Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников
обязательства по соблюдению требований ИБ;
– включать обязательства по постоянному улучшению СУИБ.
Политика ИБ должна быть:
– доведена до персонала организации;
– доступна как документированная информация;
– доступна всем заинтересованным сторонам.
Организационные роли, обязанности и полномочия
Высшее руководство должно быть уверенным, что обязанности и полномочия ролей, относящихся к ИБ, обозначены и сообщены.
Высшее руководство должно обозначить обязанности и полномочия для:
– обеспечения соответствия СУИБ требованиям этого стандарта;
– оповещения высшего руководства о результативности СУИБ.
6. Планирование (1-й этап «РDСА»)
Этап планирования СУИБ обеспечивают следующие мероприятия:
– определение целей ИБ и мер по их достижению;
– действия по обработке рисков и возможностей.
Определение целей ИБ и мер по их достижению
Организация должна установить цели ИБ для соответствующих функций и на соответствующих уровнях.
Цели ИБ должны:
– соответствовать политике ИБ;
– быть измеримыми (если это возможно);
– принимать во внимание действующие требования ИБ, результаты оценки и обработки рисков;
– быть известны соответствующему персоналу организации;
– обновляться по мере необходимости.
Организация должна сохранять документированную информацию о целях ИБ.
При планировании мер по достижению целей ИБ организация должна определить:
– что будет сделано;
– какие ресурсы потребуются;
– кто будет нести ответственность;
– когда меры будут реализованы;
– как будут оцениваться результаты.
Действия по обработке рисков и возможностей
При планировании СУИБ организация должна учитывать аспекты и требования, указанные в контексте организации, и определить риски и возможности, которые должны быть направлены на:
– обеспечение того, чтобы СУИБ позволило достигать желаемых результатов;
– предотвращение или уменьшение нежелательных эффектов;
– обеспечение непрерывного совершенствования.
Организация должна планировать:
– процессы оценки и обработки рисков;
– действия по осуществлению и интеграции работ в процессах СУИБ и оценке их результативности.
Оценка рисков ИБ
Организация должна определить и внедрить процесс оценки рисков ИБ, состоящий из разработки критериев, определения, анализа рисков и сравнения его результатов с критериями для рисков ИБ.
На основании процесса оценки рисков ИБ организации следует:
– установить и поддерживать критерии для рисков ИБ, которые состоят из критериев для проведения оценки и принятия рисков ИБ;
– определить риски ИБ:
•