О стандартах информационной безопасности

Тема: О стандартах информационной безопасности

Очень часто на форуме идет обсуждение разных слухов и сплетен по разным авиационным вопросам участниками, очень далекими от авиации. В своих сообщениях они часто требуют чтобы им слили инфу по интересующим их вопросам, ранжируя работников авиации и авиапрома прежде всего по количеству слитой ими инфы.
Многие организации в настоящее время внедряют у себя системы информационной безопасности. Так как на мой скромный взгляд все системы безопасности работают на одних и тех же принципах (безопасность полетов, авиационная безопасность, информационная безопасность, система качества и так далее) и многие вопросы обеспечения безопасности полетов и авиационной безопасности завязаны на систему информационной безопасности, я подумал и решил выкладывать на форум выписки из стандартов по информационной безопасности. Конечно было бы проще дать ссылку на полные тексты, но мой опыт говорит что ими мало кто воспользуется.
Так что начинаю выкладывать кусочками, может кому-то и пригодится. :)))
Обращаю внимание, что эти стандарты не российское изобретение, а национальная локализация международных стандартов.
Ряд положений этих стандартов в России вводится как законодательные требования (по той же защите персональных данных).

Утвержден
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 27 декабря 2006 г. N 375-ст

Дата введения -
1 февраля 2008 года

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ.
СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ТРЕБОВАНИЯ

INFORMATION TECHNOLOGY. SECURITY TECHNIQUES. INFORMATION
SECURITY MANAGEMENT SYSTEMS. REQUIREMENTS

ГОСТ Р ИСО/МЭК 27001-2006

0. Введение

0.1. Общие положения
Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). Внедрение СМИБ является стратегическим решением организации. На проектирование и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации. Предполагается, что вышеуказанные факторы и поддерживающие их системы будут изменяться во времени. Предполагается также, что СМИБ будет изменяться пропорционально потребностям организации, т.е. для простой ситуации потребуется простое решение по реализации СМИБ.
Положения настоящего стандарта могут быть использованы как внутри организации, так и внешними организациями для оценки соответствия.
0.2. Процессный подход
Настоящий стандарт предполагает использовать процессный подход для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации.
Для успешного функционирования организация должна определить и осуществить менеджмент многочисленных видов деятельности. Деятельность, использующая ресурсы и управляемая в целях преобразования входов в выходы, может быть рассмотрена как процесс. Часто выход одного процесса непосредственно формирует вход для следующего процесса.
Использование внутри организации системы процессов наряду с идентификацией и взаимодействием этих процессов, а также менеджмент процессов могут быть определены как "процессный подход".
Согласно предлагаемому настоящим стандартом процессному подходу применительно к менеджменту информационной безопасности (ИБ) особую значимость для пользователей имеют следующие факторы:
a) понимание требований информационной безопасности организации и необходимости установления политики и целей информационной безопасности;
b) внедрение и использование мер управления для менеджмента рисков ИБ среди общих бизнес-рисков организации;
c) мониторинг и проверка производительности и эффективности СМИБ;
d) непрерывное улучшение СМИБ, основанное на результатах объективных измерений.
В настоящем стандарте представлена модель "Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA), которая может быть применена при структурировании всех процессов СМИБ. На рисунке 1 показано, как СМИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых действий и процессов выдает выходные данные по результатам обеспечения информационной безопасности, которые соответствуют этим требованиям и ожидаемым результатам.
Принятие модели PDCA также отражает принципы, установленные в Директивах Организации экономического сотрудничества и развития (ОЭСР) и определяющие безопасность информационных систем и сетей [1]. Настоящий стандарт представляет наглядную модель для реализации на практике указанных принципов, которые позволяют осуществить оценку рисков, проектирование и реализацию системы информационной безопасности, ее менеджмент и переоценку.
Примеры
1. Требование может заключаться в том, чтобы нарушения информационной безопасности не приводили к значительному финансовому ущербу для организации и/или к существенным затруднениям в ее деятельности.
2. Ожидаемым результатом может быть наличие в организации достаточно хорошо обученных сотрудников для проведения процедур, позволяющих минимизировать возможные неблагоприятные последствия в случае серьезного инцидента, например несанкционированного проникновения (атаки хакеров) на веб-сайт организации, через который она осуществляет электронную торговлю.
0.3. Совместимость с другими системами менеджмента
Настоящий стандарт согласован со стандартами ИСО 9001:2000 "Системы менеджмента качества. Требования" [2] и ИСО 14001:2004 "Системы управления окружающей средой. Требования и руководство по применению" [3] в целях поддержки последовательного и интегрированного внедрения и взаимодействия с другими подобными взаимосвязанными стандартами в области менеджмента. Таким образом, одна правильно построенная система менеджмента в организации может удовлетворять требованиям всех этих стандартов.
Таблица С.1 иллюстрирует взаимосвязь между разделами настоящего стандарта, а также ИСО 9001:2000 и ИСО 14001:2004.
Настоящий стандарт позволяет организации регулировать СМИБ или интегрировать ее с соответствующими требованиями других систем менеджмента.

