Действующий
БЕСПЛАТНО проверьте актуальность своей документации
с «Кодекс/Техэксперт АССИСТЕНТ»

     
ГОСТ Р 57640-2017/ISO/lEC TS 33052:2016

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

ЭТАЛОННАЯ МОДЕЛЬ ПРОЦЕССА (ЭМП) ДЛЯ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

Information technology. Process reference model (PRM) for information security management



ОКС 35.080

Дата введения 2018-09-01

     

Предисловие

1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 5 сентября 2017 г. N 1015-ст

4 Настоящий стандарт идентичен международному документу ISO/IEC TS 33052:2016* "Информационные технологии. Эталонная модель процесса (ЭМП) для управления информационной безопасностью" (ISO/IEC TS 33052:2016 "Information technology - Process reference model (PRM) for information security management", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.


ISO/IEC TS 33052 разработан подкомитетом ПК 7 "Системная и программная инженерия" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 Некоторые положения международного документа, указанного в пункте 4, могут являться объектом патентных прав. ИСО и МЭК не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


Цель настоящего стандарта состоит в том, чтобы облегчить разработку модели оценки процесса (МОП), приведенной в ИСО/МЭК 33072.

ИСО/МЭК 33002 устанавливает требования для осуществления оценки процесса. ИСО/МЭК 33020 описывает шкалу измерений для оценки характеристик качества с точки зрения возможностей процесса. ИСО/МЭК 33001 определяет понятия и терминологию, используемые для оценки процесса.

Эталонная модель процесса (ЭМП) является моделью, включающей в себя определения процессов, описанных в терминах цели и результатов, совместно с архитектурой, определяющей отношения между процессами. При использовании ЭМП на практике могут потребоваться дополнительные элементы, отвечающие окружающей среде и обстоятельствам.

ЭМП, определенная в настоящем стандарте, описывает ряд процессов, включая процессы системы управления информационной безопасностью (СУИБ), приведенные в ИСО/МЭК 27001. Каждый процесс ЭМП описан в терминах цели и результатов и обеспечивает прослеживаемость требований. ЭМП не пытается разместить процессы в заданной среде и не предопределяет уровень возможностей процесса, необходимых для выполнения требований ИСО/МЭК 27001. ЭМП не предназначена для аудита оценки соответствия или использования в качестве эталонного руководства по реализации процесса.

Соотношение между стандартами ИСО/МЭК 24774, ИСО/МЭК 27001, ИСО/МЭК 33002, ИСО/МЭК 33004, ИСО/МЭК 33020, ИСО/МЭК TS 33052 и ИСО/МЭК TS 33072 приведено на рисунке 1.

     
Рисунок 1 - Соотношение между соответствующими стандартами


Любая организация может определить процессы с какими-либо дополнительными элементами, адаптируясь к определенной среде и обстоятельствам. Некоторые процессы охватывают общие аспекты управления в организации. Эти процессы должны быть определены так, чтобы соответствовать требованиям ИСО/МЭК 27001.

ЭМП не обеспечивает предоставление свидетельств, требуемых ИСО/МЭК 27001. ЭМП не определяет взаимодействие между процессами.

Описания процессов в рамках ЭМП для управления информационной безопасностью приведены в разделе 5. Приложение А обеспечивает положения в соответствии с ИСО/МЭК 33002.

    

     1 Область применения


В настоящем стандарте определена эталонная модель процесса (ЭМП) для управления информационной безопасностью. Архитектура модели определяет архитектуру процесса для области применения и включает ряд процессов, каждый из которых описан в терминах цели и результатов процесса.

     2 Нормативные ссылки


В настоящем стандарте применены следующие нормативные ссылки*. Для датированных документов используются только указанные издания. Для недатированных документов используются последние издания с учетом внесенных в них изменений.

________________

* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.


ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements (Информационные технологии. Методы безопасности. Системы управления информационной безопасностью. Требования)

ISO/IEC 33001, Information technology - Process assessment - Concepts and terminology (Информационные технологии. Оценка процесса. Понятия и терминология)

     3 Термины и определения


В настоящем стандарте применены термины и соответствующие определения по ИСО/МЭК 27001 и ИСО/МЭК 33001.

     4 Краткий обзор ЭМП


Структура ЭМП, применяемая для поддержки управления информационной безопасностью, приведена в настоящем разделе. ЭМП включает процессы, которые могут существовать в контексте системы управления у поставщика услуг.

Процессы, определенные согласно требованиям ИСО/МЭК 27001, приведены на рисунке 2.


Рисунок 2 - Процессы в ЭМП

          

     5 Описания процесса

     5.1 Введение


Каждый процесс в ЭМП может быть описан с помощью следующих элементов:

a) идентификатора процесса: каждый процесс, принадлежащий группе, идентифицируется с использованием идентификатора процесса, состоящего из сокращенного названия группы и последующего номера процесса в этой группе;

b) названия: название процесса - короткая фраза, описывающая область процесса, идентифицируя основной интерес процесса, и отличающая его от других процессов в рамках ЭМП;

c) контекста: краткий обзор для каждого процесса, описывающий намеченный контекст применения процесса;

d) цели процесса: некий высокий уровень достижений в результате выполнения процесса;

e) выходов (выходных результатов): наблюдаемый результат успешного достижения цели процесса. Результаты являются оцениваемыми, материальными, техническими или деловыми, достигаемыми с помощью процесса. Выходы являются наблюдаемыми и подлежат оценке;

f) прослеживаемости требований: результаты основаны на требованиях ИСО/МЭК 27001. Ссылки идентифицируют применимые подразделы ИСО/МЭК 27001, заголовок подраздела и поддерживаемые результаты.

Все записи в ряду прослеживаемых требований в подразделах с 5.2 по 5.27 заканчиваются числами в квадратных скобках, т.е. [n]. Каждое число в квадратных скобках - это ссылка на пронумерованный результат. Эти результаты непосредственно связаны с требованиями ИСО/МЭК 27001.

Некоторые выходные результаты отражаются в квадратных скобках. Они только косвенно связаны с требованиями ИСО/МЭК 27001. Ни одна из записей в ряду прослеживаемых требований не ссылается на результаты в квадратных скобках. Эти дополнительные результаты были включены постольку, поскольку считаются необходимыми для данного типа ЭМП как основы МОП (ИСО/МЭК TS 33072). С этими дополнительными результатами процесс является полным, и цель процесса может быть достигнута.

     5.2 ORG.1 Управление активами

Идентификатор процесса

ORG.1

Название

Управление активами

Цель

Цель процесса состоит в том, чтобы установить и поддерживать целостность всех идентифицированных активов продукции

Контекст

Этот процесс связан с установлением и поддержанием идентичности продуктов и их конфигурационной информации для обеспечения эффективного контроля продукции. Область активов может включать в себя физические активы (например, инфраструктуру, аппаратные средства, программные средства) и нематериальные активы (например, интеллектуальную собственность)

Выходные результаты

В результате успешной реализации этого процесса:

1 Идентифицируются объекты, требующие управления активами.

2 Классифицируются объекты активов.

3 Инвентаризируются активы.

4 [Определяется статус активов].

5 Контролируются изменения активов, находящихся под управлением

Прослеживаемость требований

27001 2ED А.08.1.1

Инвентаризация активов [1, 3, 5]

27001 2ED А.08.2.1

Классификация информации [2]

27001 2ED А.08.3.2

Утилизация носителей информации [5]

27001 2ED А.08.3.3

Физическое перемещение носителей информации [5]

          

     5.3 ТЕС.01 Управление возможностями

Идентификатор процесса

ТЕС.01

Название

Управление возможностями

Цель

Цель процесса состоит в обеспечении гарантий того, что у организации имеются возможности для удовлетворения текущим и будущим системным требованиям

Контекст

Этот процесс гарантирует достаточность ресурсов и возможностей для удовлетворения согласованным требованиям, эффективным по стоимости и времени. Процесс позволяет поставщику услуг обеспечить достаточные ресурсы согласованного выполнения услуг и достижения целей на должном уровне

Выходные результаты

В результате успешной реализации этого процесса:

1 [Определяются текущая и будущая возможности и требования для удовлетворения потребностей].

2 [Обеспечиваются возможности для удовлетворения текущих возможностей и потребностей].

3 Контролируется использование возможностей, анализируется и осуществляется настройка для удовлетворения потребностей.

4 [Подготавливаются возможности для удовлетворения будущих возможностей и потребностей]

Прослеживаемость требований

27001 2ED А.12.1.3

Управление возможностями [3]

          

     5.4 ТЕС.02 Управление изменениями

Идентификатор процесса

ТЕС.02

Название

Управление изменениями

Цель

Цель процесса состоит в том, чтобы обеспечить направленность всех действий, связанных с изменениями, касающимися продукции, услуг, процессов и систем, используемыми для производства продукции или оказания услуг

Контекст

Изменения, касающиеся продукции, услуг и систем, их применению и инфраструктуры, планируются и управляются для обеспечения гарантий по времени выполнения без ненужных сбоев

Выходные результаты

В результате успешной реализации этого процесса:

1 [Классифицируются запросы на изменения].

2 Анализируются и оцениваются заявки на изменения с использованием определенных критериев.

3 [Анализируются и оцениваются изменения с использованием определенных критериев].

4 [Если изменения принимаются, они реализуются]

Прослеживаемость требований

27001 2ED A.15.2.2 Управление изменениями в услугах поставщика [2]

   

     5.5 СОМ.01 Управление связью