Национальный стандарт РФ ГОСТ Р ИСО/МЭК 13335-1-2006 "Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий" (утв. приказом Федерального стр. 7

  1. Документы
- понимание общих потребностей организации;
- понимание потребности в безопасности ИТТ в рамках организации;
- демонстрацию обязательств в отношении безопасности ИТТ;
- необходимость обращения к потребностям безопасности ИТТ;
- необходимость выделения ресурсов для безопасности ИТТ;
- осведомленность на самом высоком уровне о том, что является средствами безопасности ИТТ и в чем она заключается (возможности, ограничения).
Следует пропагандировать цели безопасности во всей организации. Каждый сотрудник, работающий на постоянной основе или по контракту, должен знать о своих обязанностях, ответственности, о вкладе в безопасность ИТТ и ему должны быть предоставлены полномочия для их достижения.
5.2.2 Последовательный подход
Необходим последовательный подход ко всей деятельности по планированию, реализации и управлению безопасностью ИТТ. Безопасность должна быть обеспечена на протяжении всего жизненного цикла информации и ИТТ - от планирования до приобретения, тестирования и эксплуатации.
Организационная структура, показанная на рисунке 4, может содействовать гармонизированному подходу к безопасности ИТТ во всей организации. Структура должна быть основана на требованиях и положениях международных, национальных, региональных, отраслевых стандартов и правил, и стандартов организации, применяемых в соответствии с потребностями ИТТ организации. Технические нормы должны дополняться правилами и рекомендациями по их реализации и использованию.
Использование стандартов обеспечивает:
- интегрированную безопасность;
- функциональную совместимость;
- согласованность;
- мобильность;
- экономию средств;
- межсетевое взаимодействие.
5.2.3 Интегрирование безопасности информационно-телекоммуникационных технологий
Деятельность по безопасности более эффективна, если в рамках организации она осуществляется единообразно и с начала жизненного цикла системы ИТТ. Процесс безопасности ИТТ сам по себе является последовательностью множества периодических действий и должен интегрироваться во все фазы жизненного цикла системы ИТТ. Несмотря на то, что безопасность наиболее эффективна в случае интеграции в новую систему с самого начала, интеграция безопасности окажет положительное воздействие на уже работающие системы и бизнес-деятельность на любом этапе.
Жизненный цикл системы ИТТ может быть разделен на четыре основные фазы. Каждая из этих фаз связана с безопасностью ИТТ следующим образом:
- планирование - потребности безопасности ИТТ должны быть учтены при планировании и в процессе принятия решений;
- приобретение - требования безопасности ИТТ должны быть включены в процессы конструирования, разработки, закупки, модернизации систем ИТТ. Интеграция требований безопасности в указанную деятельность гарантирует, что рентабельные средства и меры, относящиеся к сфере безопасности, будут своевременно реализованы в данной системе;
- тестирование - тестирование системы ИТТ должно включать в себя тестирование компонентов, свойств и обслуживания безопасности ИТТ. Новые или измененные компоненты безопасности должны тестироваться отдельно с тем, чтобы подтвердить, что они функционируют должным образом, а далее, в операционном окружении, - для подтверждения того, что их интеграция в систему ИТТ не нарушит характеристик качества или свойств безопасности. В течение всех стадий жизненного цикла системы должно быть запланировано ее периодическое тестирование;
- эксплуатация - безопасность ИТТ должна быть интегрирована в операционную среду. Поскольку систему ИТТ используют для выполнения определенных функций, она должна поддерживаться в рабочем состоянии и, как правило, подвергаться серии модернизаций, включающих в себя закупку новых компонентов технических средств, а также модификации или дополнению программного обеспечения. К тому же она подвержена частым изменениям операционной среды. Эти изменения могут создать новые уязвимости системы, которые должны быть проанализированы и оценены и либо снижены, либо приняты. Столь же важны безопасная замена или переподчинение систем.
Обеспечение безопасности ИТТ - постоянный процесс с множеством обратных связей внутри и между фазами жизненного цикла системы ИТТ. В большинстве случаев существует обратная связь между и внутри всех основных составляющих процесса обеспечения безопасности ИТТ. Связь должна обеспечивать непрерывный поток информации об уязвимостях, угрозах и защитных мерах в системе безопасности ИТТ на протяжении всех фаз жизненного цикла системы ИТТ.
Каждое направление бизнеса организации может также определять уникальные требования безопасности ИТТ. Такие направления должны взаимно поддерживать друг друга: общий процесс безопасности ИТТ должен обеспечивать обмен информацией об аспектах безопасности в целях ее использования для процесса принятия решения руководством.

6 Функции управления безопасностью информационно-телекоммуникационными технологиями

6.1 Общие вопросы
Для успешного управления безопасностью ИТТ требуется применение видов деятельности, некоторые из которых осуществляют в соответствии со следующим циклом:
а) планирование:
1) определение организацией требований по безопасности ИТТ,
2) определение организацией целей, стратегий и политик безопасности ИТТ,
3) установление обязанностей и ответственности в рамках организации,
4) разработка плана по безопасности ИТТ,
5) оценка рисков,
6) решение об обработке риска и выборе защитных мер,
7) планирование непрерывности бизнеса;
б) реализация:
1) создание защитных мер,
2) одобрение ИТТ,
3) разработка и выполнение программы осведомленности персонала о безопасности,
4) аудит-функционирование защитных мер;
в) эксплуатация и поддержка:
1) контроль конфигурации и управление изменениями,
2) управление непрерывностью бизнеса,
3) анализ, аудит и мониторинг, а также проверка соответствия безопасности заявленным требованиям,
4) управление инцидентами безопасности информации.
6.2 Внешние условия
При управлении функциональной деятельностью в области безопасности необходимо учитывать внешнюю среду, в которой действует организация, поскольку она может оказывать значительное влияние на общий подход к организации информационной безопасности. В некоторых случаях обеспечение информационной безопасности является прерогативой государства, которое определяет обязанности и ответственность путем принятия и ввода в действие законов. В других случаях ответственность возлагается на собственника или менеджера. В связи с этим может существенно меняться подход к безопасности ИТТ-организации.
6.3 Управление рисками
Содержание
Национальный стандарт РФ ГОСТ Р ИСО/МЭК ТО 13335-5-2006 "Информационная технология. Методы и средства обеспечения безопасности. Часть 5 "Руководство по менеджменту безопасности сети" (утв. приказом Федерального агентства по техническому регулированию и ме
Национальный стандарт РФ ГОСТ Р ИСО/МЭК 12207-2010 "Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября
Национальный стандарт РФ ГОСТ Р ИСО/МЭК 15288-2005 "Информационная технология. Системная инженерия. Процессы жизненного цикла систем" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 г. N 476-ст)
Национальный стандарт РФ ГОСТ Р ИСО/МЭК 12207-2010 "Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября
Государственный стандарт РФ ГОСТ Р ИСО/МЭК ТО 9294-93 "Информационная технология. Руководство по управлению документированием программного обеспечения" (утв. постановлением Госстандарта РФ от 20 декабря 1993 г. N 260)