ГОСТ Р ИСО/МЭК 27000-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

4.2 Что такое СМИБ?

 

4.2.1 Общие сведения и принципы

Система менеджмента информационной безопасности (СМИБ) включает в себя политику, процедуры, руководящие принципы и связанные с ними ресурсы и мероприятия, коллективно управляемые организацией в целях защиты ее информационных активов. СМИБ обеспечивает системный подход к созданию, внедрению, функционированию, мониторингу, анализу, поддержке и усилению ИБ организации для достижения бизнес-целей. Она основывается на оценке рисков и уровнях принятия рисков организацией, предназначенных для эффективной обработки рисков и управления ими. Анализ требований по защите информационных активов и применение соответствующих мер, обеспечивающих необходимую защиту этих активов, способствуют успешному внедрению СМИБ. Для успешного внедрения СМИБ организации должны соблюдать следующие основные принципы:

a) понимание необходимости использования СМИБ;

b) назначение ответственности за обеспечение ИБ;

c) обеспечение баланса между обязательствами руководства и потребностями заинтересованных сторон;

d) повышение социальной значимости;

e) оценивание рисков, чтобы применять необходимые меры обеспечения ИБ для достижения допустимых уровней рисков;

f) обеспечение безопасности неотъемлемых элементов информационных сетей и систем;

g) активное предупреждение и выявление инцидентов ИБ;

h) применение комплексного подхода к менеджменту ИБ;

i) регулярное переоценивание уровня ИБ и внесение соответствующих изменений.

4.2.2 Информация

Информация - это актив, который наряду с другими важными активами представляет собой огромную ценность для бизнеса организации и, следовательно, должен быть надежно защищен. Информация может существовать в различной форме, в том числе в цифровом формате (например, в виде файлов с данными, записанных на электронных или оптических носителях), в материальном виде (например, быть записанной или напечатанной на бумаге), а также в нематериальном виде - знания сотрудников. Информация может передаваться различными способами: с помощью курьера, систем электронной почты или голосовой связи. Независимо от формы и способа передачи информации она должна быть надежно защищена.

Во многих организациях существует зависимость между информацией и информационно-коммуникационными технологиями (ИКТ). ИКТ-технологии являются важнейшим элементом любой организации. Они облегчают создание, обработку, хранение, передачу, защиту и уничтожение информации.

4.2.3 Информационная безопасность

ИБ обеспечивает конфиденциальность, доступность и целостность информации. Чтобы гарантировать успешное ведение бизнеса в долгосрочной перспективе и свести к минимуму негативное воздействие, ИБ предусматривает применение и администрирование соответствующих мер обеспечения ИБ, учитывающих широкий диапазон угроз.

ИБ достигается посредством внедрения соответствующих мер обеспечения ИБ, определенных в ходе выбранного процесса менеджмента рисков и управляемых с помощью СМИБ. Данные меры охватывают политику, процессы, процедуры, организационные структуры, программное и аппаратное обеспечение и предназначены для защиты идентифицированных информационных активов. Меры обеспечения информационной безопасности необходимо определить, внедрить, проверить, проанализировать и при необходимости улучшить, чтобы гарантировать соответствие уровня ИБ бизнес-целям организации. Меры обеспечения ИБ должны быть интегрированы в бизнес-процессы организации.

4.2.4 Менеджмент

Менеджмент включает в себя действия по управлению организацией, ее контролю и непрерывному совершенствованию в рамках соответствующих структур. Менеджмент охватывает действия, методы или практики формирования и обработки ресурсов, обращения с ресурсами, наблюдения за ними, а также управления ими. Масштаб управленческой структуры варьируется от одного человека в небольших организациях до управленческой иерархии, состоящей из многих людей, в крупных организациях.

Применительно к СМИБ менеджмент включает в себя наблюдение и принятие решений, необходимых для достижения бизнес-целей посредством защиты информационных активов организации. Менеджмент ИБ выражается через формулирование и использование политик ИБ, стандартов, процедур и рекомендаций, которые применяются повсеместно в организации всеми лицами, связанными с ней.

4.2.5 Система менеджмента

Система менеджмента использует совокупность ресурсов для достижения целей организации. Система менеджмента включает в себя организационную структуру, политику, планирование действий, обязательства, методы, процедуры, процессы и ресурсы.

В части ИБ система менеджмента позволяет организации:

a) удовлетворять требования безопасности потребителей и других заинтересованных сторон;

b) совершенствовать планы и деятельность организации;

c) обеспечивать соответствие целям ИБ организации;

d) соответствовать требованиям регулирующих и законодательных органов, а также отраслевым нормативным документам;

e) управлять информационными активами системным образом, чтобы упростить процессы непрерывного совершенствования и регулирования текущих организационных целей.