Стандартизация и сертификация
Решение задач
4 апр 2022
1 страниц

Выполнения задач

Внимание! Всего вариантов - 3 (Выбирать в соответствии со списком).
Контрольное задание
Тема: Законодательное регулирование стандартизации в РФ
Вариант 1
Выполнить:
На основе анализа текста ФЗ 184 2002 года «О техническом регулировании» ответить на следующие вопросы, обосновав их положениями закона.
Вопросы:
1. Подпадают ли стандарты в области информационной безопасности под действие ФЗ-184? Доказать.
2. Может ли один федеральный орган исполнительной власти совмещать полномочия по аккредитации и сертификации? Доказать
3. Кто (органы, организации) может определять обязательные требования в целях защиты сведений, составляющих государственную тайну или иной информации ограниченного доступа? Перечислить.
4. Возможно ли принятие технического регламента в области информацион¬ной безопасности? Доказать.
5. Существуют ли в ФЗ-184 цели стандартизации, которые могут быть отнесе¬ны к области информационной безопасности? Если существуют - перечис¬лить.
6. Каков перечень документов, регистрируемых федеральным органом ис-полнительной власти в области технического регулирования в федераль¬ном информационном фонде?
7. Что такое предварительный национальный стандарт?
8. Какие документы относятся к документам национальной системы стандар-тизации? Перечислить и сослаться на пункт ФЗ.
9. В какой срок осуществляется принятие решения об утверждении или от-клонении национального стандарта федеральным органом исполнитель¬ной власти в области технического регулирования?
10. Каким органом устанавливается порядок создания, ведения и правила пользования Федеральным информационным фондом технических регла-ментов и стандартов?
Вариант 2
Выполнить:
На основе анализа текста стандарта ГОСТ Р 1.0-2012 «Стандартизация в РФ. Основные положения» ответить на следующие вопросы, обосновав их положе-ниями стандарта.
Вопросы:
1. Какие виды отношений в области стандартизации устанавливает настоя¬щий стандарт? Перечислить.
2. Каково полное название национального органа Российской Федерации по стандартизации?
3. Перечислите действия (процедуры), которые предпринимаются в отноше¬нии национальных стандартов РФ.
4. Перечислите действия (процедуры), которые предпринимаются в отноше¬нии межнациональных стандартов.
5. Кто осуществляет издание, переиздание и распространение стандартов ор-ганизаций.
6. Может ли применение национального стандарта РФ стать для организации обязательным? Если да то, в каких случаях?
7. Каково полное название стандарта ГОСТ Р 1.11-2004?
8. Интересам каких международных организаций сотрудничества должны отвечать положения настоящего стандарта? Перечислить все, упоминае¬мые в стандарте.
9. Стандартизация в РФ предполагает содействие ее интеграции в .... (куда, во что?)
10. Каким образом должен реагировать национальный орган по стандар-тизации на запросы о проведении консультаций с национальными орга¬нами по стандартизации стран, являющихся членами Всемирной торговой организации?
Вариант 3
Выполнить:
На основе анализа текста стандарта ГОСТ Р 52069-2013 «Защита информации. Система стандартов. Основные положения» ответить на следующие вопросы, обосновав их положениями стандарта.
Вопросы:
1. Что такое гармонизированный стандарт?
2. Какие подсистемы стандартов выделяются в системе стандартов по защите информации? Перечислить.
3. Какие комплексы стандартов выделяются в каждой подсистеме стандар¬тов? Перечислить.
4. В каких случаях разрабатываются своды правил?
5. Применительно к чему разрабатываются своды правил?
6. Какие типы приложений к настоящему стандарту разработаны?
7. Какой орган принимает решение о целесообразности внесения изменений (пересмотре) стандартов по ЗИ?
8. Какой орган вырабатывает предложение по актуализации требований, из-ложенных в стандарте по ЗИ?

