ГОСТ Р ИСО/МЭК 27003—2012
b
)безопасность ИКТ — охватывает аспекты информационной безопасности, связанные с ответствен
ностью за снижение рисков при выполнении операций с ИКТ. Эти аспекты должны обеспечивать выполне
ние требований, установленных организацией, и техническое внедрение средств управления для снижения
рисков;
c) безопасность физических объектов — охватываетаспекты информационной безопасности, связан
ные. в частности, с ответственностью, возникающей при проработке физического окружения, например
зданий и их инфраструктуры, за снижение риска. Эти аспекты должны обеспечивать выполнение
требова ний. установленных организацией, и техническое внедрение средств управления для снижения
рисков;
d) особые требования к СМИБ — охватывают аспекты, связанные с различными особыми требовани
ями к СМИБ в соответствии с ISO/IEC 27001:2005. в отличие от аспектов, охватываемых в трех других
областях. Основное внимание уделяется определенным действиям, которыедолжны выполняться при вне
дрении СМИБ для получения работоспособной системы, включая:
1Мониторинг:
2 Измерения;
3 Внутренний аудит СМИБ;
4 Обучение и информирование.
5 Управление в чрезвычайных ситуациях:
6 Проверки, осуществляемые руководством;
7 Усовершенствование СМИБ. включая корректирующие и предупреждающие действия.
При разработке проекта СМИБ и связанного с ним планируемого внедрения средств управления
должны использоваться квалификация и опыт работников тех частей организации, которые находятся в
области действия СМИБ или несут административную ответственность, связанную с СМИБ. Аспекты,
связанные с СМИБ. требуют диалога с руководством.
Для разработки выбранных средств управления, применяемыхдля обработки риска, важно разрабо
тать среду безопасности ИКТ и безопасности физических объектов, а также среду безопасности организа
ции. Безопасность ИКТ связана не только с информационными системами и сетями, но также и с техничес
кими требованиями. Безопасность физических объектов связана со всеми аспектами контроля доступа,
неотказуемости. физической защиты информационных активов и хранимой информации, а также сама яв
ляется сродством защиты для управления безопасностью.
Меры и средства контроля и управления, выбранные вдействиях, описываемых в 8.3, должны при
меняться в соответствии с особым структурированным и детализированным планом внедрения, являю
щимся частью плана проекта СМИБ. Эта особая часть плана проекта СМИБ должна описыватьдействия в
случае возникновения каждого вида риска для достижения целей управления. Эта особая часть плана
проекта СМИБ является важной, если необходимо правильно и эффективно применить выбранные меры и
средства контроля и управления. Группа управления информационной безопасностью отвечает за состав
ление этой особой части плана внедрения СМИБ. которая затем образует конечный план проекта СМИБ.
9.2 Разработка информационной безопасности организации
9.2.1 Разработка конечной структуры организации для информационной безопасности
Действия
Необходимо сопоставитьфункции, роли и сферы ответственности в организации, связанные с инфор
мационной безопасностью, собработкой рисков.
Исходные данные:
a) выходные данные действия 5.3.2. определение ролей и сфер ответственностидля предваритель
ной области действия СМИБ— таблица ролей и сфер ответственности;
b
) выходные данные действия 6.5. объединение всех областей действия и границ для получения
области действия и границ СМИБ — областьдействия и границы СМИБ.
На рисунке 7 представлено описание фазы разработки СМИБ.
c) выходные данные действия 6.6. разработка политики СМИБ и получение одобрения руковод
ства — политика СМИБ;
d) выходные данные действия 7.2, определение требований к информационной безопасности для
процесса СМИБ;
e) выходные данные действия 7.3. определение активов в рамках области действия СМИБ;
f) выходные данные действия 7.4. проведение оценки информационной безопасности;
д) выходные данные действия 8.2. проведение оценки риска — результаты оценки риска;
h) выходныеданные действия 8.3. выбор целей и средств управления.
i) ISO/IEC 27002:2005.
25