— оповещения высшего руководства о результативности СУИБ.
6. Планирование (1-й этап «РDСА»)
Этап планирования СУИБ обеспечивают следующие мероприятия:
— определение целей ИБ и мер по их достижению;
— действия по обработке рисков и возможностей.
Определение целей ИБ и мер по их достижению
Организация должна установить цели ИБ для соответствующих функций и на соответствующих уровнях.
Цели ИБ должны:
— соответствовать политике ИБ;
— быть измеримыми (если это возможно);
— принимать во внимание действующие требования ИБ, результаты оценки и обработки рисков;
— быть известны соответствующему персоналу организации;
— обновляться по мере необходимости.
Организация должна сохранять документированную информацию о целях ИБ.
При планировании мер по достижению целей ИБ организация должна определить:
— что будет сделано;
— какие ресурсы потребуются;
— кто будет нести ответственность;
— когда меры будут реализованы;
— как будут оцениваться результаты.
Действия по обработке рисков и возможностей
При планировании СУИБ организация должна учитывать аспекты и требования, указанные в контексте организации, и определить риски и возможности, которые должны быть направлены на:
— обеспечение того, чтобы СУИБ позволило достигать желаемых результатов;
— предотвращение или уменьшение нежелательных эффектов;
— обеспечение непрерывного совершенствования.
Организация должна планировать:
— процессы оценки и обработки рисков;
— действия по осуществлению и интеграции работ в процессах СУИБ и оценке их результативности.
Оценка рисков ИБ
Организация должна определить и внедрить процесс оценки рисков ИБ, состоящий из разработки критериев, определения, анализа рисков и сравнения его результатов с критериями для рисков ИБ.
На основании процесса оценки рисков ИБ организации следует:
— установить и поддерживать критерии для рисков ИБ, которые состоят из критериев для проведения оценки и принятия рисков ИБ;
— определить риски ИБ:
• применить процесс оценки рисков ИБ для выявления рисков, связанных с потерей конфиденциальности, целостности и доступности информации в рамках СУИБ (§);
• определить владельцев рисков;
— проанализировать риски ИБ:
• определить реалистичную вероятность возникновения рисков §;
• определить потенциальные последствия, которые могут возникнуть в случае возникновения рисков §;
• определить уровни риска;
— оценить риски ИБ:
• сравнить результаты анализа рисков с установленными критериями для рисков;
• установить приоритеты по обработке рисков для проанализированных рисков;
— гарантировать, что повторная оценка рисков ИБ позволит получить логичные, обоснованные и сопоставимые результаты.
Организация должна сохранять документированную информацию о процессе оценки рисков ИБ.
Обработка рисков ИБ
Организация должна определить и внедрить процесс обработки рисков ИБ, состоящий из выбора варианта обработки, его реализации и принятия остаточных рисков ИБ.
На основании процесса обработки рисков ИБ организации следует:
— выбрать подходящий вариант обработки рисков ИБ, принимая во внимание результаты оценки рисков;
— определить все элементы управления, которые необходимы для реализации выбранного варианта обработки рисков ИБ;
— сравнить определенные элементы управления с теми, которые приведены в Приложении А и убедиться в том, что не были упущены необходимые элементы;
— разработать Положение о Применимости (англ. Statement of Applicability, SoA), которое содержит необходимые элементы управления и обоснования их включения (независимо от того, реализованы они или нет), а также обоснования исключений элементов управления из Приложения А;
— сформулировать план по обработке рисков ИБ;
— согласовать с владельцами рисков план по обработке рисков ИБ и получить (от владельцев рисков) согласие на принятие остаточных рисков ИБ.
Организация должна сохранять документированную информацию о процессе обработки рисков ИБ.
7. Поддержка
Поддержка СУИБ определяется следующими составляющими:
— ресурсы;
— компетенции;
— осведомленность;
— коммуникации;
— документированная информация.
Ресурсы
Организация должна определить и предоставить ресурсы, необходимые для разработки, внедрения, сопровождения и постоянного улучшения СУИБ.
