной информации по аутентификации (3]

5.10 COM.03 Управление человеческими ресурсами

Идентификатор процесса

СОМ 03

Название

Управление человеческими ресурсами

Цель

Цель процесса состоит в обеспечении организации необходимыми человеческими ресурсами и поддержании их компетентности на уровне, совместимом с деловыми потребностями

Контекст

Этот процесс состоит в определении и разработке компетентности людей относительно их действий и потребностей организационного процесса

Выходные результаты

В результате успешной реализации этого процесса

1    Определяются компетентности, требуемые организации для производства продукции и услуг.

2    Осуществляется обучение или наем с нужным уровнем компетентности, чтобы заполнить выявленные пробелы компетентности

3    Демонстрируются каждым работником понимание роли и действий в достижении целей организации в производстве продукции и услуг

Прослеживаемость

требований

27001 2ED07 2 Компетентность [1—3]

27001 2ED 07 3 Осведомленность (3J

27001 2ED А 07.2.2 Осведомленность, образование и обучение в сфере

информационной безопасности [3]

5.11 СОМ.04 Улучшения

Идентификатор процесса

СОМ 04

Название

Улучшения

Цель

Цель процесса состоит в непрерывном совершенствовании системы управления, ее процессов и продукции

Контекст

Этот процесс позволяет организации усовершенствовать систему управления, ее процессы, продукцию и услуги Этот процесс включает в себя определение, оценку, утверждение, установление приоритетов управления, измерение и обзор улучшений

Выходные результаты

В результате успешной реализации этого процесса

1    Определяются возможности улучшения

2    [Производится оценка возможности улучшения по определенным критериям]

3    [Улучшения располагаются по приоритетам]

4    [Реализуются улучшения)

5    [Оценивается эффективность реализованных улучшений]

Прослеживаемость

требований

27001 2ED 09 3 Анализ управления [1]

5.12 ТЕС.04 Управление инцидентами

Идентификатор процесса

ТЕС.04

Название

Управление инцидентами

Цель

Цель процесса — определять и разрешать события в области информационной безопасности и инциденты в пределах согласованных уровней услуг

Контекст

Цель управления инцидентами состоит в том. чтобы восстановить услуги в пределах согласованных уровней их реализации При этом ориентируются на сокращение продолжительности и последствий простоев в работе и клиентских аспектах, а не на установление первопричин инцидентов

Выходные результаты

В результате успешной реализации этого процесса

1    Определяются инциденты

2    Классифицируются, располагаются по приоритетам и анализируются инциденты

3    Разрешаются и закрываются инциденты.

4    [Делается отчет по инцидентам, инциденты учитываются в соответствии с согласованными уровнями услуг]

Прослеживаемость

требований

27001 2ED 16 1 2 Отчетность о событиях, связанных с информационной безопасностью [1]

27001 2ED 16 1.3 Отчетность об уязвимостях в области информационной безопасности [1]

27001 2ED 16 1 4 Оценки и решения по событиям информационной безопасности [2]

27001 2ED 16 15 Реагирование на инциденты нарушения информационной безопасности[3]

5.13 ORG.4 Инфраструктура и рабочая среда

Идентификатор процесса

ORG.4

Название

Инфраструктура и рабочая среда

Цель

Цель процесса состоит в обеспечении приемлемой инфраструктуры и услуг для проектов, чтобы поддержать цели организации и проектов в их жизненных циклах

Контекст

Инфраструктура охватывает физические элементы, которые связаны с физическим оборудованием, где могут быть размещены люди Рабочая среда относится к мерам в пределах инфраструктуры, которые облегчают и применяют эффективные взаимодействия и действия людей

Выходные результаты

В результате успешной реализации этого процесса

1    Определяются требования к инфраструктуре и рабочей среде, чтобы поддерживать процессы.