1. Область применения

1.1. Общие положения
Настоящий стандарт предназначен для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями). Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности (СМИБ) среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности (ИБ).
Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
Примечание - Термин "бизнес", в настоящем стандарте понимаемый в широком смысле, обозначает всю ту деятельность, которая является основой для целей существования организации.

1.2. Применение
Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности. Исключение любого из требований, указанных в разделах 4, 5, 6, 7 и 8, не допускается, если организация заявляет о соответствии ее СМИБ настоящему стандарту.
Любой отказ от применения той или иной меры управления, обусловленный необходимостью удовлетворения критериев принятия рисков, должен быть обоснован. Необходимо также наличие адекватных доказательств того, что подобные риски были уже приняты ответственными лицами. При исключении каких-либо мер управления заявления о соответствии организации настоящему стандарту неправомочны, кроме случаев, когда эти исключения не влияют на способность и/или обязанность организации обеспечивать информационную безопасность, которая соответствует требованиям безопасности, установленным соответствующими законодательными актами или определенными на основе оценок рисков.
Примечание - Если организация уже имеет действующую систему менеджмента бизнес-процессов (например, в соответствии с ИСО 9001 [2] или ИСО 14001 [3]), тогда в большинстве случаев предпочтительнее удовлетворить требования настоящего стандарта в рамках этой существующей системы менеджмента.

Прежде чем выложить следующий кусочек, сообщаю, что вышло новое Руководство ИСО/МЭК 73 2009 года, в котором очень сильно изменились применяемые термины. Свой вариант технического перевода некоторых новых терминов я уже приводил на форуме.

3. Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1. Активы (asset): все, что имеет ценность для организации.
(ИСО/МЭК 13335-1:2004) [4]
3.2. Доступность (availability): свойство объекта находиться в состоянии готовности и возможности использования по запросу авторизованного логического объекта.
(ИСО/МЭК 13335-1:2004) [4]
3.3. Конфиденциальность (confidentiality): свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.
(ИСО/МЭК 13335-1:2004) [4]
3.4. Информационная безопасность; ИБ (information security): свойство информации сохранять конфиденциальность, целостность и доступность.
Примечание - Кроме того, данное понятие может включать в себя также и свойство сохранять аутентичность, подотчетность, неотказуемость и надежность.
(ИСО/МЭК 17799:2005)
3.5. Событие информационной безопасности (information security event): идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью.
(ИСО/МЭК ТО 18044:2004) [5]
3.6. Инцидент информационной безопасности (information security incident): любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
Примечание - Инцидентами информационной безопасности являются:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки;
- ошибки пользователей;
- несоблюдение политики или рекомендаций по ИБ;
- нарушение физических мер защиты;
- неконтролируемые изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.
(ИСО/МЭК ТО 18044:2004) [5]
3.7. Система менеджмента информационной безопасности; СМИБ (information security management system; ISMS): часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.
Примечание - Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.
3.8. Целостность (integrity): свойство сохранять правильность и полноту активов.
(ИСО/МЭК 13335-1:2004) [4]
3.9. Остаточный риск (residual risk): риск, остающийся после его обработки.
(Руководство ИСО/МЭК 73:2002) [6]
3.10. Принятие риска (risk acceptance): решение по принятию риска.
(Руководство ИСО/МЭК 73:2002) [6]
3.11. Анализ риска (risk analysis): систематическое использование информации для определения источников риска и количественной оценки риска.
(Руководство ИСО/МЭК 73:2002) [6]
3.12. Оценка риска (risk assessment): общий процесс анализа риска и его оценивания.
(Руководство ИСО/МЭК 73:2002) [6]
3.13. Оценивание риска (risk evaluation): процесс сравнения количественно оцененного риска с заданными критериями риска для определения его значимости.
(Руководство ИСО/МЭК 73:2002) [6]
3.14. Менеджмент риска (risk management): скоординированные действия по руководству и управлению организацией в отношении риска.
Примечание - Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и коммуникацию риска.
(Руководство ИСО/МЭК 73:2002) [6]
3.15. обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации риска.
(Руководство ИСО/МЭК 73:2002) [6]
Примечания:
1. Меры по обработке риска могут включать в себя избежание, оптимизацию, перенос или сохранение риска.
2. В настоящем стандарте термин "мера управления" (control) использован как синоним термина "мера" (measure).
3.16. Положение о применимости (statement of applicability): документированное предписание, определяющее цели и меры управления, соответствующие и применимые к системе менеджмента информационной безопасности организации.
Примечание - Цели и меры управления основываются на результатах и выводах процессов оценки и обработки рисков, на требованиях законодательных или нормативных актов, на обязательствах по контракту и бизнес-требованиях организации по отношению к информационной безопасности.