Практическое задание по теме: Мировая практика формирования и использования стандартов
Задание
1) Провести анализ процессов стандартизации (разработка, опубликование, применение, установление норм и правил) в высокоразвитых странах
Страна Показатели для сравнения выбрать самостоятельно
Показатель 1 Показатель 2 Показатель 3 Показатель N
Великобритания
Германия
Канада
Китай
США
Франция
Япония

Пример показателей для сравнения:
• Требования к обеспечению безопасности работ и услуг для окружающей среды, жизни и здоровья
• Требования к технической и информационной совместимости с другими странами (какими)
• Национальные требования к единицам (системе) измерений
2) К таблице дать научно-обоснованный комментарий.
3) Объем практического задания до 5-и страниц
4) Стиль оформления - научный (в соответствии с требованиями (Стандартами) к научным и исследовательским работам).
5) Ссылки на источники обязательны (по ГОСТу Р 7.0.5 — 2008 «Библиографическая ссылка»)

Практическое задание (Самостоятельная работа) по теме «Международная стандартизация» (по вариантам)
Изучить «Оранжевую книгу» (Trusted Computer System Evaluation Criteria (Стандарт Министерства обороны США)) и дать ответы на следующие вопросы:
1. Какие разделы (пункты, позиции) из «Оранжевой книги» вошли в современные стандарты по информационной безопасности?
2. Какую политику (мандатную или дискреционную) вы как специалист по информационной безопасности предложите для защиты информации в организации (см. вариант)?
3. Как специалист по информационной безопасности, используя рекомендации «Оранжевой книги», определите класс безопасности (4 раздел: D, C, B и A (C1, C2, B1, B2, B3, A1)) для организации (см. вариант)?
4. Как специалист по информационной безопасности, используя рекомендации
«Оранжевой книги», определите индивидуальную ответственность и гарантии?
5. Как специалист по информационной безопасности, используя рекомендации
«Оранжевой книги», определите периметры безопасности?
6. Используя рекомендации «Оранжевой книги», установите «метку безопасности»?
Объем отчета не определен
Вариант Наименование организации Исходные данные
1. Техно сила • ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• Все пользователи ИС проходят авторизацию и идентификацию.
• В ИС используется бесплатная СУБД.
• В ИС требуется повторное использование информационных объектов.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Имеются компьютеры и техника странах СНГ.
2. Стройкомплекс • Сайт использует защищенное соединение для обмена информацией.
• ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.
3. ФинГруппа • ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• В ИС имеется конфиденциальная информация.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Персональные данные, позволяющие идентифицировать субъекта (фамилия, имя, отчество субъекта, номер и серия паспорта, кем выдан).

• В ИС обрабатываются от 1 000 до 100 000 субъектов ПДн.
• Имеются компьютеры и техника странах СНГ.
4. Продажа Леса • ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Сайт использует защищенное соединение для обмена информацией.
• Многопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.
• Персональные данные, позволяющие идентифицировать сотрудника и получить о нем сведения о доходах и расходах.
5. Дорожные работы • В ИС требуется повторное использование
информационных объектов.
• ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• Все пользователи ИС проходят авторизацию и идентификацию.
• В ИС имеется конфиденциальная информация.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.
6. Водосток • В ИС используется бесплатная СУБД.
• Персональные данные национальной принадлежности.
• В ИС обрабатываются более 100 000 субъектов ПДн.
• ИС комплекс АРМ, объединенных в локальную ИС без использования технологии удаленного доступа.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Имеются компьютеры и техника странах СНГ.
7. Хлеб пекарь • Персональные данные, позволяющие идентифицировать сотрудника (фамилия, имя, отчество, номер и серия основного регистрационного документа, регистрация, место фактического жительства, возраст, семейное положение).
• В ИС обрабатываются от 1 000 до 100 000 субъектов ПДн.
• Автоматизированные рабочие места (АРМ), не подключенные к иным ИС.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.
8. Таксопарк • Персональные данные, позволяющие идентифицировать субъекта (фамилия, имя, отчество субъекта, номер и серия паспорта, кем выдан).
• Сайт использует защищенное соединение для обмена информацией.
• В ИС имеется конфиденциальная информация.
• ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.

• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.
9. Уличные Фонари • Персональные данные, позволяющие идентифицировать сотрудника (фамилия, имя, отчество субъекта, номер и серия диплома об образовании, регистрация в паспорте, ИНН, СНИЛС).
• Все пользователи ИС проходят авторизацию и идентификацию.
• В ИС обрабатываются до 1 000 субъектов ПДн.
• ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.
10. Проверка газа • Персональные данные, позволяющие идентифицировать сотрудника и получить о нем сведения о месте работы.
• Сайт использует защищенное соединение для обмена информацией.
• В ИС обрабатываются более 100 000 субъектов ПДн.
• ИС комплекс АРМ, объединенных в локальную ИС без использования технологии удаленного доступа.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Однопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.
11. Водосчетчики • В ИС требуется повторное использование
информационных объектов.
• В ИС требуется повторное использование
информационных объектов.
• В ИС используется бесплатная СУБД.
• Персональные данные, позволяющие идентифицировать сотрудника (фамилия, имя, отчество, номер и серия диплома об образовании, регистрация в паспорте, знание языков).
• В ИС имеется конфиденциальная информация.
• В ИС обрабатываются от 1 000 до 100 000 субъектов ПДн.
• ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.
12. Энерго эффект • В ИС требуется повторное использование
информационных объектов.
• ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.

13. Стиль жизни • Персональные данные, касающиеся расовой принадлежности.
• Все пользователи ИС проходят авторизацию и идентификацию.
• В ИС обрабатываются ПДн до 1 000 субъектов ПДн.
• ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Имеются компьютеры и техника странах СНГ.
14. Грузоперевозки • ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• Сайт использует защищенное соединение для обмена информацией.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Имеются компьютеры и техника странах СНГ.
15. Фотоуслуги • В ИС используется бесплатная СУБД.
• Персональные данные, позволяющие идентифицировать субъекта (фамилия, имя, отчество субъекта, номер и серия паспорта, кем выдан).
• В ИС имеется конфиденциальная информация.
• В ИС обрабатываются более 100 000 субъектов ПДн.
• ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• ИС не подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Однопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.
16. Красный куб • В ИС требуется повторное использование
информационных объектов.
• Персональные данные, позволяющие идентифицировать сотрудника (фамилия, имя, отчество, номер и серия паспорта, регистрация, доход).
• ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Имеются компьютеры и техника странах СНГ.
17. Перекресток • В ИС используется бесплатная СУБД.
• Персональные данные, касающиеся состояния здоровья.
• Все пользователи ИС проходят авторизацию и идентификацию.
• В ИС обрабатываются до 1 000 000 субъектов ПДн.
• В ИС имеется конфиденциальная информация.
• ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.

• Многопользовательский режим обработки в ИС.
• Имеются компьютеры и техника странах СНГ.
18. Видео и Аудио • ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• В ИС требуется повторное использование
информационных объектов.
• Все пользователи ИС проходят авторизацию и
идентификацию.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.
19. Салон Красоты • Персональные данные, позволяющие идентифицировать сотрудника и получить о нем сведения о месте регистрации.
• Сайт использует защищенное соединение для обмена информацией.
• В ИС обрабатываются до 1 000 субъектов ПДн.
• ИС комплекс АРМ, объединенных в локальную ИС без использования технологии удаленного доступа.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
20. Авто ремонт • ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.
21. Доставка грузов • ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• В ИС имеется конфиденциальная информация.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Имеются компьютеры и техника странах СНГ.
22. Ремонт
Электросистем • Персональные данные, касающиеся религиозных
убеждений.
• Все пользователи ИС проходят авторизацию и идентификацию.
• В ИС обрабатываются до 10 000 субъектов ПДн.
• ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.
23. Бионика • В ИС используется бесплатная СУБД.
• ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.

• Многопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.
24. Уроки Английского • ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• Сайт использует защищенное соединение для обмена информацией.
• В ИС требуется повторное использование
информационных объектов.
• В ИС имеется конфиденциальная информация.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Имеются компьютеры и техника других странах.
25. Детский сад • Персональные данные, позволяющие идентифицировать сотрудника и получить о нем сведения о месте проживания.
• Все пользователи ИС проходят авторизацию и идентификацию.
• В ИС обрабатываются до 1 000 субъектов ПДн.
• ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• ИС не подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Однопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.
26. Авто продажи • ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• Все пользователи ИС проходят авторизацию и идентификацию.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.
27. Ремонт техники • ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.
28. Строй сервис • В ИС используется бесплатная СУБД.
• Персональные данные, позволяющие идентифицировать сотрудника (фамилия, имя, отчество субъекта, номер и серия диплома об образовании, регистрация).
• В ИС имеется конфиденциальная информация.
• В ИС обрабатываются до 1 000 субъектов ПДн.
• ИС комплекс АРМ, объединенных в локальную ИС без использования технологии удаленного доступа.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Имеются компьютеры и техника странах СНГ.

29. ЖКХ услуги • ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• Все пользователи ИС проходят авторизацию и идентификацию.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.
• Многопользовательский режим обработки в ИС.
30. Автосалон • ИС комплекс АРМ или локальных ИС, объединенных в единую ИС с использованием технологии удаленного доступа.
• Сайт использует защищенное соединение для обмена информацией.
• В ИС используется бесплатная СУБД.
• В ИС имеется конфиденциальная информация.
• ИС подключена к сетям общего пользования и (или) сетям международного информационного обмена.
• Многопользовательский режим обработки в ИС.
• Все компьютеры и техника находятся в пределах РФ.

Практическая работа. Разработка плана для получения сертификата ГОСТ Р
ИСО/МЭК 27001
Задание
Обучаемые в должности руководителя информационной безопасности организации получили задачу (от руководства компании) о сертификации в соответствии с требованиями ГОСТ Р ИСО/МЭК 27001.
1) Требуется разработать план мероприятий по организации процесса сертификации в соответствии с требованиями ГОСТ Р ИСО/МЭК 27001.
Вариант плана мероприятий по организации процесса сертификации в соответствии с требованиями ГОСТ Р
ИСО/МЭК 27001
№ п/п Мероприятия Необходимое обеспечение Ответственный До какого срока Отметка о выполнении
Этап 1. Наименование этапа
1. Организационное совещание Переговорная комната Руководитель ИБ 1.03.2022
В т.ч и
финансовое В соответствии с командой
участников процесса сертификации Окончание мероприятий через 3-и
месяца после постановки задачи
Мероприятия могу соответствовать Чек-листу документов (Таблица 3 и 4)

2) Комментарии к плану
2.1) Диаграмма Ганта (по плану иероприятий).
2.2) Выбор процессов (область действия (применения)), которые будут сертифицированы.
2.3) Формирование команды (с учетом привлечения специалистов).
2.4) Проведение внутреннего аудита с целью определения текущего состояния СМИБ организации.
2.5) Проведение идентификации ресурсов, которые входят в выбранную область деятельности.
2.6) Определение ценности ресурсов.
2.7) Расчет рисков.
2.8) Подготовка пакета документов: политики, стандарты, положения, процедуры и т. п.
2.9) Внедрение политики, стандарты, положения, процедуры и т. п.
2.10) Проведение внутреннего (внешнего) аудита и оценки СУИБ с учетом проведенной работы по внедрению организационных и технических мер.
2.11) Подача заявки на проведение сертификационного аудита.
3) Организация занимается производством (не реализацией, а производством): 
С использование Интернет самостоятельно найти организацию со схожим производством и добавить в отчет данные об организации (имеющие отношение к СМИБ)
Вариант 1 Производство металлических дверей Вариант 11 Производство электрического кабеля Вариант 21 Производство межкомнатных дверей
Вариант 2 Производство пластиковых окон Вариант 12 Производство мебели Вариант 22 Производство платяных шкафов и др. мебели
Вариант 3 Производство бытовой мебели Вариант 13 Производство сельскохозяйственной техники Вариант 23 Производство газобетонных блоков
Вариант 4 Производство тротуарной плитки Вариант 14 Производство деревянных окон Вариант 24 Производство стекла
Вариант 5 Производство часов Вариант 15 Производство (разработка) компьютерных приложений Вариант 25 Производство упаковочной продукции
Вариант 6 Производство бордюрных блоков Вариант 16 Производство изоляционных материалов Вариант 26 Производство асфальта
Вариант 7 Производство изделий из золота Вариант 17 Производство клинкерной плитки Вариант 27 Производство дверных
замков
Вариант 8 Производство пластиковых труб Вариант 18 Производство программного обеспечения Вариант 28 Производство ювелирных изделий
Вариант 9 Производство железобетонных изделии Вариант 19 Производство кирпича Вариант 29 Производство деревообрабатывающих станков
Вариант 10 Производство изделий сантехники Вариант 20 Производство цемента Вариант 30 Производство керамической плитки

