В. Андрианов - Обеспечение информационной безопасности бизнеса
— В — стандарты, связанные с системой менеджмента.
Стандарты вида А (стандарты требований системы менеджмента) предназначены для формирования соответствующих спецификаций менеджмента, позволяющих осуществлять оценку для демонстрации соответствия внутренним и внешним требованиям (например, путем независимой оценки первой, второй или третьей стороной). Примерами таких стандартов являются:
— стандарты требований системы менеджмента (спецификации), например ISO/IEC 27001, ИСО 9001 и т. п.;
— характерные для сектора стандарты требований системы менеджмента;
— стандарты по аккредитации органов оценки и сертификации систем менеджмента.
Стандарты вида Б (стандарт рекомендаций для системы менеджмента) предназначены для оказания содействия организации в реализации и /или улучшении системы менеджмента путем предоставления дополнительного руководства по элементам стандарта требований системы менеджмента. Примеры таких стандартов:
— руководство по использованию стандартов требований системы менеджмента;
— руководство по установлению системы менеджмента;
— руководство по совершенствованию/улучшению системы менеджмента;
— характерные для сектора стандарты рекомендаций для системы менеджмента.
Стандарты вида В (стандарт, связанный с системой менеджмента) предназначены для обеспечения дополнительной информации по определенным компонентам системы менеджмента или руководствам по взаимосвязанным поддерживающим методам и средствам, являющимся полезным и востребованным дополнением к положениям стандартов на системы менеджмента. Примеры таких стандартов:
— документы по терминологии системы менеджмента;
— стандарты руководств по аудиту, документированию, обучению, мониторингу, измерениям и оцениванию функционирования;
— стандарты по маркировке и оценке жизненного цикла.
Комплекс стандартов, имеющих с своем составе стандарты систем менеджмента типов А, Б и В, рекомендуется рассматривать как семейство стандартов менеджмента. Например, для систем менеджмента информационной безопасности к 2010 г. уже фактически сформировалось семейство стандартов СМИБ, отвечающее требованиям Руководства ISO 72 (см. рис. 30).
Совместимость стандартов требований системы менеджмента или стандартов рекомендаций для системы менеджмента и простоту использования их предполагается улучшить посредством увеличения общности между стандартами, разрабатываемыми в соответствии с положениями Руководства ISO 72. Общность стандартов основывается на следующих общих составляющих стандартов:
— модель системы менеджмента;
— структура стандарта;
— система общих элементов вместе с их формулировкой;
— используемая терминологии.
Модель и структура. Общая структура стандарта требований системы менеджмента или рекомендаций для системы менеджмента основывается на признанной модели (модели Деминга) и логике системы требований (спецификации) к системе менеджмента в соответствии с данной моделью. В Руководстве ISO 72 отмечается, что в настоящее время в международных стандартах менеджмента используются две признанные модели: модель Деминга (PDCA) и процессная модель. Однако это не означает, что существующие модели для стандартов систем менеджмента будут с течением времени развиваться, и могут появиться новые модели.
Общие элементы. В Руководстве ISO 72 отмечается, что опыт работы со стандартами систем менеджмента, созданными ИСО, показывает, что практика работ выводит на ряд общих областей систем менеджмента. Такими общими областями предлагается считать:
— политику системы менеджмента;
— планирование;
— реализацию и введение в действие;
— оценку функционирования;
— совершенствование;
— проверки, проводимые руководством.
Боле подробно данные общие элементы представлены в таблице 1.
Общие элементы стандартов систем менеджмента ИСО
Таблица 1
Продолжение табл. 1
Окончание табл. 1
Таблица 1 показывает общие элементы стандартов требований системы менеджмента и стандартов рекомендаций для системы менеджмента ИСО, перечисленные в соответствии с этой структурой. Разработчиками стандартов системы менеджмента рекомендуется соблюдение представленной в Руководстве ISO 72 системы элементов для облегчения использования стандартов, а также совместной реализации стандартов систем менеджмента. При этом ими рекомендуется также использование подобных (схожих) формулировок при составлении текстов для общих элементов стандартных требований к системам менеджмента.
2.2.3. Шаги реализации стандартной СМИБ организации
Стандартной СМИБ присущи все общие для систем менеджмента элементы. При этом опыт использования стандартизированных требований к СМИБ показал, что следующие факторы часто оказываются решающими для успешной реализации обеспечения информационной безопасности в организации:
— политика информационной безопасности, цели и мероприятия, отражающие цели бизнеса организации;
— подход и структура для реализации, поддержки мониторинга и совершенствования информационной безопасности, согласующиеся с культурой организации;
— явная поддержка и приверженность руководства всех уровней;
— хорошее понимание требований ИБ, оценки риска и менеджмента риска;
— эффективные мероприятия по осведомленности по вопросам ИБ для достижения должного осознания;
— распространение руководств (инструкций) по политике и стандартам информационной безопасности среди всех руководителей, служащих и других сторон;
— обеспечение финансирования мероприятий менеджмента ИБ;
— обеспечение соответствующей информированности, обучения и образования;
— установление эффективного процесса менеджмента инцидентов информационной безопасности;
— реализация оценивания системы, которое используется для оценок эффективности функционирования менеджмента информационной безопасности и предложений по совершенствованию, поступающих по каналам обратной связи с руководством.
Следование требованиям стандартов СМИБ предполагает последовательное продвижение к спецификации защитных мер организации (административных, организационных, технологических, технических и иных) и соответствующих целевых процессов деятельности, необходимых для контроля рисков деятельности организации в ее информационной сфере.