4. Система менеджмента информационной безопасности

4.1. Общие требования
Организация должна разработать, внедрить, обеспечить функционирование, вести мониторинг, анализировать, поддерживать и непрерывно улучшать документированную СМИБ применительно ко всей деловой деятельности организации и рискам, с которыми она сталкивается. С учетом целей настоящего стандарта используемый процесс основан на применении модели PDCA, приведенной на рисунке 1.
4.2. Разработка системы менеджмента информационной безопасности. Управление системой менеджмента информационной безопасности
4.2.1. Разработка системы менеджмента информационной безопасности
Организация должна осуществить следующее:
a) определить область и границы действия СМИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий, в том числе детали и обоснование любых исключений из области ее действия (см. 1.2);
b) определить политику СМИБ на основе характеристик бизнеса, организации, ее размещения, активов и технологий, которая:
1) содержит концепцию, включающую в себя цели, основные направления и принципы действий в сфере ИБ;
2) принимает во внимание требования бизнеса, нормативно-правовые требования, а также договорные обязательства по обеспечению безопасности;
3) согласуется со стратегическим содержанием менеджмента рисков организации, в рамках которого будет разрабатываться и поддерживаться СМИБ;
4) устанавливает критерии оценки рисков (см. 4.2.1, перечисление c));
5) утверждается руководством организации.
Примечание - Для целей настоящего стандарта политика СМИБ имеет приоритет перед политикой ИБ. Эти политики могут быть изложены в одном документе.
c) определить подход к оценке риска в организации, для чего необходимо:
1) определить методологию оценки риска, подходящую для СМИБ, которая должна соответствовать требованиям обеспечения деятельности организации и нормативно-правовым требованиям информационной безопасности;
2) разработать критерии принятия риска и определить приемлемые уровни риска (см. 5.1, перечисление f)).
Выбранная методология оценки риска должна обеспечивать сравнимые и воспроизводимые результаты.
Примечание - Имеются различные методологии оценки риска. Примеры таких методологий даны в ИСО/МЭК ТО 13335-3:1998 "Руководство по управлению безопасностью информационных технологий. Часть 3. Методы управления безопасностью информационных технологий" [7].
d) идентифицировать риски, для чего необходимо:
1) идентифицировать активы в пределах области функционирования СМИБ и определить владельцев <1> этих активов.

---

<1> Здесь и далее "владелец" определяет лицо или организацию, которые имеют утвержденные руководством обязательства по контролю за производством, разработкой, поддержкой, использованием и безопасностью активов. Термин "владелец" не означает, что лицо действительно имеет какие-либо права собственности на актив.
2) идентифицировать угрозы этим активам;
3) идентифицировать уязвимости активов, которые могут быть использованы угрозами;
4) идентифицировать последствия воздействия на активы в результате возможной утраты конфиденциальности, целостности и доступности активов;
e) проанализировать и оценить риски, для чего необходимо:
1) оценить ущерб для деятельности организации, который может быть нанесен в результате сбоя обеспечения безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности или доступности активов;
2) оценить реальную вероятность сбоя обеспечения безопасности с учетом превалирующих угроз, уязвимостей и их последствий, связанных с этими активами, а также с учетом применяемых мер управления безопасностью;
3) оценить уровни рисков;
4) определить, являются ли риски приемлемыми или требуют обработки с использованием критериев допустимости рисков, установленных в 4.2.1, перечисление c);
f) определить и оценить различные варианты обработки рисков. Возможные действия:
1) применение подходящих мер управления;
2) сознательное и объективное принятие рисков при условии, что они полностью соответствуют требованиям политики и критериям организации в отношении принятия рисков (см. 4.2.1, перечисление c), 2);
3) избежание рисков;
4) передача соответствующих деловых рисков сторонним организациям, например страховщикам или поставщикам;
g) выбрать цели и меры управления для обработки рисков.
Цели и меры управления должны быть выбраны и реализованы так, чтобы удовлетворять требованиям, определенным в процессе оценки и обработки рисков. Этот выбор должен учитывать критерии принятия рисков (см. 4.2.1, перечисление c), 2)), а также нормативно-правовые требования и договорные обязательства.
Цели и меры управления должны быть выбраны согласно Приложению A как часть процесса оценки и обработки рисков и соответствовать требованиям этого процесса.
Перечень целей и мер управления, приведенный в Приложении A, не является исчерпывающим, а потому могут быть выбраны дополнительные цели и меры управления.
Примечание - Приложение A содержит подробный перечень целей и мер управления, обычно используемых в организациях. Рекомендуется использовать этот перечень в качестве исходных данных, позволяющих выбрать рациональный вариант мер управления и контроля;
h) получить утверждение руководством предполагаемых остаточных рисков;
i) получить разрешение руководства на внедрение и эксплуатацию СМИБ;
j) подготовить Положение о применимости, которое включает в себя следующее:
1) цели и меры управления, выбранные в 4.2.1, перечисление g), и обоснование этого выбора;
2) цели и меры управления, реализованные в настоящее время (см. 4.2.1, перечисление e), 2));
3) перечень исключенных целей и мер управления, указанных в Приложении A, и процедуру обоснования их исключения.
Примечание - Положение о применимости содержит итоговые решения, касающиеся обработки рисков. Обоснование исключений предусматривает перекрестную проверку, позволяющую определить, что ни одна мера управления не была случайно упущена.
4.2.2 Внедрение и функционирование системы менеджмента информационной безопасности
Организация должна выполнить следующее:
a) разработать план обработки рисков, определяющий соответствующие действия руководства, ресурсы, обязанности и приоритеты в отношении менеджмента рисков ИБ (см. раздел 5);
b) реализовать план обработки рисков для достижения намеченных целей управления, включаю щий в себя вопросы финансирования, а также распределение функций и обязанностей;
c) внедрить меры управления, выбранные согласно 4.2.1, перечисление g), для достижения целей управления;
d) определить способ измерения результативности выбранных мер управления или их групп и использования этих измерений для оценки результативности управления с целью получить сравнимые и воспроизводимые данные (см. 4.2.3, перечисление c)).
Примечание - Измерение результативности мер управления позволяет руководителям и персоналу определить, в какой степени меры управления способствуют достижению намеченных целей управления.
e) реализовать программы по обучению и повышению квалификации сотрудников (см. 5.2.2);
f) управлять работой СМИБ;
g) управлять ресурсами СМИБ (см. 5.2);
h) внедрить процедуры и другие меры управления, обеспечивающие быстрое обнаружение событий ИБ и реагирование на инциденты, связанные с ИБ (см. 4.2.3, перечисление a)).
4.2.3. Проведение мониторинга и анализа системы менеджмента информационной безопасности
Организация должна осуществлять следующее:
a) выполнять процедуры мониторинга и анализа, а также использовать другие меры управления в следующих целях:
1) своевременно обнаруживать ошибки в результатах обработки;
2) своевременно выявлять удавшиеся и неудавшиеся попытки нарушения и инциденты ИБ;
3) предоставлять руководству информацию для принятия решений о ходе выполнения функций по обеспечению ИБ, осуществляемых как ответственными лицами, так и информационными технологиями;
4) способствовать обнаружению событий ИБ и, таким образом, предотвращать инциденты ИБ путем применения средств индикации;
5) определять, являются ли эффективными действия, предпринимаемые для устранения нарушения безопасности;
b) проводить регулярный анализ результативности СМИБ (включая проверку ее соответствия политике и целям СМИБ и анализ мер управления безопасностью) с учетом результатов аудиторских проверок ИБ, ее инцидентов, результатов измерений эффективности СМИБ, а также предложений и другой информации от всех заинтересованных сторон;
c) измерять результативность мер управления для проверки соответствия требованиям ИБ;
d) пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения:
1) в организации;
2) в технологиях;
3) в целях деятельности и процессах;
4) в выявленных угрозах;
5) в результативности реализованных мер управления;
6) во внешних условиях, например изменения нормативно-правовых требований, требований договорных обязательств, а также изменения в социальной структуре общества;
e) проводить внутренние аудиты СМИБ через установленные периоды времени (см. раздел 6).
Примечание - Внутренние аудиты, иногда называемые аудитами первой стороны, проводятся самой организацией (или внешней организацией от ее имени) для собственных целей.
f) регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности ее функционирования и определения направлений совершенствования (см. 7.1);
g) обновлять планы ИБ с учетом результатов анализа и мониторинга;
h) регистрировать действия и события, способные повлиять на результативность или функционирование СМИБ, в соответствии с 4.3.3.
4.2.4. Поддержка и улучшение системы менеджмента информационной безопасности
Организация должна регулярно осуществлять следующее:
a) выявлять возможности улучшения СМИБ;
b) предпринимать необходимые корректирующие и предупреждающие действия в соответствии с 8.2 и 8.3, использовать на практике опыт по обеспечению ИБ, полученный как в собственной организации, так и в других организациях;
c) передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия;
d) обеспечивать внедрение улучшений СМИБ для достижения запланированных целей.
4.3. Требования к документации
4.3.1. Общие положения
Документация должна включать в себя записи решений руководства, позволяющие обеспечивать контроль выполнения решений руководства и политик организации, а также обеспечивать воспроизводимость документированных результатов.
Важно иметь обратную связь выбранных мер управления с результатами процессов оценки и обработки риска, а также последних с политикой СМИБ и целями СМИБ.
Документация СМИБ должна включать в себя следующее:
a) документированные положения политики СМИБ (см. 4.2.1, перечисление b)) и целей СМИБ;
b) область функционирования СМИБ (см. 4.2.1, перечисление a));
c) процедуры и меры управления, поддерживающие СМИБ;
d) описание методологии оценки риска (см. 4.2.1, перечисление c));
e) отчет по оценке рисков (см. 4.2.1, перечисления c) - g));
f) план обработки рисков;
g) документированные процедуры, необходимые организации для обеспечения эффективного планирования, внедрения процессов в области ИБ и управления этими процессами, а также описания путей оценки результативности мер управления (см. 4.2.3, перечисление c));
h) учетные записи (см. 4.3.3);
i) положение о применимости.
Примечания:
1. Согласно настоящему стандарту термин "документированная процедура" означает, что процедура установлена, документально оформлена, реализована и поддерживается на должном уровне.
2. Для разных организаций объем документации СМИБ может быть различным в зависимости:
- от размера организации и вида ее деятельности;
- от области применения и сложности требований безопасности и от управляемой системы.
3. Документы и учетные записи могут существовать в любой форме и на носителях любого типа.
4.3.2. Управление документами
Для разработки, актуализации, использования, хранения и уничтожения документов СМИБ, а также их защиты в организации должна существовать документированная процедура, определяющая действия руководства по:
a) утверждению документов СМИБ перед их изданием;
b) пересмотру и обновлению, при необходимости, документов, а также повторному их утверждению;
c) обеспечению идентификации внесенных изменений и текущего статуса документов;
d) обеспечению наличия версий соответствующих документов в местах их использования;
e) определению порядка просмотра документов и их идентификации;
f) обеспечению доступа к документам авторизованным лицам, а также передачи, хранения и уничтожения в соответствии с процедурами, применимыми к степени их конфиденциальности;
g) идентификации документов, созданных вне организации;
h) обеспечению контроля за распространением документов;
i) предотвращению непреднамеренного использования устаревших документов;
j) использованию соответствующей идентификации устаревших документов в случае их дальнейшего хранения.
4.3.3. Управление записями
Для предоставления свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо вести и поддерживать в рабочем состоянии учетные записи. Учетные записи необходимо контролировать и защищать. СМИБ должна принимать во внимание все нормативно-правовые требования и договорные обязательства, имеющие отношение к ИБ. Записи должны быть четкими, легко идентифицируемыми и восстанавливаемыми. Меры управления, требуемые для идентификации, хранения, защиты, поиска, определения сроков хранения и уничтожения записей должны быть документированы и реализованы.
Кроме этого, следует вести и хранить записи о выполнении процессов, описанных в 4.2, и обо всех значительных инцидентах информационной безопасности, связанных со СМИБ.
Пример - Примерами записей являются: журнал регистрации посетителей, отчеты о результатах аудитов, заполненные формы авторизации доступа.

