Управление информационной безопасностью. Стандарты СУИБ

– о последствиях в результате не выполнения требований СУИБ.

Коммуникации

Организация должна определить необходимые внутренние и внешние коммуникации, относящиеся к СУИБ, включая:

– о чем сообщать;

– когда сообщать;

– кому сообщать;

– кто должен участвовать в коммуникациях;

– процессы осуществления коммуникаций.

Документированная информация

СУИБ организации должна включать документированную информацию:

– требуемую настоящим стандартом;

– определенную организацией в качестве необходимой для обеспечения результативности СУИБ.

Степень (детализация) документированной информации для СУИБодной организации может отличаться от другой в зависимости от:

– размера организации и ее вида деятельности, процессов, продуктов и услуг;

– сложности процессов и их взаимодействия;

– компетенции персонала.

При создании и обновлении документированной информации организация должна обеспечить соответствующее:

– идентификацию и описание (например: название, дата, автор или ссылка);

– оформление (например: язык, версия ПО, рисунки) и тип носителя (например: электронный, бумажный);

– рассмотрение и утверждение на предмет пригодности для применения и адекватности.

Документированная информация СУИБ должна управляться для обеспечения:

– доступности и пригодности для использования;

– адекватной защиты (например: от потери конфиденциальности, неправильного использования или потери целостности).

Для управления документированной информацией организация должна рассмотреть следующие мероприятия (где применимо):

– распространение информации, доступ, восстановление и использование;

– хранение и сохранность, в том числе сохранение удобочитаемости;

– контроль изменений (например, управление версиями);

– архивирование и уничтожение.

Документированная информация внешнего происхождения, определенная организацией в качестве необходимой для планирования и функционирования СУИБ, должна соответствующим образом определяться и управляться.

Доступ предполагает принятия решения о доступе только на просмотр документированной информации или предоставлении полномочий для просмотра и внесения изменений в документированной информации и т. д.

8. Эксплуатация (2-й этап «РDСА»)

Этап эксплуатации СУИБ обеспечивают следующие мероприятия:

– оперативное планирование и контроль;

– оценка рисков ИБ;

– обработка рисков ИБ.

Оперативное планирование и контроль

Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований ИБ и реализации действий по обработке рисков и возможностей. Организация также должна выполнять планы по достижению целей ИБ.

Организация должна сохранять документированную информацию в объеме, необходимом для получения уверенности в том, что процессы осуществляются так, как запланировано.

Организация должна управлять планируемыми изменениями и рассматривать последствия случайных изменений, принимать меры по смягчению неблагоприятных последствий при необходимости.

Организация должна обеспечить, что переданные на аутсорсинг процессы определены и управляются.

Оценка рисков ИБ

Организация должна выполнять оценку рисков ИБ через запланированные интервалы времени, либо в случае предполагающихся или уже происходящих существенных изменений, с учетом установленных критериев.

Организация должна сохранять документированную информацию о результатах оценки рисков ИБ.

Обработка рисков ИБ

Организация должна реализовать план обработки рисков ИБ. Организация должна сохранять документированную информацию о результатах обработки рисков ИБ.

9. Оценка результативности (3-й этап «РDСА»)

Этап оценки результативности СУИБ обеспечивают следующие мероприятия:

– мониторинг, измерение, анализ и оценка;

– внутренний аудит;

– анализ со стороны руководства.