2    Определяются права доступа к информационным ресурсам

3    [Определяются инфраструктура и элементы рабочей среды]

4    [Приобретаются и вводятся в действие инфраструктура и элементы рабочей среды]

5    Инфраструктура и рабочая среда управляются и поддерживаются

6    Контролируется доступ к информационным ресурсам

7    Информационные ресурсы защищаются от злоупотреблений

Прослеживаемость

требований

27001 2ED А 09 1 2 Доступ к сетям и сетевым службам [6]

27001 2ED А 09 2 3 Управление привилегированными правами доступа [6] 27001 2ED А 09 2.5 Пересмотр прав доступа пользователей [6]

27001 2EDA09 4 1 Ограничение доступа к информации [2]

27001 2ED А 09 4 2

Безопасные процедуры входа в систему [6]

27001 2EDA09 4 3

Система управления паролями (6)

27001 2ED А 09 4 4

Использование утилит с привилегированными правами [7]

27001 2EDA 09 4 5

Контроль доступа к исходным кодам [6J

27001 2EDA11.1 1

Физический периметр безопасности (1. 5]

27001 2EDA11.1 2

Контроль физического прохода [1]

27001 2EDA 11.1.3

Защита офисов, помещений и устройств [1, 5)

27001 2EDA11.1 4

Защита от внешних угроз и угроз природного характера [1, 5]

27001 2EDA11.1 6

Зоны доставки и отгрузки (5]

27001 2EDA11.2 8

Оборудование пользователя, находящееся без присмотра [5]

27001 2EDA12 1 4

Разделение среды разработки, тестирования и эксплуатации (2)

27001 2EDA12 4 1

Регистрация событий (7)

27001 2EDA12 4 2

Защита регистрируемой информации [7]

27001 2EDA12 4 3

Журналы действий администратора и оператора (6)

27001 2EDA12 4 4

Синхронизация времени [1]

27001 2EDA12 6 1

Управление техническими уязвимостями (7]

27001 2EDA13 1 2

Безопасность сетевых услуг [1]

27001 2EDA13 1 3

Разделение в сетях (2)

27001 2EDA13 2 3

Электронные сообщения [7J

27001 2EDA14 1 3

Защита транзакций прикладных услуг [7]

27001 2EDA14 2 6

Безопасная среда разработки (1)

27001 2EDA.18 1 4

Конфиденциальность и защита персональных данных [7]

27001 2EDA18 1 5

Регламентация применения криптографических методов [7J

5.14 СОМ.05 Внутренний аудит

Идентификатор процесса

СОМ 05

Название

Внутренний аудит

Цель

Цель процесса — независимое определение соответствия системы управления, услуг и процессов требованиям, политике, планам и соглашениям установленным способом

Контекст

Этот процесс включает в себя проведение аудитов с тем, чтобы независимо определить. соответствуют ли система управления и деловые процессы требованиям, установленным организацией

Выходные результаты

В результате успешной реализации этого процесса

1    Определяются область и цель каждого аудита

2    Гарантируются объективность и беспристрастность проведения аудита и выбора аудиторов

3    Определяется соответствие отобранных услуг, продукции и процессов требованиям, планам и соглашениям

ГОСТ P 57640—2017

Прослеживаемость

требований

27001 2ED 09 2

Внутренний аудит [1—3]

27001 2EDA 15 2 1

Мониторинг и анализ услуг поставщика [3]

27001 2EDA.18 2 1

Независимый анализ информационной безопасности [3]

27001 2EDA 18 2 2

Соответствие политикам безопасности и стандартам [3]

27001 2EDA 18 2 3

Анализ технического соответствия [1]

5.15 ТОР.1 Лидерство

Идентификатор процесса

TOP1

Название

Лидерство

Цель

Цель процесса — направить организацию на достижение ее видения, назначения, стратегии и целей путем определения и реализации системы управления, политики и целей системы управления

Контекст

Этот процесс состоит в определении области применения системы управления, а также политики и целей

Выходные результаты

В результате успешной реализации этого процесса

1    Понимается и анализируется среда организации, включая ожидания ее заинтересованных сторон

2    Определяется область действий системы управления с учетом среды организации

3    Определяется политика системы управления и цели

4    Определяются система управления и функциональная стратегия процесса

5    Демонстрируются обязательства и лидерство относительно системы управления

Прослеживаемость

27001 2ED 04 1

Понимание организации и ее среды [1]

требований

27001 2ED 04 2

Понимание потребностей и ожиданий заинтересованных сторон [1]

27001 2ED04 3

Определение области применения СУИБ (2)

27001 2ED 04 4

СУИБ [4]

27001 2ED 05 1

Лидерство и обязательства [5]

27001 2ED05 2

Политика (3)

27001 2ED 06 2

Цели в области информационной безопасности и планирование их достижения [3]

27001 2ED 07.5.1

Общее (4]

27001 2ED 07.5 3

Управление документируемой информацией [4]

27001 2ED08 1

Эксплуатационное планирование и управление (4)

27001 2ED 10 2

Непрерывное улучшение [4]

27001 2EDA05 1 1

Политика обеспечения информационной безопасности (3)

5.16 COM.06 Анализ управления

Идентификатор процесса

сомов

Название

Анализ управления

Цель

Цель процесса — оценить работу системы управления, определить и принять решения относительно потенциальных улучшений

11

ГОСТ P 57640—2017

Содержание

1    Область применения.................................................................1

2    Нормативные ссылки.................................................................1

3    Термины и определения...............................................................1

4    Краткий обзор ЭМП..................................................................1

5    Описания процесса..................................................................2

5.1    Введение.......................................................................2

5.2    0RG.1 Управление активами.......................................................3

5.3    ТЕС.01 Управление возможностями.................................................3

5.4    ТЕС.02 Управление изменениями...................................................4

5.5    СОМ.01 Управление связью........................................................4

5.6    ТЕС.03 Управление конфигурацией..................................................5

5.7    СОМ.02 Управление документацией.................................................5

5.8    ORG.2 Управление оборудованием..................................................6

5.9    ORG.3 Управление персоналом в период занятости....................................7

5.10    СОМ.03 Управление человеческими ресурсами.......................................8

5.11    СОМ.04 Улучшения..............................................................8

5.12ТЕС.04 Управление инцидентами..................................................9

5.13    ORG.4 Инфраструктура и рабочая среда............................................9

5.14    СОМ.05 Внутренний аудит.......................................................10

5.15ТОР.1 Лидерство...............................................................11

5.16    СОМ.06 Анализ управления......................................................11

5.17    СОМ.07 Управление несоответствиями............................................12

5.18    СОМ.09 Функциональная реализация и управление..................................12

5.19    СОМ.08 Эксплуатационное планирование..........................................14

5.20    СОМ. 10 Оценка функционирования...............................................16

5.21    ТЕС.05 Производство продукции/оказание услуг.....................................17

5.22    ТЕС.08 Продукция/услуги/системные требования....................................17

5.23    СОМ.11 Управление рисками и возможностями......................................18

5.24    ТЕС.06 Управление готовностью услуг.............................................18

5.25    ТЕС.07 Управление непрерывностью услуг.........................................19

5.26    ORG.5 Управление поставщиками ................................................19

5.27    ТЕС.09 Сохранение и восстановление технических данных............................20

Приложение А (справочное) Отношения между требованиями к системе управления

и эталонной моделью процесса............................................21

Приложение В (справочное) Положения по соответствию ИСО/МЭК 33004 ..................... 61

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам...............................................63

Библиография.......................................................................63

III

Введение


Цель настоящего стандарта состоит в том, чтобы облегчить разработку модели оценки процесса (МОП), приведенной в ИСО/МЭК 33072.

ИСО/МЭК 33002 устанавливает требования для осуществления оценки процесса. ИСО/МЭК 33020 описывает шкалу измерений для оценки характеристик качества с точки зрения возможностей процесса. ИСО/МЭК 33001 определяет понятия и терминологию, используемые для оценки процесса.

Эталонная модель процесса (ЭМП) является моделью, включающей в себя определения процессов, описанных в терминах цели и результатов, совместно с архитектурой, определяющей отношения между процессами. При использовании ЭМП на практике могут потребоваться дополнительные элементы. отвечающие окружающей среде и обстоятельствам.

ЭМП, определенная в настоящем стандарте, описывает ряд процессов, включая процессы системы управления информационной безопасностью (СУИБ). приведенные в ИСО/МЭК 27001. Каждый процесс ЭМП описан в терминах цели и результатов и обеспечивает прослеживаемость требований. ЭМП не пытается разместить процессы в заданной среде и не предопределяет уровень возможностей процесса, необходимых для выполнения требований ИСО/МЭК 27001. ЭМП не предназначена для аудита оценки соответствия или использования в качестве эталонного руководства по реализации процесса.

Соотношение между стандартами ИСО/МЭК 24774, ИСО/МЭК 27001, ИСО/МЭК 33002, ИСО/МЭК 33004, ИСО/МЭК 33020, ИСО/МЭК TS 33052 и ИСО/МЭК TS 33072 приведено на рисунке 1.


ИСО/МЭК 27001 Система управления информационной безопасности

ИСО/МЭК ТО 24774 Руководство для описания процесса

^Обеспечивает

требования

Информирует

I

ИСО/МЭК 33004

ИСО/МЭК ТТ 33052

Требования к эталонным

Эталонная модель процесса

моделям процесса, моделям оценки процесса и моделям

для управления информационной

зрелости

безопасностью

Обеспечивает описание процессов оцениваемых с помощью


1


ИСО/МЭК 33002 Требования к проведению оценки процесса


ИСО/МЭК ТТ 33072 Модель оценки процесса для управления информационной безопасностью


ИСО/МЭК 33020 Система измерения процесса для оценки возможностей процесса


Рисунок 1 — Соотношение между соответствующими стандартами


IV


ГОСТ P 57640—2017

Любая организация может определить процессы с какими-либо дополнительными элементами, адаптируясь к определенной среде и обстоятельствам. Некоторые процессы охватывают общие аспекты управления в организации. Эти процессы должны быть определены так. чтобы соответствовать требованиям ИСО/МЭК 27001.

ЭМП не обеспечивает предоставление свидетельств, требуемых ИСО/МЭК 27001. ЭМП не определяет взаимодействие между процессами.

Описания процессов в рамках ЭМП для управления информационной безопасностью приведены в разделе 5. Приложение А обеспечивает положения в соответствии с ИСО/МЭК 33002.

V

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

ЭТАЛОННАЯ МОДЕЛЬ ПРОЦЕССА (ЭМП)

ДЛЯ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Information technology Process reference model (PRM) for information security management

Дата введения — 2018—09—01

1    Область применения

В настоящем стандарте определена эталонная модель процесса (ЭМП) для управления информационной безопасностью. Архитектура модели определяет архитектуру процесса для области применения и включает ряд процессов, каждый из которых описан в терминах цели и результатов процесса.

2    Нормативные ссылки

В настоящем стандарте применены следующие нормативные ссылки. Для датированных документов используются только указанные издания. Для недатированных документов используются последние издания с учетом внесенных в них изменений.

ISO/IEC 27001:2013. Information technology — Security techniques—Information security management systems — Requirements (Информационные технологии. Методы безопасности. Системы управления информационной безопасностью. Требования)

ISO/IEC 33001, Information technology — Process assessment — Concepts and terminology (Информационные технологии. Оценка процесса. Понятия и терминология)

3    Термины и определения

В настоящем стандарте применены термины и соответствующие определения по ИСО/МЭК 27001 и ИСО/МЭК 33001.

4    Краткий обзор ЭМП

Структура ЭМП. применяемая для поддержки управления информационной безопасностью, приведена в настоящем разделе. ЭМП включает процессы, которые могут существовать 8 контексте системы управления у поставщика услуг.

Процессы, определенные согласно требованиям ИСО/МЭК 27001. приведены на рисунке 2.

Издание официальное

ТОР.1 Лидерство


Общие интегрированные процессы управления

СОМ 01 Управление связью

СОМ 02 Управление документацией

СОМ 03 Управление челоеечесхими ресурсами

СОМ 04 Улучшения

СОМ 05 Внутренний аудит

СОМ 06 Анализ управления

СОМ 07 Управление несоответствиями

СОМ 08 Эксплуатационное планированию

СОМ 09 Функциональная реализация и управление

СОМ 10 Оценка функционирования

СОМ 11 Управление рисками и возможностями


Организационные процессы

ORG 1 Управление активами

ORG 2 Управление оборудованием

ORG 3 Управление персоналом в период занятости

ORG 4 Инс^раструктура и рабочая среда

ORG 5 Управление поставоцками


Технические процессы

ТЕС 01 Управление возможностями    ТЕС 02    Управление изменениями

ТЕС 03 Управление конфигурацией    ТЕС    04    Управление инцидентами

ТЕС 05 Производство продукции/окаэание услуг    ТЕС 06    Управление готовностью услуг

ТЕС 07 Управление непрерывностью услуг    ТЕС    08    Продукцилуслуги/систвмнье требовании