Брошу кусочек еще из одного стандарта
ISO/IEC 27002:2005 Информационные технологии. Свод правил по управлению защитой информации
0 Введение
0.1 Что такое защита информации?
Информация – это актив, который, подобно другим значимым активам бизнеса, важен
для ведения дела организации и, следовательно, необходимо, чтобы он
соответствующим образом защищался. Это особенно важно во все больше и больше
взаимосвязанной среде бизнеса. В результате этой возрастающей взаимосвязанности,
информация в настоящее время подвергается воздействию возрастающего числа и
растущего разнообразия угроз и слабых места в системе защиты (см. также
Руководящие принципы OECD по Защите информационных систем и сетей).
Информация может существовать во многих формах. Она может быть напечатана или
написана на бумаге, храниться в электронном виде, посылаться по почте или путем
использования электронных средств, показана на пленках или высказана в разговоре.
Вне зависимости от того, какую форму информация принимает, какими средствами она
распространяется или хранится, она всегда должна быть надлежащим образом
защищена.
Защита информации – это охрана информации от большого разнообразия угроз,
осуществляемая с целью обеспечить непрерывность бизнеса, минимизировать
деловые риски и максимизировать возврат по инвестициям и возможности деловой
деятельности.
Защита информации достигается реализацией соответствующего набора средств
управления, включая политику, процессы, процедуры, организационные структуры и
программные и аппаратные функции. Эти элементы управления необходимо создать,
внедрить, постоянно контролировать, анализировать и улучшать, по необходимости, с
целью обеспечить выполнение конкретных организационных задач защиты и бизнеса.
Это следует делать вместе с другими процессами управления бизнесом.
0.2 Зачем нужна защита информации?
Информация и вспомогательные процессы, системы и сети являются важными
активами бизнеса. Определение, достижение, поддержание в рабочем состоянии и
улучшение защиты информации может быть существенным для поддержания
конкурентного преимущества, движения ликвидности, рентабельности, соответствия
законам и коммерческого имиджа.
Организации и их информационные системы и сети сталкиваются с угрозами для
безопасности, исходящими из весьма разнообразных источников, включая
компьютеризированное мошенничество, шпионаж, саботаж, вандализм, пожар или
наводнение. Причины ущерба, например, злонамеренный код, компьютерное хакерство
и воздействия, вызывающие отказ в обслуживании законных пользователей,
становятся все более обыденными, амбициозными и изощренными.
Защита информации важна для предприятий как государственного, так частного
сектора, а также для защиты ценных инфраструктур. В обоих секторах, защита
информации будет работать как инструмент реализации, например, для ведения
электронного управления или электронного бизнеса, и для того, чтобы избежать или
снизить соответствующие риски. Взаимосвязь государственных и частных сетей и
совместное использование информационных ресурсов увеличивает трудность
достижения управления доступом. Курс на распределенную обработку данных также
ослабляет результативность центрального, специализированного управления.
Множество информационных систем не было предназначено для того, чтобы быть
безопасными. Защита, которая может быть достигнута техническими средствами,
ограничена, и ее следует поддерживать соответствующим управлением и
процедурами. Определение того, какие средства управления следует принять, требует
тщательного планирования и внимания деталям. Управление защитой информации
требует, как минимум, участия всех служащих в организации. Она также может
потребовать участия акционеров, поставщиков, третьих сторон, потребителей или
других внешних сторон. Также может понадобиться консультация специалиста извне
организации.

