Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
1. Сфера применения
Стандарт устанавливает в контексте организации требования к созданию, внедрению, сопровождению и постоянному улучшению СУИБ. Стандарт также включает требования по оценке и обработке рисков ИБ в соответствии с потребностями организации. Требования, изложенные в стандарте, носят общий характер и предназначены для применения всеми организациями, независимо от типа, размера или характера. Исключение любого из требований, указанных в следующих разделах,
Разделы «2.Нормативные ссылки» и «3.Термины и определения» пропускаем.
4. Контекст организации
Организация должна определить внешние и внутренние аспекты, которые имеют отношение к ее цели и влияют на ее способность к достижению ожидаемых результатов от СУИБ.
Организация должна определить:
– заинтересованные стороны, имеющие отношение к СУИБ;
– требования этих заинтересованных сторон, имеющих отношение к ИБ.
Организация для определения сферы применения СУИБ должна определить границы и возможность применения СУИБ.
При определении сферы применения СУИБ организация должна рассмотреть вопросы, упомянутые выше:
– внешние и внутренние аспекты;
– требования заинтересованных сторон;
– взаимосвязи и зависимости между деятельностью, выполняемой организацией, и деятельностью, выполняемой другими организациями.
Сфера применения должна быть доступна в виде документированной информации.
5. Лидерство
Лидерство и обязательства
Высшее руководство должно продемонстрировать лидерство и обязательства в отношении СУИБ путем:
– обеспечения политики ИБ и целей ИБ, которые разработаны и совместимы со стратегическими задачами организации;
– обеспечения интеграции требований СУИБ в процессы организации;
– обеспечения того, чтобы ресурсы, необходимые для системы менеджмента информационной безопасности, были доступны;
– информирования о важности достижения результативности УИБ и о соответствии требованиям СУИБ;
– обеспечения того, что СУИБ позволяет достигать желаемых результатов;
– поддержки и управления персоналом, способствующим эффективности СУИБ;
– содействия постоянному улучшению;
– поддержки других соответствующих управленческих ролей для демонстрации их лидерства, насколько это применимо к сфере их ответственности.
Политика
Высшее руководство
– соответствовать целям ИБ;
– содержать цели ИБ или обеспечивать основу для достижения целей ИБ;
– включать обязательства по соблюдению требований ИБ;
– включать обязательства по постоянному улучшению СУИБ.
Политика ИБ должна быть:
– доведена до персонала организации;
– доступна как документированная информация;
– доступна всем заинтересованным сторонам.
Организационные роли, обязанности и полномочия
Высшее руководство должно быть уверенным, что обязанности и полномочия ролей, относящихся к ИБ, обозначены и сообщены.
Высшее руководство должно обозначить обязанности и полномочия для:
– обеспечения соответствия СУИБ требованиям этого стандарта;
– оповещения высшего руководства о результативности СУИБ.
6. Планирование (1-й этап «РDСА»)
Этап планирования СУИБ обеспечивают следующие мероприятия:
– определение целей ИБ и мер по их достижению;
– действия по обработке рисков и возможностей.
Определение целей ИБ и мер по их достижению
Организация должна установить цели ИБ для соответствующих функций и на соответствующих уровнях.
Цели ИБ должны:
– соответствовать политике ИБ;
– быть измеримыми (если это возможно);
– принимать во внимание действующие требования ИБ, результаты оценки и обработки рисков;
– быть известны соответствующему персоналу организации;
– обновляться по мере необходимости.
Организация должна сохранять документированную информацию о целях ИБ.
При планировании мер по достижению целей ИБ организация должна определить:
– что будет сделано;
– какие ресурсы потребуются;
– кто будет нести ответственность;
– когда меры будут реализованы;
– как будут оцениваться результаты.
Действия по обработке рисков и возможностей
При планировании СУИБ организация должна учитывать аспекты и требования, указанные в контексте организации, и определить риски и возможности, которые должны быть направлены на:
– обеспечение того, чтобы СУИБ позволило достигать желаемых результатов;
– предотвращение или уменьшение нежелательных эффектов;
– обеспечение непрерывного совершенствования.