Управление информационной безопасностью. Стандарты СУИБ - Вадим Гребенников

Скачать книгу

обязательства по соблюдению требований ИБ;

      – включать обязательства по постоянному улучшению СУИБ.

      Политика ИБ должна быть:

      – доведена до персонала организации;

      – доступна как документированная информация;

      – доступна всем заинтересованным сторонам.

      Организационные роли, обязанности и полномочия

      Высшее руководство должно быть уверенным, что обязанности и полномочия ролей, относящихся к ИБ, обозначены и сообщены.

      Высшее руководство должно обозначить обязанности и полномочия для:

      – обеспечения соответствия СУИБ требованиям этого стандарта;

      – оповещения высшего руководства о результативности СУИБ.

      6. Планирование (1-й этап «РDСА»)

      Этап планирования СУИБ обеспечивают следующие мероприятия:

      – определение целей ИБ и мер по их достижению;

      – действия по обработке рисков и возможностей.

      Определение целей ИБ и мер по их достижению

      Организация должна установить цели ИБ для соответствующих функций и на соответствующих уровнях.

      Цели ИБ должны:

      – соответствовать политике ИБ;

      – быть измеримыми (если это возможно);

      – принимать во внимание действующие требования ИБ, результаты оценки и обработки рисков;

      – быть известны соответствующему персоналу организации;

      – обновляться по мере необходимости.

      Организация должна сохранять документированную информацию о целях ИБ.

      При планировании мер по достижению целей ИБ организация должна определить:

      – что будет сделано;

      – какие ресурсы потребуются;

      – кто будет нести ответственность;

      – когда меры будут реализованы;

      – как будут оцениваться результаты.

      Действия по обработке рисков и возможностей

      При планировании СУИБ организация должна учитывать аспекты и требования, указанные в контексте организации, и определить риски и возможности, которые должны быть направлены на:

      – обеспечение того, чтобы СУИБ позволило достигать желаемых результатов;

      – предотвращение или уменьшение нежелательных эффектов;

      – обеспечение непрерывного совершенствования.

      Организация должна планировать:

      – процессы оценки и обработки рисков;

      – действия по осуществлению и интеграции работ в процессах СУИБ и оценке их результативности.

      Оценка рисков ИБ

      Организация должна определить и внедрить процесс оценки рисков ИБ, состоящий из разработки критериев, определения, анализа рисков и сравнения его результатов с критериями для рисков ИБ.

      На основании процесса оценки рисков ИБ организации следует:

      – установить и поддерживать критерии для рисков ИБ, которые состоят из критериев для проведения оценки и принятия рисков ИБ;

      – определить риски ИБ:

      •

Скачать книгу