39
ИСО/МЭК 27001 и ИСО/МЭК 27002 апробированы и полностью совместимы. Запланированы регулярные обновления в соответствии с общим подходом к модификации стандартов ИСО/МЭК и сохранение при таких обновлениях совместимости стандартов.
B.5.6 Завершенность
ИСО/МЭК 27001 и ИСО/МЭК 27002 в значительной степени ориентированы на нисходящий подход и содержат общие требования и руководство по безопасности. Эти требования охватывают все области, имеющие значение в настоящее время. Стандарты не содержат каких-либо ориентированных на продукт требований, а ориентированные на технологии требования обобщены и содержат лишь незначительное число подробностей.
ИСО/МЭК 27001 и ИСО/МЭК 27002 не ограничиваются одним конкретным уровнем безопасности, а рекомендуемые ими меры управления ориентированы на основной подход к обеспечению безопасности и пригодны только для уровней безопасности от высокого до максимального после модификации. Однако ориентированный на руководство подход обеспечивает поддержку всем уровням безопасности.
ИСО/МЭК 27001 позволяет исключить меры управления, изложенные в ИСО/МЭК 27002, на основании, например, их несоответствия деятельности в рамках сферы действия или отсутствия необходимости обработки связанных с этой деятельностью рисков безопасности. Для адаптации к небольшим предприятиям возможна модификация мер управления.
B.5.7 Стоимость реализации/объем работ по реализации
Придание особого значения деятельности руководства делает усилия, необходимые для внедрения систем менеджмента информационной безопасности, в большой степени зависимыми от общего качества организованности учреждения. Для недостаточно хорошо организованных учреждений требуются значительно большие усилия, чем для учреждений с вполне определенными организационными структурами.
Метод использования правил для обеспечения рекомендаций по внедрению мер управления в основном делает возможным применение имеющихся мер управления для выполнения относящихся к ним требований без дополнительных затрат.
Объем работ по внедрению системы менеджмента информационной безопасности на основе требований ИСО/МЭК 27001 в значительной мере определяется областью действия системы. Выбор метода оценки риска оказывает большое влияние на необходимый объем работы.
Стоимость сертификации по ИСО/МЭК 27001 аналогична стоимости сертификации по ИСО/МЭК 9000.
Следует отметить, что стоимость сертификации надо рассматривать отдельно от стоимости внедрения соответствующей системы менеджмента информационной безопасности. Подобные затраты зависят от масштаба организации, характера принятых мер и имеющихся угроз. Обобщенное определение таких затрат невозможно.
Для оценивания обычно требуется определенный период времени с перерывами на внедрение различных аспектов СМИБ или решение возникающих проблем. Обычно фактическая продолжительность оценивания составляет от трех до 12 месяцев.
B.5.8 Поддержка инструментальными средствами
ИСО/МЭК 27001 и ИСО/МЭК 27002 можно поддерживать различными инструментальными средствами. Для оценки риска, поддержки разработки и сохранения необходимых документов и записей и сравнения внедренных мер управления с поставленными целями существуют специфические инструментальные средства в соответствии с ИСО/МЭК 27001.
B.5.9 Сфера действия криптографии
Криптография рассматривается в ИСО/МЭК 27002, в котором представлен практический опыт, касающийся политики применения криптографических мер контроля и управления ключами. Учитывая общий характер данного стандарта, какие-либо специфические для продукта рекомендации отсутствуют.
B.5.10 Оценка и сертификация
ИСО/МЭК 27001 был разработан для того, чтобы сделать возможной сертификацию реализаций независимыми органами по сертификациям. Независимая сертификация СМИБ действительна несколько лет (обычно три года). Надзорные аудиты проводятся через каждые 6—12 месяцев в течение этого периода. Сертификация аннулируется при наличии серьезных несоответствий и/или если они своевременно не устранены. Находящийся в настоящее время на стадии разработки ИСО/МЭК 27006 специфицирует требования по аккредитации органов по сертификации.
B.5.11 Убедительность и признание
Различные федеральные и региональные службы по аккредитации обеспечивают независимое доверие к тому, что органы по сертификации по ИСО/МЭК 27001 выполняют стабильные процедуры, задействуют компетентный персонал и выдают непротиворечивые результаты. Примерами этих органов по аккредитации являются UKAS в Великобритании и JANSANZ в Австралии и Новой Зеландии.
Федеральные и региональные службы по аккредитации сотрудничают в международном масштабе посредством форума международного аккредитования (IAF) и Европейской организации сотрудничества по аккредитации. Эти региональные и международные ассоциации обеспечивают согласованность действий по международной аккредитации.
B.6 Руководство по базовой защите ИТ
B.6.1 Цель обеспечения доверия
В руководстве по базовой защите ИТ представлены стандартные меры безопасности, направленные на формирование предопределенного уровня безопасности для систем ИТ. Этот уровень может также служить отправной точкой для областей с более строгими требованиями безопасности. Руководство по базовой защите ИТ содержит перечни стандартных мер безопасности в каждой из областей: Инфраструктура, Персонал, Аппаратные средства и