В 1998 году появилась вторая часть британского национального стандарта — BS 7799—2 «СУИБ. Спецификация и руководство по применению», в 2002 году она была пересмотрена, а в конце 2005 года была принята в качестве международного стандарта ISO/IEC 27001 «ИТ. Методы защиты. СУИБ. Требования». 25 сентября 2013 года состоялось последнее обновление стандарта.

Стандарт состоит из следующих разделов:

Предисловие

0. Введение

1. Сфера применения

2. Нормативные ссылки

3. Термины и определения

4. Контекст организации

5. Лидерство

6. Планирование

7. Поддержка

8. Эксплуатация

9. Оценка результативности

10. Улучшение

Этапам модели «РDСА» соответствуют следующие разделы стандарта:

— планирование;

— эксплуатация;

— оценка результативности;

— улучшение.

Стандарт был подготовлен для реализации требований по созданию, внедрению, сопровождению и постоянному улучшению СУИБ. Принятие СУИБ является стратегическим решением для организации. Разработка и внедрение СУИБ организации зависит от потребностей и целей организации, требований по безопасности, существующих процессов организации, размера и структуры организации. Все эти факторы влияния, как известно, со временем меняются.

СУИБ обеспечивает конфиденциальность, целостность и доступность информации за счет применения процесса управления рисками и придает уверенность заинтересованным сторонам в том, что риски адекватно управляются.

Важно, чтобы СУИБ являлась частью и была интегрирована с процессами организации и общей структурой управления, а также ИБ была применена при разработке процессов, ИС и элементов управления. Как правило, внедрение СУИБ масштабируется в соответствии с потребностями организации.

Стандарт устанавливает в контексте организации требования к созданию, внедрению, сопровождению и постоянному улучшению СУИБ. Стандарт также включает требования по оценке и обработке рисков ИБ в соответствии с потребностями организации. Требования, изложенные в стандарте, носят общий характер и предназначены для применения всеми организациями, независимо от типа, размера или характера. Исключение любого из требований, указанных в следующих разделах, не является приемлемым, если организация заявляет о соответствии стандарту.

Разделы «2.Нормативные ссылки» и «3.Термины и определения» пропускаем.

Организация должна определить внешние и внутренние аспекты, которые имеют отношение к ее цели и влияют на ее способность к достижению ожидаемых результатов от СУИБ.

Организация должна определить:

— заинтересованные стороны, имеющие отношение к СУИБ;

— требования этих заинтересованных сторон, имеющих отношение к ИБ.

Организация для определения сферы применения СУИБ должна определить границы и возможность применения СУИБ.

При определении сферы применения СУИБ организация должна рассмотреть вопросы, упомянутые выше:

— внешние и внутренние аспекты;

— требования заинтересованных сторон;

— взаимосвязи и зависимости между деятельностью, выполняемой организацией, и деятельностью, выполняемой другими организациями.

Сфера применения должна быть доступна в виде документированной информации.

Лидерство и обязательства

Высшее руководство должно продемонстрировать лидерство и обязательства в отношении СУИБ путем:

— обеспечения политики ИБ и целей ИБ, которые разработаны и совместимы со стратегическими задачами организации;

— обеспечения интеграции требований СУИБ в процессы организации;

— обеспечения того, чтобы ресурсы, необходимые для системы менеджмента информационной безопасности, были доступны;

— информирования о важности достижения результативности УИБ и о соответствии требованиям СУИБ;

— обеспечения того, что СУИБ позволяет достигать желаемых результатов;

— поддержки и управления персоналом, способствующим эффективности СУИБ;

— содействия постоянному улучшению;

— поддержки других соответствующих управленческих ролей для демонстрации их лидерства, насколько это применимо к сфере их ответственности.