Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников
(англ. Statement of Applicability, SoA), которое содержит необходимые элементы управления и обоснования их включения (независимо от того, реализованы они или нет), а также обоснования исключений элементов управления из Приложения А;
– сформулировать план по обработке рисков ИБ;
– согласовать с владельцами рисков план по обработке рисков ИБ и получить (от владельцев рисков) согласие на принятие остаточных рисков ИБ.
Организация должна сохранять документированную информацию о процессе обработки рисков ИБ.
7. Поддержка
Поддержка СУИБ определяется следующими составляющими:
– ресурсы;
– компетенции;
– осведомленность;
– коммуникации;
– документированная информация.
Ресурсы
Организация должна определить и предоставить ресурсы, необходимые для разработки, внедрения, сопровождения и постоянного улучшения СУИБ.
Компетенции
Организация должна:
– определять необходимую компетентность персонала, который самостоятельно выполняет работу, что влияет на результативность ИБ;
– обеспечить то, что этот персонал обладает необходимыми компетенциями на основе соответствующего обучения, тренингов или опыта;
– при необходимости принять меры для получения необходимых компетенций и оценить эффективность принятых мер;
– сохранять соответствующую документированную информацию в качестве доказательств наличия компетенций.
Соответствующие меры могут включать, например, проведение тренинга, наставничество или переаттестацию действующих сотрудников; или наем / привлечение по контракту компетентных лиц.
Осведомленность
Персонал, выполняющий работы в рамках организации, должен быть осведомлен:
– о политике ИБ;
– о вкладе в повышение результативности СУИБ, включая выгоды от улучшения состояния ИБ;
– о последствиях в результате не выполнения требований СУИБ.
Коммуникации
Организация должна определить необходимые внутренние и внешние коммуникации, относящиеся к СУИБ, включая:
– о чем сообщать;
– когда сообщать;
– кому сообщать;
– кто должен участвовать в коммуникациях;
– процессы осуществления коммуникаций.
Документированная информация
СУИБ организации должна включать документированную информацию:
– требуемую настоящим стандартом;
– определенную организацией в качестве необходимой для обеспечения результативности СУИБ.
Степень (детализация) документированной информации для СУИБ одной организации может отличаться от другой в зависимости от:
– размера организации и ее вида деятельности, процессов, продуктов и услуг;
– сложности процессов и их взаимодействия;
– компетенции персонала.
При