Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27003-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

Приложение A
(справочное)

Описание контрольного перечня

Цель:

- представить контрольную таблицу с описанием действий, требуемых для учреждения и внедрения СМИБ;

- способствовать мониторингу процесса выполнения работ по внедрению СМИБ;

- связать определенные действия по внедрению СМИБ с соответствующими требованиями ISO/IEC 27001.


Таблица A.1

Фаза внедрения ISO/IEC 27003

Номер этапа

Действия, ссылка на ISO/IEC 27003

Предвари-
тельные условия для данного этапа

Документированные выходные данные

Ссылка на ISO/IEC 27001

5 Получение одобрения руководства для внедрения СМИБ

1

Собрать корпоративные цели предприятия

Нет

Список корпоративных целей предприятия

Не применяется

2

Приобретение знаний о существующих системах управления

Нет

Описание существующих систем управления

Не применяется

3

5.2 Определить цели, потребности информационной безопасности и требования предприятия к СМИБ

1, 2

Описание целей, потребностей информационной безопасности и требований предприятия к СМИБ

Не применяется

4

Собрать соответствующие регулятивные стандарты, стандарты соответствия и отраслевые стандарты, применяемые к корпорации

Нет

Описание регулятивных стандартов, стандартов соответствия и отраслевых стандартов, применяемых к корпорации

Не применяется

5

5.3 Определить предварительную область действия СМИБ

3, 4

Описание предварительной области действия СМИБ (5.3.1)

Не применяется

Определение ролей и сфер ответственности в области СМИБ (5.3.2)

6

5.4 Составить описание случая применения СМИБ для данного предприятия и план проекта для утверждения руководством

5

Описание случая применения СМИБ для данного предприятия и план проекта

Не применяется

7

5.5 Получить одобрение руководства и поручение на запуск проекта внедрения СМИБ

6

Одобрение руководством запуска проекта внедрения СМИБ

Не применяется

6 Определение области действия и политики СМИБ

8

6.2 Определить границы организации

7

Описание границ организации;

Функции и структура организации;

Обмен информацией через границы;

Производственные процессы и сферы ответственности за информационные активы в области действия СМИБ и за ее пределами

4.2.1, a) (частично)

9

6.3 Определение границ технологии передачи информации

7

Описание границ ИКТ

Описание информационных систем и телекоммуникационных сетей, описывающее системы и сети внутри области действия СМИБ и за ее пределами

4.2.1, а) (частично)

10

6.4 Определение физических границ

7

Описание физических границ СМИБ

Описание организации и ее географических характеристик, описывающее внутреннюю и внешнюю области действия

4.2.1, a) (частично)

11

6.5 Окончательно определить границы области действия СМИБ

8, 9, 10

Документ, описывающий область действия и границы СМИБ

4.2.1, a)

12

6.6 Разработка политики СМИБ

11

Утвержденная руководством политика СМИБ

4.2.1, b)

7 Проведение анализа организации

13

7.2 Определение требований к информационной безопасности, подкрепляющих СМИБ

12

Список основных процессов, функций, объектов, информационных систем, коммуникационных сетей

Не применяется

Требования организации, касающиеся конфиденциальности, доступности и целостности

Не применяется

Требования организации, касающиеся законных, обязательных, контрактных и отраслевых требований к информационной безопасности

4.2.1, c) 1)
(частично)

Перечень известных уязвимостей в организации

4.2.1, d) 3)

14

7.3 Определение активов в рамках области действия СМИБ

13

Описание основных процессов в организации

Не применяется

Определение информационных активов основных процессов в организации

4.2.1, d) 1)

Классификация важнейших процессов (активов)

Не применяется

15

7.4 Запуск оценки информационной безопасности

14

Документ по фактическому состоянию и оценке информационной безопасности в организации, включая существующие меры и средства контроля и управления информационной безопасностью

4.2.1, е) 2)
(частично)

8 Проведение оценки риска и выбор вариантов обработки риска

16

8.2 Проведение риска

15

Область действия для оценки риска

Утвержденная методология оценки риска, совмещенная с контекстом стратегического менеджмента риска в организации

Критерии принятия риска

4.2.1, с) 1)

17

8.3 Выбор целей и средств управления

16

Документированная оценка риска высокого уровня

4.2.1, е) 3)
(частично)

Определение необходимости дополнительной глубокой оценки риска

Не применяется

Документированная глубокая оценка риска

4.2.1, e) 3)
(частично)

Сгруппированные результаты оценки риска

Не применяется

18

8.4 Получить одобрение руководства для внедрения СМИБ

17

Риски и определенные для них варианты оценки риска

4.2.1, f)

Выбранные цели, меры и средства контроля и управления для снижения риска

4.2.1, g)

19

Утверждение руководством остаточных рисков

18

Документированное утверждение руководством предложенных остаточных рисков (должно входить в число выходных данных действия 8.4)

4.2.1, h)

20

Санкция руководства на внедрение и использование СМИБ

19

Документированная санкция руководства на внедрение и использование СМИБ (должно входить в число выходных данных действия 8.4)

4.2.1, i)

21

Подготовка декларации о применимости

18

Декларация о применимости

4.2.1, j)

9 Разработка СМИБ

22

9.2 Разработка безопасности организации

20

Структура организации, связанная с ролями и сферами ответственности, связанными с информационной безопасностью

5.1, c)

Определение документации, связанной со СМИБ.

Шаблоны записей по СМИБ и инструкции по их использованию и хранению

4.3

Документ по политике информационной безопасности

ISO/IEC 27002;

5.1.1

Основа политики и процедур обеспечения информационной безопасности (и планы разработки конкретных политики, процедур и т.д., если таковые применяются)

23

9.3 Разработка информационной безопасности ИКТ и физических объектов

20, 21

Планы проектов внедрения для процессов внедрения выбранных средств управления безопасностью, связанных с информационной безопасностью ИКТ и физических объектов

4.2.2, c)
частично

24

9.4 Разработка информационной безопасности, связанной со
СМИБ

22, 23

Процедуры, описывающие процессы отчетности и проверки, проводимой руководством

7.1

25

Описания аудита, мониторинга и измерения

4.2.3, a) частично;
4.2.3, d) частично; 6

26

Программа обучения и информирования

5.2.2

27

9.5 Составление конечного плана проекта СМИБ

25

План проекта внедрение для процессов внедрения*, утвержденный руководством

Не применяется

___________________

* Текст документа соответствует оригиналу. - Примечание изготовителя базы данных.


28

Окончательный план проекта СМИБ

28

План проекта внедрения СМИБ организацией, охватывающий запланированное выполнение действий по информационной ее безопасности, ИКТ и физических объектов, а также связанные с системой СМИБ требования по ее внедрению в соответствии с результатами действий, описываемых в ISO/IEC 27003

Не применяется