Управление информационной безопасностью. Стандарты СУИБ

Мониторинг, измерение, анализ и оценка

Организация должна оценивать состояние ИБ и результативность СУИБ.

Организация должна определить:

– что необходимо отслеживать и измерять, в том числе процессы ИБ и элементы управления;

– методы мониторинга, измерения, анализа и оценки, в зависимости от обстоятельств, в целях обеспечения достоверных результатов;

– когда должны проводиться действия по мониторингу и измерениям;

– кто должен осуществлять мониторинг и измерения;

– когда результаты мониторинга и измерений должны быть проанализированы и оценены;

– кто должен анализировать и оценивать эти результаты.

Организация должна сохранять соответствующую документированную информацию в качестве подтверждения результатов мониторинга и измерений.

Внутренний аудит

Организация должна проводить внутренние аудиты через запланированные промежутки времени для получения информации о состоянии СУИБ:

– на предмет соответствия собственным требованиям организации для своей СУИБ и требованиям настоящего стандарта;

– с целью оценки результативности внедрения и поддержки.

Перед проведением аудита организация должна определить программу, критерии и сферу применения для каждого аудита, а также аудиторов.

Программа аудита должна включать методы, распределение ответственности, требования к планированию и отчетности и учитывать важность процессов и результаты предыдущих аудитов.

Организация должна обеспечить:

– объективность и беспристрастность процесса аудита;

– направление результатов аудитов руководству соответствующего уровня;

– хранение документированной информации как свидетельства о программе аудита и результатах аудита.

Анализ со стороны руководства

Высшее руководство должно анализировать СУИБ организации через запланированные интервалы времени для обеспечения ее постоянной пригодности, адекватности и результативности.

Анализ со стороны руководства должен включать следующее:

– статус действий по результатам предыдущих анализов со стороны руководства;

– изменения внешних и внутренних аспектов, которые имеют отношение к СУИБ;

– обратную связь о состоянии ИБ, включая:

• несоответствия и корректирующие действия;

• результаты мониторинга и измерений;

• результаты аудита;

• результат достижения целей ИБ;

– обратную связь от заинтересованных сторон;

– результаты оценки рисков и статус выполнения плана по обработке рисков;

– возможности для постоянного улучшения.

Выводы анализа со стороны руководства должны включать решения, связанные с реализацией возможностей постоянного улучшения, и любые необходимые изменения в СУИБ.

Организация должна сохранять документированную информацию в качестве свидетельства о результатах анализа со стороны руководства.

10. Улучшение (4-й этап «РDСА»)

Этап улучшения СУИБ обеспечивают следующие мероприятия:

– корректирующие действия;

– постоянное улучшение.

Корректирующие действия

При появлении несоответствия организация должна:

– реагировать на несоответствие и в зависимости от обстоятельств принять меры по его управлению и исправлению или проработать последствие;

– оценить необходимость принятия действий для устранения причин несоответствия с целью предотвращения его повторения или появления в другом месте, для этого:

• изучить несоответствие;

• определить причину несоответствия;

• определить, существуют ли подобные несоответствия или потенциальные возможности их возникновения;

– реализовать любые необходимые корректирующие действия;

– проанализировать результативность выполненных корректирующих действий;

– при необходимости внести изменения в СУИБ.

Корректирующие действия должны быть адекватными последствиям выявленных несоответствий. Организация должна сохранять документированную информацию как свидетельства о: