ГОСТ Р 57640-2017/ISO/lEC TS 33052:2016
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии
ЭТАЛОННАЯ МОДЕЛЬ ПРОЦЕССА (ЭМП) ДЛЯ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Information technology. Process reference model (PRM) for information security management
ОКС 35.080
Дата введения 2018-09-01
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 5 сентября 2017 г. N 1015-ст
4 Настоящий стандарт идентичен международному документу ISO/IEC TS 33052:2016* "Информационные технологии. Эталонная модель процесса (ЭМП) для управления информационной безопасностью" (ISO/IEC TS 33052:2016 "Information technology - Process reference model (PRM) for information security management", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
ISO/IEC TS 33052 разработан подкомитетом ПК 7 "Системная и программная инженерия" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
6 Некоторые положения международного документа, указанного в пункте 4, могут являться объектом патентных прав. ИСО и МЭК не несут ответственности за идентификацию подобных патентных прав
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Цель настоящего стандарта состоит в том, чтобы облегчить разработку модели оценки процесса (МОП), приведенной в ИСО/МЭК 33072.
ИСО/МЭК 33002 устанавливает требования для осуществления оценки процесса. ИСО/МЭК 33020 описывает шкалу измерений для оценки характеристик качества с точки зрения возможностей процесса. ИСО/МЭК 33001 определяет понятия и терминологию, используемые для оценки процесса.
Эталонная модель процесса (ЭМП) является моделью, включающей в себя определения процессов, описанных в терминах цели и результатов, совместно с архитектурой, определяющей отношения между процессами. При использовании ЭМП на практике могут потребоваться дополнительные элементы, отвечающие окружающей среде и обстоятельствам.
ЭМП, определенная в настоящем стандарте, описывает ряд процессов, включая процессы системы управления информационной безопасностью (СУИБ), приведенные в ИСО/МЭК 27001. Каждый процесс ЭМП описан в терминах цели и результатов и обеспечивает прослеживаемость требований. ЭМП не пытается разместить процессы в заданной среде и не предопределяет уровень возможностей процесса, необходимых для выполнения требований ИСО/МЭК 27001. ЭМП не предназначена для аудита оценки соответствия или использования в качестве эталонного руководства по реализации процесса.
Соотношение между стандартами ИСО/МЭК 24774, ИСО/МЭК 27001, ИСО/МЭК 33002, ИСО/МЭК 33004, ИСО/МЭК 33020, ИСО/МЭК TS 33052 и ИСО/МЭК TS 33072 приведено на рисунке 1.
Рисунок 1 - Соотношение между соответствующими стандартами
Любая организация может определить процессы с какими-либо дополнительными элементами, адаптируясь к определенной среде и обстоятельствам. Некоторые процессы охватывают общие аспекты управления в организации. Эти процессы должны быть определены так, чтобы соответствовать требованиям ИСО/МЭК 27001.
ЭМП не обеспечивает предоставление свидетельств, требуемых ИСО/МЭК 27001. ЭМП не определяет взаимодействие между процессами.
Описания процессов в рамках ЭМП для управления информационной безопасностью приведены в разделе 5. Приложение А обеспечивает положения в соответствии с ИСО/МЭК 33002.
В настоящем стандарте определена эталонная модель процесса (ЭМП) для управления информационной безопасностью. Архитектура модели определяет архитектуру процесса для области применения и включает ряд процессов, каждый из которых описан в терминах цели и результатов процесса.
В настоящем стандарте применены следующие нормативные ссылки*. Для датированных документов используются только указанные издания. Для недатированных документов используются последние издания с учетом внесенных в них изменений.
________________
* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.
ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements (Информационные технологии. Методы безопасности. Системы управления информационной безопасностью. Требования)
ISO/IEC 33001, Information technology - Process assessment - Concepts and terminology (Информационные технологии. Оценка процесса. Понятия и терминология)
В настоящем стандарте применены термины и соответствующие определения по ИСО/МЭК 27001 и ИСО/МЭК 33001.
Структура ЭМП, применяемая для поддержки управления информационной безопасностью, приведена в настоящем разделе. ЭМП включает процессы, которые могут существовать в контексте системы управления у поставщика услуг.