ТЕС 09 Сохранение и восстановление технических данных


Рисунок 2 — Процессы в ЭМП


5 Описания процесса

5.1 Введение

Каждый процесс в ЭМП может быть описан с помощью следующих элементов:

a)    идентификатора процесса: каждый процесс, принадлежащий группе, идентифицируется с использованием идентификатора процесса, состоящего из сокращенного названия группы и последующего номера процесса в этой группе:

b)    названия: название процесса — короткая фраза, описывающая область процесса, идентифицируя основной интерес процесса, и отличающая его от других процессов в рамках ЭМП;

c)    контекста: краткий обзор для каждого процесса, описывающий намеченный контекст применения процесса;

d)    цели процесса: некий высокий уровень достижений в результате выполнения процесса:

e)    выходов (выходных результатов): наблюдаемый результат успешного достижения цели процесса. Результаты являются оцениваемыми, материальными, техническими или деловыми, достигаемыми с помощью процесса. Выходы являются наблюдаемыми и подлежат оценке;

О прослеживаемости требований: результаты основаны на требованиях ИСО/МЭК 27001. Ссылки идентифицируют применимые подразделы ИСО/МЭК 27001, заголовок подраздела и поддерживаемые результаты.

Все записи в ряду прослеживаемых требований в подразделах с 5.2 по 5.27 заканчиваются числами 8 квадратных скобках, т. е. (л). Каждое число в квадратных скобках — это ссылка на пронумерованный результат. Эти результаты непосредственно связаны с требованиями ИСО/МЭК 27001.


2


ГОСТ Р 57640-2017

Некоторые выходные результаты отражаются в квадратных скобках. Они только косвенно связаны с требованиями ИСО/МЭК 27001. Ни одна из записей в ряду прослеживаемых требований не ссылается на результаты в квадратных скобках. Эти дополнительные результаты были включены постольку, поскольку считаются необходимыми для данного типа ЭМП как основы МОП (ИСО/МЭК TS 33072). С этими дополнительными результатами процесс является полным, и цель процесса может быть достигнута.

5.2 ORG.1 Управление активами

Идентификатор процесса

ORG.1

Название

Управление активами

Цель

Цель процесса состоит в том, чтобы установить и поддерживать целостность всех идентифицированных активов продукции

Контекст

Этот процесс связан с установлением и поддержанием идентичности продуктов и их конфигурационной информации для обеспечения эффективного контроля продукции Область активов может включать в себя физические активы (например, инфраструктуру, аппаратные средства, программные средства) и нематериальные активы (например, интеллектуальную собственность)

Выходные результаты

В результате успешной реализации этого процесса

1    Идентифицируются объекты, требующие управления активами

2    Классифицируются объекты активов

3    Инвентаризируются активы

4    (Определяется статус активов)

5    Контролируются изменения активов, находящихся под управлением

Прослеживаемость

требований

27001 2ED А08 1.1 Инвентаризация активов (1. 3, 5)

27001 2ED А 08 2 1 Классификация информации (2)

27001 2ED А 08 3 2 Утилизация носителей информации (5)

27001 2ED А 08 3 3 Физическое перемещение носителей информации (5)

5.3 ТЕС.01 Управление возможностями

Идентификатор процесса

ТЕС 01

Название

Управление возможностями

Цель

Цель процесса состоит в обеспечении гарантий того, что у организации имеются возможности для удовлетворения текущим и будущим системным требованиям

Контекст

Этот процесс гарантирует достаточность ресурсов и возможностей для удовлетворения согласованным требованиям, эффективным по стоимости и времени Процесс позволяет поставщику услуг обеспечить достаточные ресурсы согласованного выполнения услуг и достижения целей на должном уровне

Выходные результаты

В результате успешной реализации этого процесса

1    (Определяются текущая и будущая возможности и требования для удовлетворения потребностей]

2    (Обеспечиваются возможности для удовлетворения текущих возможностей и потребностей]

3    Контролируется использование возможностей, анализируется и осуществляется настройка для удовлетворения потребностей

4    (Подготавливаются возможности для удовлетворения будущих возможностей и потребностей]

Прослеживаемость

требований

27001 2EDA 12 1 3 Управление возможностями [3]

3

5.4 TEC.02 Управление изменениями

Идентификатор процесса

ТЕС 02

Название

Управление изменениями

Цель

Цель процесса состоит в том. чтобы обеспечить направленность всех действий, связанных с изменениями, касающимися продукции, услуг, процессов и систем, используемыми для производства продукции или оказания услуг

Контекст

Изменения, касающиеся продукции, услуги систем, их применению и инфраструктуры, планируются и управляются для обеспечения гарантий по времени выполнения без ненужных сбоев

Выходные результаты

В результате успешной реализации этого процесса

1    [Классифицируются запросы на изменения]

2    Анализируются и оцениваются заявки на изменения с использованием определенных критериев.