Теоретическая часть
Существует несколько концепций разработки систем защиты информации в Российской Федерации. Их применение во многом определяется требованиями Государственных стандартов и нормативных документов государственных органов ФСТЭК и ФСБ, регулирующих деятельность по управлению защитой информации в общей системе управления и информационных системах различного назначения.
Принципиально можно выделить два подхода к созданию системы защиты информации.
Первый из них относится к построению систем защиты информации в государственных информационных системах, ИС персональных данных, объектах с критической информационной инфраструктурой, банковской тайны и относится к гарантированной защите информации. Методика создания системы защиты информации основана на анализе угроз информационной безопасности для конкретного объекта защиты, определения класса или уровня защиты информации в
АСУ (ИС) и последующим внедрением регламентированных требований по защите информации для определенного класса (уровня) защиты информации.
Второй подход к созданию систем защиты информации основан на оценке показателей риска информационной безопасности для каждой выявленной угрозы по отношению к конкретному информационному активу через имеющиеся уязвимости информационной системы. Такой механизм защиты представляет особый интерес для разработчиков систем защиты информации в бизнесе по нескольким причинам:
1. Системы информационной безопасности, разработанные и сертифицированные по международным стандартам, позволяют создавать систему доверительных отношений в бизнесе при трансграничной передаче данных. Это особенно важно в бизнесе, ориентированном на международные связи.
2. Управление системой защиты информации происходит непрерывно в цикле Дёминга-Шухарта (Plan-ACT-Check-Do), что позволяет наращивать систему защиты информации и адаптировать её под новые условия. Первый подход практически не имеет таких возможностей.

3. В систему защиты информации обязательно включается административно¬управленческий персонал на всех этапах её создания и управления. Это позволяет повысить качество СМИБ за счет введения в систему управления администрации организации.
4. Риск-ориентированный подход является универсальным и позволяет создавать системы защиты информации с точки зрения возможности организации, понимания администрацией рисков и нести полную ответственность за свои решения.
5. Только такой подход к защите информации может использоваться в цифровой экономике, так как позволяет создавать экономически обоснованные системы защиты информации с использованием методов оценки рисков.
Зачем нужен сертификат ISO/IEC 2700
Стандарт ISO 27001 определяет процессы, которые предоставляют бизнесу следующие возможности:
1) установление, применение, пересмотр, контроль и поддержание эффективной системы менеджмента информационной безопасности;
2) защита предприятия от неправильного обращения с файлами и документами и/или от кражи сотрудниками коммерческих тайн предприятия;
3) установление требований к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы информационной безопасности в контексте существующих бизнес-рисков организации.
Наличие сертифицированной системы менеджмента информационной безопасности и сертификата ISO/IEC 27001:2013 позволяет организации:
1) выявить слабые места системы менеджмента информационной безопасности и существующие угрозы информационной безопасности действующих бизнес- процессов;
2) определить возможные риски и принимать необходимые управленческие решения;
3) обеспечить эффективную защиту информации в критических ситуациях;
4) оптимизировать затраты, связанные с поддержкой системы безопасности;
5) повысить авторитет организации на отечественном рынке и открыть выход на зарубежные рынки;
6) улучшить отношения с органами надзора, упростить процедуру получения необходимых разрешительных документов.
Можно сказать, что сертификация по стандарту ISO/IEC 27001 служит прямым подтверждением высокого качества предоставляемых услуг компании и позволяет обеспечить:
- конфиденциальность информации клиентов - гарантирует, что доступ к информации получают только те, кто уполномочен иметь доступ;
- целостность информации - обеспечивает точность и полноту информации и методов обработки;
- доступность информации - гарантирует авторизованным пользователям доступ к информации и сопутствующим ресурсам, когда это необходимо.
В таблице, представленной ниже, отражены все выгоды от сертификации как для компании, заинтересованной в таком сертификате, так и для клиентов этой компании.
Выгоды компании Выгоды заинтересованных сторон
Способствует успешной реализации продукции (услуг):
- повышает качество и конкурентоспособность продукции;
- способствует росту удовлетворенности клиентов/потребителей;
- расширяет рыночные возможности;
- улучшает имидж фирмы в глазах общественности;
- повышает доверие со стороны партнеров и клиентов. Потребители
получают услуги, которые:
- соответствуют качественным требованиям;
- надежны;
- оказываются своевременно.
Сотрудники организации
получают выгоды от:
- улучшения рабочих условий;
- большего удовлетворения работой;
- улучшения морального климата.
Повышает культуру менеджмента и уровень управляемости:
- улучшает оптимизацию управленческих процессов;
- большинство информационных активов становятся наиболее понятными для менеджмента компании;
- выявляются основные угрозы безопасности для существующих бизнес-процессов;
- рассчитываются риски и принимаются решения на основе бизнес-целей компании;
- обеспечивается эффективное управление системой в критических ситуациях;
- проводится процесс выполнения политики безопасности;
- четко определяется личная ответственность; Собственники и инвесторы получают выгоды от:
- роста конкурентоспособности компании на российских и международных рынках;
- повышения инвестиционной привлекательности компании;
- увеличения прибыли на вложенный капитал;
- увеличения доли рынка и улучшения результатов деятельности организации;
- повышения капитализации компании;
- увеличения шансов на победу в тендерах и конкурсах.

- управление компанией выводится на уровень мировой практики менеджмента.
Экономит затраты на разработку, производство и применение продукции (услуг):
- снижение и оптимизация стоимости поддержки системы безопасности;
- профилактика несоответствий и сбоев в работе;
- уменьшение количества ошибок. Партнеры и контрагенты получают выгоды за счет:
- повышения защищенности ключевых бизнес-процессов;
- повышения доверия к организации со стороны контрагентов.
Снижает риски, соответственно, снижает издержки:
- Своевременное выявление и управление рисками.
- Снижение рисков от внешних и внутренних угроз.
Подчеркивается прозрачность и чистота бизнеса перед законом благодаря соответствию стандарту Общество получает выгоду от:
- выполнения законодательных и нормативных требований.
Семейство стандартов регламентирующих СМИБ
- ISO/IEC 27000, Системы менеджмента информационной безопасности - Обзор и словарь
- ISO/IEC 27001, Системы менеджмента информационной безопасности - Требования
- ISO/IEC 27002, Свод правил по управлению защитой информации
- ISO/IEC 27003, Руководство по внедрению системы менеджмента информационной безопасности
- ISO/IEC 27004, Менеджмент информационной безопасности - Измерения
- ISO/IEC 27005, Менеджмент риска информационной безопасности
- ISO/IEC 27006, Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности
- ISO/IEC 27007, Руководящие указания по аудиту систем менеджмента систем информационной безопасности
- ISO/IEC TR 27008, Руководящие указания для аудиторов по оценке органов управления - ISO/IEC 27010, Руководящие указания по обеспечению защиты информационного обмена между подразделениями и организациями
- ISO/IEC 27011, Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002
- ISO/IEC 27013, Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1
- ISO/IEC 27014, Руководство по информационной безопасности
- ISO/IEC TR 27015, Руководящие указания по менеджменту защиты информации для финансовых операций
- ISO/IEC TR 27016, Менеджмент информационной безопасности - Организационная экономика

Stasia Si Stasia Si
5000 р