Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    Блог по ISO 27001 и ISO 22301

    Обзор Приложения А стандарта ИСО 27001:2013

    Приложение А ИСО 27001 является, возможно, наиболее известным приложением среди всех стандартов ИСО – причина этого в том, что оно предоставляет собой важный инструмент для управления безопасностью: перечень средств управления безопасностью (или мер безопасности), которые подлежат использованию в целях улучшения безопасности информации.

    Могли бы быть нарушены права интеллектуальной собственности, если бы я здесь перечислил все средства управления безопасностью, но позвольте мне только объяснить, каким образом средства управления структурированы, а также цель каждого из 14 разделов Приложения А.

    • A.5 Политики информационной безопасности – средства управления о том, как пишутся и проверяются политики
    • A.6 Организация информационной безопасности – средства управления от том, как назначаются обязанности; также содержит средства управления для мобильных устройств и удаленной работы
    • A.7 Безопасность людских активов – средства безопасности до, в период и после найма
    • A.8 Управление активами – средства безопасности в отношении реестра активов и приемлемого использования, а также для категорирования информации и обращения с носителями
    • A.9 Контроль доступа – cредства управления в отношении Политики контроля доступа, управления доступом пользователей, контроля доступа к системам и приложениям, а также обязанностей пользователей
    • A.10 Криптография – средства управления в отношении шифрования и управления ключами
    • A.11 Физическая безопасность и безопасность окружения – средства безопасности, описывающие зоны безопасности, средства безопасности входа, защиту от угроз, безопасность оборудования, безопасное уничтожение, политику чистого стола и чистого монитора и т.д.
    • A.12 Безопасность функционирования – множество средств управления, относящихся к управлению ИТ-отраслью: управление изменениями, управление мощностью, вредоносное ПО, резервное копирование, регистрация, мониторинг, инсталляция, уязвимости и т.д.
    • A.13 Безопасность коммуникаций – средства управления, относящиеся к сетевой безопасности, сегментированию, сетевым сервисам, передаче информации, пересылке сообщений и т.д.
    • A.14 Приобретение, разработка и поддержание систем – средства управления, описывающие требования безопасности и безопасность в процессах разработки и поддержки
    • A.15 Отношения с поставщиками – средства управления от том, что включать в соглашения и как мониторить деятельность поставщиков
    • A.16 Управление инцидентами информационной безопасности – средства управления в отношении оповещения о событиях и недостатках, определения обязанностей, процедур реагирования и сбора свидетельств
    • A.17 Аспекты информационной безопасности в управлении непрерывностью бизнеса – средства управления, требующие планирования непрерывности бизнеса, процедур, подтверждения и проверки, а также избыточности ИТ
    • A.18 Соответствие – средства управления, требующие идентификации применимого законодательства и регулятивных норм, защиты интеллектуальной собственности, защиты персональных данных, а также проверок информационной безопасности

    Одним из самых больших мифов об ИСО 27001 является тот, что он сфокусирован на ИТ – как вы можете увидеть из вышеприведенных разделов, это не совсем верно: несмотря на то, что ИТ естественно важны, одни ИТ не могут защитить информацию. Физическая безопасность, защита законности, управление людскими ресурсами, организационные вопросы – все это вместе требуется для защиты информации.

    Лучшим способом понять Приложение А является представление от нем как о каталоге средств управления безопасностью, которые вы можете выбрать из 114 средств управления, перечисленных в Приложении А, вы можете выбрать те из них, которые применимы для вашей компании.

    Взаимосвязь в основной частью ИСО 27001

    Таким образом, не все из этих 114 средств управления безопасностью являются обязательными – компания может выбирать для себя, какие средства она считает применимыми и тогда она должна внедрить их (в большинстве случаев применимы как минимум 90% средств); оставшиеся признаются неприменимыми. Например, средство управления А.14.2.7 Разработка «на стороне» может быть отмечена как неприменимое, если компания не разрабатывает программное обеспечение на условиях аутсорсинга. Основным критерием для выбора средств управления являются результаты управления рисками, что описано в разделах 6 и 8 основной части ИСО 27001. Узнайте больше здесь: ИСО 27001 оценка & обработка рисков – 6 основных шагов.

    Далее, раздел 5 основной части ИСО 27001 требует от вас определить обязанности для управления этими средствами управления безопасностью, а раздел 9 требует от вас оценить, достигают ли средства управления свои цели. И наконец, раздел 10 обязывает вас установить все, что не так с этими средствами управления, а также удостовериться, что вы достигаете целей информационной безопасности посредством этих средств управления.

    Взаимосвязь в ИСО 27002

    Правда такова, что Приложение А ИСО 27001 не дает слишком много подробностей о каждом средстве управления. Обычно это одно предложение для каждого средства управления, которое дает вам идею о том, что вам нужно достичь, но не о том, как это сделать. Это является целью ИСО 27002 – у него точно такая же структура, как и у Приложения А ИСО 27001: каждое средство управления из Приложения А существует в ИСО 27002 наряду с более подробным объяснением, как его реализовать. Но не попадите в ловушку, используя для управления вашей информационной безопасностью только ИСО 27002 – он не дает вам каких-либо подсказок о том, как выбирать, какие средства управления реализовывать, как измерять их, как оценивать обязанности и т.д. Узнайте больше здесь: ISO 27001 vs. ISO 27002.

    Удобство использования Приложения А

    Есть несколько вещей, которые мне нравятся в Приложении А – оно дает вам точный общий обзор, какие средства управления безопасностью вы можете применить, так что вы не забудете какие-либо, которые могут быть важными, а также оно дает вам гибкость в выборе только тех средств, которые вы сочтете применимыми для вашего бизнеса, т.к. вы не должны растрачивать ресурсы на не относящиеся к вам средства управления.

    Это правда, что Приложение А не дает вам слишком много подробностей в отношении реализации, но в этом месте и приходит на помощь ИСО 27002; также правда, что некоторые компании могут злоупотребить гибкостью ИСО 27001 и нацелиться на внедрение минимума средств управления с целью прохождения сертификации, но этот вопрос является темой отдельного поста моего блога.

    Нажмите здесь, чтобы скачать Перечень обязательных документов ИСО 27001.

    Мы благодарим Бахытжана Сейтмухамбетова за перевод на русский язык.

    Advisera Dejan Kosutic
    Автор
    Dejan Kosutic
    Dejan holds a number of certifications, including Certified Management Consultant, ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, and Associate Business Continuity Professional. Dejan leads our team in managing several websites that specialize in supporting ISO and IT professionals in their understanding and successful implementation of top international standards. Dejan earned his MBA from Henley Management College, and has extensive experience in investment, insurance, and banking. He is renowned for his expertise in international standards for business continuity and information security – ISO 22301 & ISO 27001 – and for authoring several related web tutorials, documentation toolkits, and books.