Осенью 2013 года были опубликованы 2 международных стандарта по системам менеджмента информационной безопасности (СМИБ). Это стандарт ISO/IEC 27001:2013, содержащий требования к СМИБ, о котором мы ранее писали в рубрике «Статьи», и стандарт ISO/IEC 27002:2013, о котором сегодня пойдет речь.

Международный стандарт ISO/IEC 27002:2013 дает рекомендации для разработки и внедрения организациями системы менеджмента информационной безопасности, в контексте выбора, внедрения и управления средствами управления с учетом имеющихся рисков. Он содержит более полное описание и рекомендации по внедрению средств управления информационной безопасностью по сравнению с международным стандартом ISO/IEC 27001:2013.

В серии ISO/IEC 27000 - данный стандарт носит название:

ISO/IEC 27002:2013 - Информационные технологии. Методы обеспечения безопасности. Свод правил по управлению защитой информации.

ISO/IEC 27002 предназначен для использования организациями, которые намерены:

1. Выбрать средства управления для эффективного функционирования СМИБ на основе требований ISO/IEC 27001;
2. Внедрить средства управления информационной безопасностью;
3. Разработать свои собственные принципы управления информационной безопасностью.

Данный международный стандарт содержит 14 разделов, содержащих 35 главных категорий информационной безопасности и 114 средств управления, перечень которых представлен в стандарте ISO/IEC 27001 (Приложение А). Отметим, что порядок разделов абсолютно не отображает порядок их важности для конкретной организации. Объем оригинала - 80 страниц на английском языке.

Таким образом, положения данного международного стандарта могут служить основой для выбора организациями, которые внедряют СМИБ в соответствии с требованиями ISO/IEC 27001, соответствующих средств управления информационной безопасностью и их применение к отдельным бизнес-процессам.

Такие средства управления могут включать в себя политики, процессы, процедуры, организационные структуры и функции программного обеспечения и оборудования. Эти средства управления необходимо создать, внедрить, мониторить, пересматривать и, в случае необходимости, совершенствовать для того, чтобы обеспечить соответствие конкретных целей безопасности бизнес-целям организации.

Стандарт ISO/IEC 27002:2013 говорит о том, что организации могут использовать как средства управления, представленные в нем, так и в других источниках. Кроме того, для удовлетворения конкретных потребностей в соответствующих случаях организации могут самостоятельно разрабатывать новые средства управления информационной безопасностью.

Очень важным моментом является выбор организацией своих собственных средств управления и требований к безопасности. Существует три основных источника для их определения:

1. Оценка рисков с учетом общей стратегии бизнеса и целей организации;
2. Правовые, нормативные, договорные или установленные законодательством требования;
3. Принципы, цели и бизнес-требования для информационной обработки, переработки, хранения, передачи и архивирования.

Выбор средств управления зависит также от организационных решений, принятых на основе определения уровня приемлемости риска, вариантов обработки риска и общего подхода к управлению рисками в соответствии с национальными и международными нормами.

Автор: Соловей Сергей