0.3 Как создать требования защиты
Важно, чтобы организация выявила свои требования защиты. Есть три основных
источника требований защиты.
1. Один источник получается из оценивания рисков для организации, с учетом общей
деловой стратегии и целей организации. Посредством оценки рисков
определяются угрозы активам, оценивается уязвимость по отношению к случаю и
вероятность его возникновения, а также его возможное негативное влияние.
2. Другим источником являются требования закона, устава, другие обязательные
требования и требования договоров, которые организация, ее торговые партнеры,
подрядчики и поставщики услуги должны выполнить, а также их социально-
культурная среда.
3. Дальнейшим источником является конкретный набор принципов, целей и деловых
требований к обработке информации, которые организация разработала для
поддержки своих операций.
0.4 Оценка рисков, связанных с нарушением защиты
Требования защиты выявляются методической оценкой исков, связанных с
нарушением защиты. Надо, чтобы расходы на средства управления были
пропорциональны ущербу деловой деятельности, который, вероятно может иметь
место в результате нарушения защиты.
Результаты оценки рисков помогут направить и определить подходящее действие и
приоритеты в области управления рисками для защиты информации, а также в области
реализации средств управления, выбранных для защиты от этих рисков.
Оценку рисков следует периодически повторять, с целью учесть все изменения,
которые могли бы повлиять на результаты оценки рисков.

0.6 Отправная точка защиты информации
Ряд средств управления может рассматриваться как хорошая отправная точка для
реализации защиты информации. Они или основаны на важных требованиях закона,
или считаются общей практикой в области защиты информации.
Средства управления, считающиеся важными для любой организации с точки зрения
закона, включают, в зависимости от применимого законодательства, следующее:
a) защита данных и секретность личной информации (см. 15.1.4);
b) защита организационных записей (см. 15.1.3);
c) права на интеллектуальную собственность (см. 15.1.2).

0.7 Критические факторы успеха
Опыт показал, что следующие факторы часто являются критическими для успешной
реализации защиты информации в организации:
a) политика, цели и деятельность в области защиты информации, которые отражают
цели бизнеса;
b) метод и структура для реализации, поддержания в рабочем состоянии,
постоянного контроля и улучшения защиты информации, которые соответствуют
организационной культуре;
c) видимая поддержка и обязательства всех уровней руководства;
d) хорошее понимание требований защиты информации, оценки рисков и управления
рисками;
e) результативный маркетинг защиты информации всем менеджерам, служащим и
другим сторонам, с целью достичь осведомленности;
f) распространение руководящих принципов политики и стандартов в области
защиты информации среди всех менеджеров, служащих и других сторон;
g) резерв для финансирования деятельности по управлению защитой информации;
h) обеспечение надлежащей осведомленности, подготовки и образования;
i) создание результативных процессов управления инцидентами в системе защиты
информации;
j) внедрение системы измерения(1), которая используется для того, чтобы оценивать
исполнение управления защитой информации и предложения по улучшению,
поступающие по цепочке обратной связи.
(1) Отмечаем, что измерения защиты информации находятся за пределами области применения данного стандарта

И еще кусочек одного стандарта ISO/IEC 27005:2008 Информационная технология -
Методы защиты – Менеджмент рисков информационной безопасности

Необходим системный подход к менеджменту рисков информационной
безопасности, чтобы идентифицировать организационные потребности относительно
требований информационной безопасности и создать эффективную систему менеджмента
информационной безопасности (СМИБ). Этот подход должен быть подходящим для
среды организации и в частности должен быть уравновешенный подход полного
менеджмента рисков предприятия. Все усилия по безопасности должны эффективным и
своевременным способом обратиться к рискам, где и когда они необходимы.
Менеджмент риском информационной безопасности должен быть неотъемлемой частью
всех действий менеджмента информационной безопасностью и это должно быть
применено как к реализации, так и к непрерывности операции СМИБ.
Менеджмент рисков информационной безопасности должен быть непрерывным
процессом. Процесс должен установить окружающую обстановку, оценить риски,
обработать риски, используя план обработки риска, осуществить рекомендации и
решения. Менеджмент рисков анализирует то, что может случиться и каковы возможные
последствия могут быть прежде, чем решить то, что должно быть сделано и когда, чтобы
снизить риск до приемлемого уровня.
Менеджмент рисков информационной безопасности должен содействовать
следующему:
 идентификации рисков;
 оценивать риски в терминах их последствий к бизнесу и вероятности их в
инцидентах;
 вероятности и последствия этих рисков должны быть доведены и поняты;
 приоритетности категорий для устанавливаемой обработки рисков;
 приоритету для действий, чтобы уменьшить появление рисков;
 вовлекаемым причастным сторонам5 (примечание переводчика – это не
синоним с заинтересованными сторонами6!), когда решения менеджмента
рисков приняты и держатся в курсе статуса менеджмента риском;
 эффективности контроля обработки риска;
 риски и процесс менеджмента рисков должны быть измеряемыми и
регулярно пересматриваться;
 фиксировать информацию, чтобы улучшить подходы менеджмента рисков;
 менеджерам и квалифицированным специалистам, обрабатывающих
информацию о рисках и предпринятых действиях, чтобы смягчить их.
Процесс менеджмента рисков информационной безопасности может быть
применен к организации в целом, любой дискретной части организации (например,
отделу, физическому местоположению, сервису), любой существующей информационной
системе, запланированным или специфическим аспектам менеджмента (например,
планированию непрерывности бизнеса).

5. Ответственность руководства

5.1. Обязательства руководства
Руководство организации должно предоставлять доказательства выполнения своих обязательств в отношении разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ путем осуществления следующих мер:
a) разработки политики СМИБ;
b) обеспечения разработки целей и планов СМИБ;
c) определения функций и ответственности в области ИБ;
d) доведения до всех сотрудников организации информации о важности достижения целей информационной безопасности и соответствия ее требованиям политики организации, об их ответственности перед законом, а также о необходимости непрерывного совершенствования в реализации мер ИБ;
e) выделения необходимых и достаточных ресурсов для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ (см. 5.2.1);
f) установления критериев принятия рисков и уровней их приемлемости;
g) обеспечения проведения внутренних аудитов СМИБ (см. раздел 6);
h) проведения анализа СМИБ со стороны руководства (см. раздел 7).
5.2. Управление ресурсами
5.2.1. Обеспечение ресурсами
Организация должна определить и предоставить ресурсы, необходимые для:
a) разработки, внедрения, обеспечения функционирования, мониторинга, анализа, улучшения и поддержки СМИБ;
b) поддержки требований бизнеса процедурами информационной безопасности;
c) выявления и обеспечения выполнения требований соответствующих законов, нормативных актов, а также договорных обязательств в области информационной безопасности;
d) поддержания адекватной безопасности путем правильного применения всех реализованных мер управления;
e) проведения, при необходимости, анализа и принятия соответствующих мер по его результатам;
f) повышения, при необходимости, результативности СМИБ.
5.2.2. Подготовка, осведомленность и квалификация персонала
Организация должна обеспечить необходимую квалификацию персонала, на который возложены обязанности выполнения задач в рамках СМИБ путем:
a) определения требуемого уровня знаний и навыков для персонала, который выполняет работу, влияющую на СМИБ;
b) организации обучения персонала или принятия других мер (например, наем компетентного персонала) для удовлетворения указанных потребностей;
c) оценки результативности предпринятых действий;
d) ведения записей об образовании, подготовке, навыках, опыте и квалификации сотрудников (см. 4.3.3).
Организация должна также обеспечить понимание всеми соответствующими сотрудниками значимости и важности деятельности в области информационной безопасности, и их роли в достижении целей СМИБ.

6. Внутренние аудиты системы менеджмента
информационной безопасности

Организация должна в соответствии с утвержденным графиком проводить внутренние аудиты СМИБ, позволяющие установить, что цели управления, меры управления, процессы и процедуры СМИБ:
a) соответствуют требованиям настоящего стандарта и соответствующим законам или нормативным документам;
b) соответствуют установленным требованиям ИБ;
c) результативно внедряются и поддерживаются;
d) функционируют должным образом.
Программа аудита должна быть спланирована с учетом статуса и важности проверяемых процессов и зон, подлежащих аудиту, а также результатов предыдущих аудитов. Должны быть определены критерии, область, частота и методы аудита. Отбор аудиторов и процедура аудита должны обеспечивать его объективность и беспристрастность. Аудиторы не должны проводить проверку своей собственной работы.
Правила и требования, относящиеся к планированию, проведению аудита, сообщению о его результатах и поддержанию в рабочем состоянии учетных записей (см. 4.3.3), должны быть документированы.
Руководитель, ответственный за проверяемый участок деятельности организации, должен своевременно и без задержки обеспечить проведение проверки в целях устранения обнаруженных несоответствий и их причин. Последующие действия должны включать в себя проверку предпринятых действий и сообщение о результатах проверки (см. раздел 8) [8].

