Управление информационной безопасностью. Стандарты СУИБ (СИ)
– о чем сообщать;
– когда сообщать;
– кому сообщать;
– кто должен участвовать в коммуникациях;
– процессы осуществления коммуникаций.
Документированная информация
СУИБ организации должна включать документированную информацию:
– требуемую настоящим стандартом;
– определенную организацией в качестве необходимой для обеспечения результативности СУИБ.
Степень (детализация) документированной информации для СУИБ одной организации может отличаться от другой в зависимости от:
– размера организации и ее вида деятельности, процессов, продуктов и услуг;
– сложности процессов и их взаимодействия;
– компетенции персонала.
При создании и обновлении документированной информации организация должна обеспечить соответствующее:
– идентификацию и описание (например: название, дата, автор или ссылка);
– оформление (например: язык, версия ПО, рисунки) и тип носителя (например: электронный, бумажный);
– рассмотрение и утверждение на предмет пригодности для применения и адекватности.
Документированная информация СУИБ должна управляться для обеспечения:
– доступности и пригодности для использования;
– адекватной защиты (например: от потери конфиденциальности, неправильного использования или потери целостности).
Для управления документированной информацией организация должна рассмотреть следующие мероприятия (где применимо):
– распространение информации, доступ, восстановление и использование;
– хранение и сохранность, в том числе сохранение удобочитаемости;
– контроль изменений (например, управление версиями);
– архивирование и уничтожение.
Документированная информация внешнего происхождения, определенная организацией в качестве необходимой для планирования и функционирования СУИБ, должна соответствующим образом определяться и управляться.
Доступ предполагает принятия решения о доступе только на просмотр документированной информации или предоставлении полномочий для просмотра и внесения изменений в документированной информации и т. д.
8. Эксплуатация (2-й этап «РDСА»)
Этап эксплуатации СУИБ обеспечивают следующие мероприятия:
– оперативное планирование и контроль;
– оценка рисков ИБ;
– обработка рисков ИБ.
Оперативное планирование и контроль
Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований ИБ и реализации действий по обработке рисков и возможностей. Организация также должна выполнять планы по достижению целей ИБ.
Организация должна сохранять документированную информацию в объеме, необходимом для получения уверенности в том, что процессы осуществляются так, как запланировано.
Организация должна управлять планируемыми изменениями и рассматривать последствия случайных изменений, принимать меры по смягчению неблагоприятных последствий при необходимости.
Организация должна обеспечить, что переданные на аутсорсинг процессы определены и управляются.
Оценка рисков ИБ
Организация должна выполнять оценку рисков ИБ через запланированные интервалы времени, либо в случае предполагающихся или уже происходящих существенных изменений, с учетом установленных критериев.
Организация должна сохранять документированную информацию о результатах оценки рисков ИБ.
Обработка рисков ИБ
Организация должна реализовать план обработки рисков ИБ. Организация должна сохранять документированную информацию о результатах обработки рисков ИБ.
9. Оценка результативности (3-й этап «РDСА»)
Этап оценки результативности СУИБ обеспечивают следующие мероприятия:
– мониторинг, измерение, анализ и оценка;
– внутренний аудит;
– анализ со стороны руководства.
Мониторинг, измерение, анализ и оценка
Организация должна оценивать состояние ИБ и результативность СУИБ.
Организация должна определить:
– что необходимо отслеживать и измерять, в том числе процессы ИБ и элементы управления;
– методы мониторинга, измерения, анализа и оценки, в зависимости от обстоятельств, в целях обеспечения достоверных результатов;
– когда должны проводиться действия по мониторингу и измерениям;
– кто должен осуществлять мониторинг и измерения;
– когда результаты мониторинга и измерений должны быть проанализированы и оценены;
– кто должен анализировать и оценивать эти результаты.
Организация должна сохранять соответствующую документированную информацию в качестве подтверждения результатов мониторинга и измерений.
Внутренний аудит
Организация должна проводить внутренние аудиты через запланированные промежутки времени для получения информации о состоянии СУИБ:
– на предмет соответствия собственным требованиям организации для своей СУИБ и требованиям настоящего стандарта;
– с целью оценки результативности внедрения и поддержки.
Перед проведением аудита организация должна определить программу, критерии и сферу применения для каждого аудита, а также аудиторов.
Программа аудита должна включать методы, распределение ответственности, требования к планированию и отчетности и учитывать важность процессов и результаты предыдущих аудитов.
Организация должна обеспечить:
– объективность и беспристрастность процесса аудита;
– направление результатов аудитов руководству соответствующего уровня;
– хранение документированной информации как свидетельства о программе аудита и результатах аудита.
Анализ со стороны руководства
Высшее руководство должно анализировать СУИБ организации через запланированные интервалы времени для обеспечения ее постоянной пригодности, адекватности и результативности.
Анализ со стороны руководства должен включать следующее:
– статус действий по результатам предыдущих анализов со стороны руководства;
– изменения внешних и внутренних аспектов, которые имеют отношение к СУИБ;
– обратную связь о состоянии ИБ, включая:
• несоответствия и корректирующие действия;
• результаты мониторинга и измерений;
• результаты аудита;
• результат достижения целей ИБ;
– обратную связь от заинтересованных сторон;
– результаты оценки рисков и статус выполнения плана по обработке рисков;
– возможности для постоянного улучшения.
Выводы анализа со стороны руководства должны включать решения, связанные с реализацией возможностей постоянного улучшения, и любые необходимые изменения в СУИБ.
Организация должна сохранять документированную информацию в качестве свидетельства о результатах анализа со стороны руководства.
10. Улучшение (4-й этап «РDСА»)
Этап улучшения СУИБ обеспечивают следующие мероприятия:
– корректирующие действия;
– постоянное улучшение.
Корректирующие действия
При появлении несоответствия организация должна:
– реагировать на несоответствие и в зависимости от обстоятельств принять меры по его управлению и исправлению или проработать последствие;
– оценить необходимость принятия действий для устранения причин несоответствия с целью предотвращения его повторения или появления в другом месте, для этого:
• изучить несоответствие;
• определить причину несоответствия;
• определить, существуют ли подобные несоответствия или потенциальные возможности их возникновения;
– реализовать любые необходимые корректирующие действия;
– проанализировать результативность выполненных корректирующих действий;
– при необходимости внести изменения в СУИБ.
Корректирующие действия должны быть адекватными последствиям выявленных несоответствий. Организация должна сохранять документированную информацию как свидетельства о: