45
конкретные соображения об информационной безопасности отсутствуют. Специфицирован только тест на соответствие среды ИТ организации требованиям заказчика и бизнес-целям. Для увеличения области информационной безопасности ИСО/МЭК 27002 может использоваться как приложение, конкретно связанное с управлением информационной безопасностью.
В частности, ИСО/МЭК 27002 также содержит меры, охватывающие процессы разработки так, чтобы два стандарта дополняли друг друга. Требования необходимо обосновать и выполнить, так как выполнение требований и ИСО 9000, и ИСО/МЭК 27002 предписаны на уровне руководства.
C.5 COBIT + базовая защита ИТ
В то время как базовая защита ИТ ориентирована на технические системы, СОВ1Т сосредоточен на главных целях контроля. Поскольку внутренняя организация предприятия структурирована, в основном, с ориентацией на выполнение заданий, а не на технологии, с помощью СОВ1Т часто легче определять действия и распределять обязанности отдельным организационным единицам. С другой стороны, СОВ1Т предъявляет требования только к необходимым механизмам безопасности ИТ без конкретизации каких-либо специфических технических мер. Комбинирование двух методов может привести к получению эффективного подхода к формированию конкретных для предприятия концепций обеспечения безопасности ИТ. Для этой цели с помощью СОВ1Т выбирают бизнес-процессы и определяют их требования безопасности. Формируется технологический профиль (технологии) (распределение систем ИТ по бизнес-процессам), следуя которому метод базовой защиты ИТ становится приемлемым путем получения специфических мер по выполнению релевантных требований безопасности.
Изложенные выше сценарии следует рассматривать просто как примеры способов успешного комбинирования наборов критериев безопасности. В особых случаях допускается применение других подходов. Например, применение СОВ1Т рекомендуется, если проведение аудита является основной целью, а применение ИСО/МЭК 19790 — если предметом интереса являются криптографические процедуры.