3    [Анализируются и оцениваются изменения с использованием определенных критериев]

4    [Если изменения принимаются, они реализуются]

Прослеживаемость

требований

27001 2ED А 15 2 2 Управление изменениями в услугах поставщика [2]

5.5 СОМ.01 Управление связью

Идентификатор процесса

СОМ 01

Название

Управление связью

Цель

Цель процесса состоит в том, чтобы предоставлять своевременную и точную информационную продукциюдля поддержки эффективной связи и принятия решений

Контекст

Этот процесс представляет собой сосредоточение всех действий по связи в процессах систем управления

Выходные результаты

В результате успешной реализации этого процесса

1    Формируется информационное содержание в терминах определенных потребностей связи и требований

2    Определяются стороны для связи.

3    Определяется сторона, ответственная за связь

4    Определяются события, которые требуют действий по связи

5    Выбирается канал связи

6    Доводится до заинтересованных сторон информационная продукция

Прослеживаемость

требований

27001 2ED 05 1 Лидерство и обязательства [6]

27001 2ED 05 2 Политика [6]

27001 2ED 05 3 Организационные функции, ответственность и полномочия [6] 27001 2ED 06 2 Цели в области информационной безопасности и планирование их достижения [6]

27001 2ED 07 4 Связь [1—5]

27001 2ED 09 2 Внутренний аудит [6]

27001 2ED А 05.1.1 Политики обеспечения информационной безопасности [6] 27001 2ED А 06.1.3 Контакт с полномочными органами (2)

27001 2ED А 06 1.4 Контакты с профессиональными сообществами [2]

27001 2ED А 07.2.3 Дисциплинарные меры [6]

27001 2ED А 07.3.1 Освобождение от обязанностей или их изменение [6]

5.6 TEC.03 Управление конфигурацией

Идентификатор процесса

ТЕС 03

Название

Управление конфигурацией

Цель

Цель процесса состоит в том. чтобы определять, контролировать, регистрировать, отслеживать, делать отчеты и проверять все идентифицированные компоненты продукции/услуг

Контекст

Этот процесс позволяет установить и поддержать целостность компонентов продукции/услуг для обеспечения их эффективного контроля

Выходные результаты

В результате успешной реализации этого процесса

1    (Определяются обьекты, требующие управления конфигурацией)

2    (Определяется статус объектов конфигурации и модификаций)

3    Контролируются изменения по объектам под управлением конфигурацией

4    (Гарантируется целостность систем, продукции/услуг и компонентов продукции/ услуг)

5    (Контролируется конфигурация выпущенных объектов]

Прослеживаемость

требований

27001 2ED А 14 2 4 Ограничения на изменения в пакетах программ (3) 27001 2ED А 14.3.1 Защита данных для тестирования (3)

5.7 СОМ.02 Управление документацией

Идентификатор процесса

СОМ 02

Название

Управление документацией

Цель

Цель процесса состоит в том. чтобы обеспечить своевременное предоставление соответствующей полной, достоверной и, если необходимо, конфиденциальной зарегистрированной информации согласно ее назначению

Контекст

Этот процесс обеспечивает меры для того, чтобы запрошенная задокументированная информация (например, процедуры, инструкции и шаблоны) была доступна согласно ее назначению для достижения целей информационной безопасности

Выходные результаты

В результате успешной реализации этого процесса

1    Определяется документируемая информация, которая подлежит управлению

2    Определяются формы регистрируемого представления информации

3    Становится известным статус содержания регистрируемой информации

4    Документируемая информация является обновляемой, полной и достоверной

5    Документируемая информация выпускается согласно определенным критериям

6    Документируемая информация становится доступной для назначенных сторон

7    Документируемая информация архивируется или уничтожается согласно установленным требованиям

Прослеживаемость

требований

27001 2ED 04 3 Определение области СУП Б (1)

27001 2ED 05 2 Политика (1. 6)

27001 2ED Об 1.2 Оценка рисков нарушения информационной безопасности (1)

27001 2ED 06 1 3 Реакция на риски нарушения информационной безопасности (1. 5)

27001 2ED 06.2 Цели в области информационной безопасности и планирование их достижения (1. 3)

27001 2ED 07.2 Компетентность (1)

5