Компетенции
Организация должна:
— определять необходимую компетентность персонала, который самостоятельно выполняет работу, что влияет на результативность ИБ;
— обеспечить то, что этот персонал обладает необходимыми компетенциями на основе соответствующего обучения, тренингов или опыта;
— при необходимости принять меры для получения необходимых компетенций и оценить эффективность принятых мер;
— сохранять соответствующую документированную информацию в качестве доказательств наличия компетенций.
Соответствующие меры могут включать, например, проведение тренинга, наставничество или переаттестацию действующих сотрудников; или наем / привлечение по контракту компетентных лиц.
Осведомленность
Персонал, выполняющий работы в рамках организации, должен быть осведомлен:
— о политике ИБ;
— о вкладе в повышение результативности СУИБ, включая выгоды от улучшения состояния ИБ;
— о последствиях в результате не выполнения требований СУИБ.
Коммуникации
Организация должна определить необходимые внутренние и внешние коммуникации, относящиеся к СУИБ, включая:
— о чем сообщать;
— когда сообщать;
— кому сообщать;
— кто должен участвовать в коммуникациях;
— процессы осуществления коммуникаций.
Документированная информация
СУИБ организации должна включать документированную информацию:
— требуемую настоящим стандартом;
— определенную организацией в качестве необходимой для обеспечения результативности СУИБ.
Степень (детализация) документированной информации для СУИБ одной организации может отличаться от другой в зависимости от:
— размера организации и ее вида деятельности, процессов, продуктов и услуг;
— сложности процессов и их взаимодействия;
— компетенции персонала.
При создании и обновлении документированной информации организация должна обеспечить соответствующее:
— идентификацию и описание (например: название, дата, автор или ссылка);
— оформление (например: язык, версия ПО, рисунки) и тип носителя (например: электронный, бумажный);
— рассмотрение и утверждение на предмет пригодности для применения и адекватности.
Документированная информация СУИБ должна управляться для обеспечения:
— доступности и пригодности для использования;
— адекватной защиты (например: от потери конфиденциальности, неправильного использования или потери целостности).
Для управления документированной информацией организация должна рассмотреть следующие мероприятия (где применимо):
— распространение информации, доступ, восстановление и использование;
— хранение и сохранность, в том числе сохранение удобочитаемости;
— контроль изменений (например, управление версиями);
— архивирование и уничтожение.
Документированная информация внешнего происхождения, определенная организацией в качестве необходимой для планирования и функционирования СУИБ, должна соответствующим образом определяться и управляться.
Доступ предполагает принятия решения о доступе только на просмотр документированной информации или предоставлении полномочий для просмотра и внесения изменений в документированной информации и т. д.
8. Эксплуатация (2-й этап «РDСА»)
Этап эксплуатации СУИБ обеспечивают следующие мероприятия:
— оперативное планирование и контроль;
— оценка рисков ИБ;
— обработка рисков ИБ.
Оперативное планирование и контроль
Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований ИБ и реализации действий по обработке рисков и возможностей. Организация также должна выполнять планы по достижению целей ИБ.
Организация должна сохранять документированную информацию в объеме, необходимом для получения уверенности в том, что процессы осуществляются так, как запланировано.
Организация должна управлять планируемыми изменениями и рассматривать последствия случайных изменений, принимать меры по смягчению неблагоприятных последствий при необходимости.
Организация должна обеспечить, что переданные на аутсорсинг процессы определены и управляются.
Оценка рисков ИБ
Организация должна выполнять оценку рисков ИБ через запланированные интервалы времени, либо в случае предполагающихся или уже происходящих существенных изменений, с учетом установленных критериев.
Организация должна сохранять документированную информацию о результатах оценки рисков ИБ.
Обработка рисков ИБ
Организация должна реализовать план обработки рисков ИБ. Организация должна сохранять документированную информацию о результатах обработки рисков ИБ.
9. Оценка результативности (3-й этап «РDСА»)
Этап оценки результативности СУИБ обеспечивают следующие мероприятия:
— мониторинг, измерение, анализ и оценка;
— внутренний аудит;
— анализ со стороны руководства.
Мониторинг, измерение, анализ и оценка
Организация должна оценивать состояние ИБ и результативность СУИБ.
Организация должна определить: