[МУЗЫКА] Рассмотрим подробнее группу стандартов Р ИСО/МЭК 27000. Это категория стандартов, подготовленных на основе текстов международных стандартов группы ISO 27000. В них содержатся различные рекомендации и спецификации для внедрения и сопровождения системы менеджмента информационной безопасности. Оригинальные тексты стандартов данной группы опубликованы совместно Международной организацией по стандартизации, она имеет английскую аббревиатуру ISO и по-русски такую же — ИСО, и Международной электротехнической комиссией, англоязычная аббревиатура IEC, «айек», или по-русски МЭК — Международная электротехническая комиссия. Собственно, вот эта вот записанная через знак слэш двойная аббревиатура ИСО/МЭК как раз именно это и обозначает: Международная организация по стандартизации и Международная электротехническая комиссия в названии многих государственных стандартов Российской Федерации. Первый ГОСТ из этой группы называется: «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». В данном стандарте содержатся основные определения в области информационной безопасности и менеджмента информационной безопасности. Мы к этим определениям уже обращались, и кое-какие определения из этого стандарта уже в данном курсе встречались. Понятие системы менеджмента информационной безопасности, общие требования к ней также описаны в данном государственном стандарте, и, наконец, в нём уделено внимание аспектам, связанным с созданием и развитием системы менеджмента информационной безопасности. То есть в этом стандарте основная идея о том, что должна из себя представлять система менеджмента информационной безопасности. Второй стандарт данной группы содержит свод норм и правил менеджмента информационной безопасности, а конкретно: принципы управления рисками и меры и средства контроля и управления безопасностью. Этот стандарт ближе к категории спецификации, нежели к категории оценочных стандартов. Он даёт конкретные методики того, как должны осуществляться процедуры управления рисками или менеджмента рисками, как написано в самом тексте стандарта, и описываются меры и средства контроля и управления безопасностью. Третий стандарт группы ИСО/МЭК 27000 содержит руководство по реализации системы менеджмента информационной безопасности. Конкретно, в нём содержится подробное описание внедрения системы менеджмента информационной безопасности как проекта и пятифазная модель проекта системы менеджмента информационной безопасности. Иными словами, в нём есть подробная инструкция, как реализовать проект по внедрению такой системы в организации, какие должны быть произведены подготовительные мероприятия, что следует далее и каким образом достигается исходная цель проекта. Четвёртый стандарт данной группы называется «Менеджмент информационной безопасности. Измерения». И как следует из его названия, он посвящён мерам измерения и видам деятельности, связанным с измерениями, которые необходимы для оценки эффективности реализации требований системы менеджмента информационной безопасности к менеджменту необходимых и достаточных мер и средств контроля и управления безопасностью в соответствии с первым стандартом данной группы: ИСО/МЭК 27001. То есть этот стандарт вводит, по сути, систему мер, по которым далее происходит оценка, насколько система действительно защищена, насколько в ней эффективно реализованы требования защиты информации. Пятый стандарт данной группы называется «Менеджмент риска информационной безопасности», и он содержит руководство по менеджменту или, иначе говоря, управлению риска информационной безопасности, описание процесса менеджмента риска информационной безопасности и связанных с ним видов деятельности. В данном стандарте также содержатся примеры подходов к оценке рисков информационной безопасности, которыми можно воспользоваться, если потребуется осуществить управление рисками информационной безопасности на практике. Их стоит искать вот в стандарте 27005. Шестой стандарт данной группы содержит требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. В нём содержатся, как следует из его названия, требования к органам, проводящим аудит и сертификацию системы менеджмента информационной безопасности, соответствующая терминология приведена в данном стандарте, и также в нём содержатся общие требования, требования к структуре, ресурсам, информации и процессу процедуры сертификации. Иными словами, это тоже спецификация, но на конкретную процедуру: на процедуру сертификации системы менеджмента информационной безопасности. Это стандарт 27006. Седьмой стандарт данной группы содержит руководство по аудиту систем менеджмента информационной безопасности. В нём содержится руководство по менеджменту программы аудита системы менеджмента информационной безопасности для внутреннего и внешнего аудита этой системы. Здесь стоит обратить внимание на слово «внутренний». То есть практическая любая организация, желающая произвести своими силами аудит системы менеджмента информационной безопасности, может использовать этот стандарт и в итоге утверждать, что её система менеджмента информационной безопасности прошла процедуру аудита на основании такого государственного стандарта. В данном же документе рассматриваются вопросы управления программой аудита, вопросы проведения аудита, оценки аудиторов, а также в нём содержится практическое руководство по аудиту системы менеджмента информационной безопасности, которое может быть полезно для решения практических задач во многих организациях в достаточно широком спектре таких объектов. Далее мы перескакиваем несколько номеров и переходим к одиннадцатому стандарту данной группы — к стандарту ИСО/МЭК 27011. Он содержит руководство по менеджменту информационной безопасности для телекоммуникационных организаций на основе второго стандарта этой группы — ИСО/МЭК 27002. В нём содержатся рекомендации для телекоммуникационных организаций по выполнению требований менеджмента информационной безопасности в отношении конфиденциальности, целостности, доступности и иных аспектов безопасности. Он потребуется практически любой телекоммуникационной организации, он может быть для неё полезен, поскольку содержит рекомендации, основанные на наилучших практиках мировых, которые, собственно, и положены в основу мирового стандарта. В данном же документе содержатся аспекты информационной безопасности, рекомендуемые для включения в политику безопасности организации. В этом он схож по своей структуре с государственным стандартом 13335. [МУЗЫКА] [МУЗЫКА]