7. Анализ системы менеджмента информационной безопасности
со стороны руководства

7.1. Общие положения
Руководство должно в соответствии с утвержденным графиком периодически (не менее одного раза в год) проводить анализ СМИБ организации в целях обеспечения ее постоянной пригодности, адекватности и результативности. Результаты анализа должны содержать предложения по изменению СМИБ и оценку их реализации в интересах обеспечения выполнения требований политики и целей информационной безопасности. Результаты таких проверок должны быть зафиксированы документально, а учетные записи должны быть сохранены (см. 4.3.3).
7.2. Входные данные для анализа системы менеджмента информационной безопасности
Входные данные для анализа СМИБ со стороны руководства должны включать в себя следующую информацию:
a) результаты предыдущих аудитов и анализа СМИБ;
b) результаты взаимодействия с заинтересованными сторонами;
c) методы, средства или процедуры, которые могут быть использованы в организации для совершенствования функционирования и повышения результативности СМИБ;
d) правовое обоснование предупреждающих и корректирующих действий;
e) уязвимости или угрозы, которые не были адекватно учтены в процессе предыдущей оценки рисков;
f) результаты количественной оценки результативности СМИБ;
g) последующие действия, вытекающие из предыдущего анализа со стороны руководства;
h) любые изменения, которые могли бы повлиять на СМИБ;
i) рекомендации по улучшению.
7.3. Выходные данные анализа системы менеджмента информационной безопасности
Выходные данные анализа СМИБ со стороны руководства должны включать в себя все решения и действия, направленные:
a) на повышение результативности СМИБ;
b) на обновление планов оценки и обработки рисков;
c) на модификацию процедур и мер управления и контроля, влияющих на ИБ, с целью обеспечить реагирование на внутренние или внешние события, которые могут оказать воздействие на СМИБ, включая изменения:
1) в бизнес-требованиях;
2) в требованиях безопасности;
3) в бизнес-процессах, влияющих на существующие бизнес-требования;
4) в законах и нормативных документах;
5) в договорных обязательствах;
6) в уровнях риска и/или критериев принятия риска;
d) на потребности в ресурсах;
e) на совершенствование способов оценки результативности мер управления.

8. Улучшение системы менеджмента
информационной безопасности

8.1. Постоянное улучшение
Организация должна постоянно повышать результативность СМИБ посредством уточнения политики ИБ, целей ИБ, использования результатов аудитов, анализа контролируемых событий, корректирующих и предупреждающих действий, а также использования руководством результатов анализа СМИБ (см. раздел 7).
8.2. Корректирующие действия
Организация должна проводить мероприятия по устранению причин несоответствий требованиям СМИБ с целью предупредить их повторное возникновение. Документированная процедура корректирующего действия должна устанавливать требования по:
a) выявлению несоответствий;
b) определению причин несоответствий;
c) оцениванию необходимости действий во избежание повторения несоответствий;
d) определению и реализации необходимых корректирующих действий;
e) ведению записей результатов предпринятых действий (см. 4.3.3);
f) анализу предпринятого корректирующего действия.
8.3. Предупреждающие действия
Организация должна определять действия, необходимые для устранения причин потенциальных несоответствий требованиям СМИБ, с целью предотвратить их повторное появление. Предпринимаемые предупреждающие действия должны соответствовать последствиям потенциальных проблем. Документированная процедура предпринятого предупреждающего действия должна устанавливать требования по:
a) выявлению потенциальных несоответствий и их причин;
b) оцениванию необходимости действия с целью предупредить появление несоответствий;
c) определению и реализации необходимого предупреждающего действия;
d) записи результатов предпринятого действия (см. 4.3.3);
e) анализу результатов предпринятого действия.
Организация должна определить изменения в оценках рисков и установить требования к предупреждающим действиям, при этом обращая особое внимание на существенно измененные количественные показатели рисков.
Приоритеты в отношении реализации предупреждающих действий должны быть определены на основе результатов оценки риска.
Примечание - Обычно затраты на проведение мероприятий по предотвращению несоответствий более экономичны, чем на корректирующие действия.

Самое интересное это то, что заключительные фразы стандарта (без приложений): "Организация должна определить изменения в оценках рисков и установить требования к предупреждающим действиям, при этом обращая особое внимание на существенно измененные количественные показатели рисков.
Приоритеты в отношении реализации предупреждающих действий должны быть определены на основе результатов оценки риска.
Примечание - Обычно затраты на проведение мероприятий по предотвращению несоответствий более экономичны, чем на корректирующие действия." практически полностью определяют необходимую стратегию обеспечения безопасности полетов и авиационной безопасности.

Очень полезная информация - может кого сподвигнет задуматься о проблемах.
Хочу подтвердить, что в информационной сфере это все действительно работает, и без этого просто кирдык!
Когда информационная система территориально распределена, когда она многофункциональна, когда одновременно в ней работают десятки серверов, сотни единиц сетевого оборудования, тысячи конечных пользователей, и это все еще завезано на технологии - АСУТП, построение СИТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ и ЖЕСТКОЕ следование ей - это вопрос жизни и смерти.
По крайней мере у нас все строго по кондуиту...

Молчанов Юрий пишет:

Когда информационная система территориально распределена, когда она многофункциональна
===
Информационная система обеспечения экипажей полетной и прочей аэронавигационной информацией еще более распределена и многофункциональна, при этом ответственность за ее функционирование возложена на тех, кто эту информацию потребляет, то есть на авиакомпании.
Кстати, СМИБ абсолютно не зависит от АСУТП, так как она намного шире автоматизации. В приложениях к 27001 т 27005 есть даже антитерроризм, я уже не говорю о прочих аспектах обеспечения авиационной безопасности.