ГОСТ Р ИСО/МЭК 27003—2012
В процессе разработки стандартов и процедур должны участвовать представители разных частей
организации, попадающих в область действия СМИБ. Участники процесса должны иметь полномочия и
являться представителями организации. Например, могут быть включены следующие роли:
a) менеджеры по информационной безопасности;
b
) представители по вопросам безопасности физических объектов;
c) владельцы информационных систем;
d) владельцы процессов в стратегических и оперативных подразделениях.
Рекомендуется, чтобы редакторская группа была как можно меньше по численности с возможностью
назначения специалистов в группу на временной основе по мере необходимости. Каждый представитель
должен активно поддерживать связь со своим подразделением в организации для обеспечения непрерыв
ной оперативной поддержки. Впоследствии этодолжно способствоватьдальнейшему совершенствованию в
виде процедур и действий на оперативном уровне.
Стандарты и процедуры по информационной безопасности должны впоследствии использоваться в
качестве основы для разработки подробных технических и оперативных процедур.
Действенным способом разработки стандартов и процедур по информационной безопасности являет
ся учет каждого пункта руководства по внедрению системы менеджмента информационной безопасности в
стандартах ISOVIEC 27001:2005 и ISO/IEC 27002:2005. который считается применимым (на основе результа
тов оценки риска), и точное описание того, как он должен применяться.
Оценка любых существующих стандартов и процедур по информационной безопасностидолжна рас
сматриваться. Например, могут ли они усовершенствоваться и развиваться, нет ли необходимости в их
полной замене?
Уместная и актуальная документация должна предоставляться каждому сотруднику организации,
попадающему в область действия системы. Стандарты и процедуры по информационной безопасности
должны применяться ко всей организации или точно указывать, какие роли, системы и подразделения
попадают под их действие. Первая версия должна быть выпущена своевременно.
Процесс редактирования и проверки должен быть определен на ранней стадии. Необходимо соста
вить стратегию, касающуюся того, какдолжна распространяться информация об изменениях политики.
Выходные данные:
a) выходные данные этого действия представляют собой структурированный подробный план вне
дрения средств управления, относящихся кинформационной безопасности как часть конечного плана про
екта СМИБ. включая документированную основу набора стандартов по информационной безопасности;
b
) стандарты по информационной безопасности, включая исходные данные организации;
c) процедуры обеспечения информационной безопасности для получения стандартов по информаци
онной безопасности.
Дополнительная информация
Приложение D— Структура политики.
9.3 Разработка информационной безопасности ИКТ и физических объектов
Действия
Необходимо разработать меры и средства контроля и управления средой безопасности ИКТ и физи
ческих объектов.
Исходные данные:
a) выходные данные действия 6.5. объединение всех областей действия и границ для получения
области действия и границ— областьдействия и границы СМИБ;
b
) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руковод
ства — политика СМИБ;
c) выходные данные действия
72.
определение требований к информационной безопасности для
процесса СМИБ;
d) выходные данные действия 7.3, определение активов в рамках области действия СМИБ;
e) выходныеданные действия 7.4, проведение оценки информационной безопасности;
0 выходныеданныедействия 8.3. выбор целей и средств управления;
д) выходные данные действия 8.4. получение санкции руководства на внедрение и использование
СМИБ— декларация о применимости, включая цели, выбранные меры, средства контроля и управления;
h) ISO/IEC 27002:2005.
30