ГОСТ Р ИСО/МЭК 27003—2012
7.2 Определение требований к информационной безопасности для процесса СМИБ
Действия
Необходимо проанализировать и определитьподробные требования к информационной безопасности
для процесса СМИБ.
Исходные данные:
a) выходныеданные действия 5.2. определение приоритетов организации для разработки СМИБ —
документы:
1Краткое изложение целей, приоритетов в области информационной безопасности и требований орга
низации к СМИБ.
2 Перечень регулирующих, контрактных и отраслевых ограничений, относящихся к информационной
безопасности организации:
b
) выходные данные действия 6.5. объединение всех областей действия и границ для получения
области действия и границ СМИБ — область действия и границы СМИБ;
c) выходные данные действия 6.6. разработка политики СМИБ и получение одобрения руковод
ства — политика СМИБ.
Рекомендации
Для первого этапа требуется собрать всю вспомогательную информацию для СМИБ. Для каждого
процесса в организации и задачи для специалиста требуется принять решение в отношении того, насколько
важной является информация, т. е. какой требуется уровень защиты. На информационную безопасность
могут влиять множество внутренних условий, их необходимо определить. На данном этапе нет необходи
мости в подробном описании информационной технологии. Требуется базовое краткое описание проанали
зированной информации по процессам ворганизации и связанным приложениям и системам ИКТ.
На рисунке 5 представлено описание проведения фазы определения требований к информационной
безопасности.
Анализ процессов ворганизации дает информацию о влияниях инцидентов информационной безопас
ности на деятельность организации. Во многих случаяхдостаточно работы с базовым описанием процес
сов в организации. Процессы, функции, объекты, информационные системы и коммуникационные сети не
обходимо определить и документировать, если они еще не были включены как часть области действия
СМИБ.
Для получения подробных требований к информационной безопасности для СМИБ следует рассмот
реть следующие вопросы:
a) предварительное определение важных информационных активов и текущего состояния защиты
информации;
b
) определение представлений организации и влияния определенных представлений на будущие
требования к информационной безопасности:
c) анализ существующих форм обработки информации, системного программного обеспечения, ком
муникационных сетей, определения действий и ресурсов для информационных технологий и т.д.:
d) определение всех существенных требований (например, законных и обязательных требований,
договорных обязательств, требований организации, отраслевых стандартов и соглашений с клиентами,
условий страхования и т. д.);
e)определение уровня информированности в области информационной безопасности и определение
требований к обучению и образованию вотношении каждого функционального и административного под
разделения.
Выходные данные
Выходные данные этогодействия следующие:
a)определение основных процессов, функций, объектов, информационных систем и коммуникацион
ных сетей;
b
) информационные активы организации:
c) классификация важнейших процессов (активов):
d) требования к информационной безопасности, сформулированные на основе законных, обязатель
ных и контрактных требований;
e) перечень известных уязвимостей, которыедолжны быть устранены врезультатевыполнения требо
ваний к информационной безопасности;
0 требования кобучению и образованию в области информационной безопасности в организации.
Дополнительная информация
Дополнительная специальная информация нетребуется.
17