Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Организация должна планировать:
– процессы оценки и обработки рисков;
– действия по осуществлению и интеграции работ в процессах СУИБ и оценке их результативности.
Оценка рисков ИБ
Организация должна определить и внедрить процесс оценки рисков ИБ, состоящий из разработки критериев, определения, анализа рисков и сравнения его результатов с критериями для рисков ИБ.
На основании процесса
– установить и поддерживать критерии для рисков ИБ, которые состоят из критериев для проведения оценки и принятия рисков ИБ;
– определить риски ИБ:
• применить процесс оценки рисков ИБ для выявления рисков, связанных с потерей конфиденциальности, целостности и доступности информации в рамках СУИБ (§);
• определить владельцев рисков;
– проанализировать риски ИБ:
• определить реалистичную вероятность возникновения рисков §;
• определить потенциальные последствия, которые могут возникнуть в случае возникновения рисков §;
• определить уровни риска;
– оценить риски ИБ:
• сравнить результаты анализа рисков с установленными критериями для рисков;
• установить приоритеты по обработке рисков для проанализированных рисков;
– гарантировать, что повторная оценка рисков ИБ позволит получить логичные, обоснованные и сопоставимые результаты.
Организация должна сохранять документированную информацию о процессе оценки рисков ИБ.
Обработка рисков ИБ
Организация должна определить и внедрить процесс обработки рисков ИБ, состоящий из выбора варианта обработки, его реализации и принятия остаточных рисков ИБ.
На основании процесса обработки рисков ИБ организации следует:
– выбрать подходящий вариант обработки рисков ИБ, принимая во внимание результаты оценки рисков;
– определить все элементы управления, которые необходимы для реализации выбранного варианта обработки рисков ИБ;
– сравнить определенные элементы управления с теми, которые приведены в Приложении А и убедиться в том, что не были упущены необходимые элементы;
– разработать Положение о Применимости (англ. Statement of Applicability, SoA), которое содержит необходимые элементы управления и обоснования их включения (независимо от того, реализованы они или нет), а также обоснования исключений элементов управления из Приложения А;
– сформулировать план по обработке рисков ИБ;
– согласовать с владельцами рисков план по обработке рисков ИБ и получить (от владельцев рисков) согласие на принятие остаточных рисков ИБ.
Организация должна сохранять документированную информацию о процессе обработки рисков ИБ.
7. Поддержка
Поддержка
– ресурсы;
– компетенции;
– осведомленность;
– коммуникации;
– документированная информация.
Ресурсы
Организация должна определить и предоставить ресурсы, необходимые для разработки, внедрения, сопровождения и постоянного улучшения СУИБ.
Компетенции
Организация должна:
– определять необходимую компетентность персонала, который самостоятельно выполняет работу, что влияет на результативность ИБ;
– обеспечить то, что этот персонал обладает необходимыми компетенциями на основе соответствующего обучения, тренингов или опыта;
– при необходимости принять меры для получения необходимых компетенций и оценить эффективность принятых мер;
– сохранять соответствующую документированную информацию в качестве доказательств наличия компетенций.
Соответствующие меры могут включать, например, проведение тренинга, наставничество или переаттестацию действующих сотрудников; или наем / привлечение по контракту компетентных лиц.
Осведомленность
Персонал, выполняющий работы в рамках организации, должен быть осведомлен:
– о политике ИБ;
– о вкладе в повышение результативности СУИБ, включая выгоды от улучшения состояния ИБ;
– о последствиях в результате не выполнения требований СУИБ.
Коммуникации
Организация должна определить необходимые внутренние и внешние коммуникации, относящиеся к СУИБ, включая:
– о чем сообщать;
– когда сообщать;
– кому сообщать;
– кто должен участвовать в коммуникациях;
– процессы осуществления коммуникаций.
Документированная информация
СУИБ организации должна включать документированную информацию:
– требуемую настоящим стандартом;
– определенную организацией в качестве необходимой для обеспечения результативности СУИБ.
Степень (детализация) документированной информации для СУИБ одной организации может отличаться от другой в зависимости от:
– размера организации и ее вида деятельности, процессов, продуктов и услуг;
– сложности процессов и их взаимодействия;
– компетенции персонала.
При создании и обновлении документированной информации организация должна обеспечить соответствующее: