Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников

Управление информационной безопасностью. Стандарты СУИБ - Вадим Гребенников


Скачать книгу
рисков ИБ.

      Оперативное планирование и контроль

      Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований ИБ и реализации действий по обработке рисков и возможностей. Организация также должна выполнять планы по достижению целей ИБ.

      Организация должна сохранять документированную информацию в объеме, необходимом для получения уверенности в том, что процессы осуществляются так, как запланировано.

      Организация должна управлять планируемыми изменениями и рассматривать последствия случайных изменений, принимать меры по смягчению неблагоприятных последствий при необходимости.

      Организация должна обеспечить, что переданные на аутсорсинг процессы определены и управляются.

      Оценка рисков ИБ

      Организация должна выполнять оценку рисков ИБ через запланированные интервалы времени, либо в случае предполагающихся или уже происходящих существенных изменений, с учетом установленных критериев.

      Организация должна сохранять документированную информацию о результатах оценки рисков ИБ.

      Обработка рисков ИБ

      Организация должна реализовать план обработки рисков ИБ. Организация должна сохранять документированную информацию о результатах обработки рисков ИБ.

      9. Оценка результативности (3-й этап «РDСА»)

      Этап оценки результативности СУИБ обеспечивают следующие мероприятия:

      – мониторинг, измерение, анализ и оценка;

      – внутренний аудит;

      – анализ со стороны руководства.

      Мониторинг, измерение, анализ и оценка

      Организация должна оценивать состояние ИБ и результативность СУИБ.

      Организация должна определить:

      – что необходимо отслеживать и измерять, в том числе процессы ИБ и элементы управления;

      – методы мониторинга, измерения, анализа и оценки, в зависимости от обстоятельств, в целях обеспечения достоверных результатов;

      – когда должны проводиться действия по мониторингу и измерениям;

      – кто должен осуществлять мониторинг и измерения;

      – когда результаты мониторинга и измерений должны быть проанализированы и оценены;

      – кто должен анализировать и оценивать эти результаты.

      Организация должна сохранять соответствующую документированную информацию в качестве подтверждения результатов мониторинга и измерений.

      Внутренний аудит

      Организация должна проводить внутренние аудиты через запланированные промежутки времени для получения информации о состоянии СУИБ:

      – на предмет соответствия собственным требованиям организации для своей СУИБ и требованиям настоящего стандарта;

      – с целью оценки результативности внедрения и поддержки.

      Перед проведением аудита организация должна определить программу, критерии и сферу применения для каждого аудита, а также


Скачать книгу