Процессы, определенные согласно требованиям ИСО/МЭК 27001, приведены на рисунке 2.
Рисунок 2 - Процессы в ЭМП
Каждый процесс в ЭМП может быть описан с помощью следующих элементов:
a) идентификатора процесса: каждый процесс, принадлежащий группе, идентифицируется с использованием идентификатора процесса, состоящего из сокращенного названия группы и последующего номера процесса в этой группе;
b) названия: название процесса - короткая фраза, описывающая область процесса, идентифицируя основной интерес процесса, и отличающая его от других процессов в рамках ЭМП;
c) контекста: краткий обзор для каждого процесса, описывающий намеченный контекст применения процесса;
d) цели процесса: некий высокий уровень достижений в результате выполнения процесса;
e) выходов (выходных результатов): наблюдаемый результат успешного достижения цели процесса. Результаты являются оцениваемыми, материальными, техническими или деловыми, достигаемыми с помощью процесса. Выходы являются наблюдаемыми и подлежат оценке;
f) прослеживаемости требований: результаты основаны на требованиях ИСО/МЭК 27001. Ссылки идентифицируют применимые подразделы ИСО/МЭК 27001, заголовок подраздела и поддерживаемые результаты.
Все записи в ряду прослеживаемых требований в подразделах с 5.2 по 5.27 заканчиваются числами в квадратных скобках, т.е. [n]. Каждое число в квадратных скобках - это ссылка на пронумерованный результат. Эти результаты непосредственно связаны с требованиями ИСО/МЭК 27001.
Некоторые выходные результаты отражаются в квадратных скобках. Они только косвенно связаны с требованиями ИСО/МЭК 27001. Ни одна из записей в ряду прослеживаемых требований не ссылается на результаты в квадратных скобках. Эти дополнительные результаты были включены постольку, поскольку считаются необходимыми для данного типа ЭМП как основы МОП (ИСО/МЭК TS 33072). С этими дополнительными результатами процесс является полным, и цель процесса может быть достигнута.
Идентификатор процесса | ORG.1 | |
Название | Управление активами | |
Цель | Цель процесса состоит в том, чтобы установить и поддерживать целостность всех идентифицированных активов продукции | |
Контекст | Этот процесс связан с установлением и поддержанием идентичности продуктов и их конфигурационной информации для обеспечения эффективного контроля продукции. Область активов может включать в себя физические активы (например, инфраструктуру, аппаратные средства, программные средства) и нематериальные активы (например, интеллектуальную собственность) | |
Выходные результаты | В результате успешной реализации этого процесса: | |
Прослеживаемость требований | 27001 2ED А.08.1.1 | Инвентаризация активов [1, 3, 5] |
27001 2ED А.08.2.1 | Классификация информации [2] | |
27001 2ED А.08.3.2 | Утилизация носителей информации [5] | |
27001 2ED А.08.3.3 | Физическое перемещение носителей информации [5] |
Идентификатор процесса | ТЕС.01 | |
Название | Управление возможностями | |
Цель | Цель процесса состоит в обеспечении гарантий того, что у организации имеются возможности для удовлетворения текущим и будущим системным требованиям | |
Контекст | Этот процесс гарантирует достаточность ресурсов и возможностей для удовлетворения согласованным требованиям, эффективным по стоимости и времени. Процесс позволяет поставщику услуг обеспечить достаточные ресурсы согласованного выполнения услуг и достижения целей на должном уровне | |
Выходные результаты | В результате успешной реализации этого процесса: | |
Прослеживаемость требований | 27001 2ED А.12.1.3 | Управление возможностями [3] |
Идентификатор процесса | ТЕС.02 |
Название | Управление изменениями |
Цель | Цель процесса состоит в том, чтобы обеспечить направленность всех действий, связанных с изменениями, касающимися продукции, услуг, процессов и систем, используемыми для производства продукции или оказания услуг |
Контекст | Изменения, касающиеся продукции, услуг и систем, их применению и инфраструктуры, планируются и управляются для обеспечения гарантий по времени выполнения без ненужных сбоев |
Выходные результаты | В результате успешной реализации этого процесса: |
Прослеживаемость требований | 27001 2ED A.15.2.2 Управление изменениями в услугах поставщика [2] |