Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

— взаимосвязи и зависимости между деятельностью, выполняемой организацией, и деятельностью, выполняемой другими организациями.

Сфера применения должна быть доступна в виде документированной информации.

Лидерство и обязательства

Высшее руководство должно продемонстрировать лидерство и обязательства в отношении СУИБ путем:

— обеспечения политики ИБ и целей ИБ, которые разработаны и совместимы со стратегическими задачами организации;

— обеспечения интеграции требований СУИБ в процессы организации;

— обеспечения того, чтобы ресурсы, необходимые для системы менеджмента информационной безопасности, были доступны;

— информирования о важности достижения результативности УИБ и о соответствии требованиям СУИБ;

— обеспечения того, что СУИБ позволяет достигать желаемых результатов;

— поддержки и управления персоналом, способствующим эффективности СУИБ;

— содействия постоянному улучшению;

— поддержки других соответствующих управленческих ролей для демонстрации их лидерства, насколько это применимо к сфере их ответственности.

Политика

Высшее руководство должно разработать соответствующую целям организации политику ИБ, которая должна:

— соответствовать целям ИБ;

— содержать цели ИБ или обеспечивать основу для достижения целей ИБ;

— включать обязательства по соблюдению требований ИБ;

— включать обязательства по постоянному улучшению СУИБ.

Политика ИБ должна быть:

— доведена до персонала организации;

— доступна как документированная информация;

— доступна всем заинтересованным сторонам.

Организационные роли, обязанности и полномочия

Высшее руководство должно быть уверенным, что обязанности и полномочия ролей, относящихся к ИБ, обозначены и сообщены.

Высшее руководство должно обозначить обязанности и полномочия для:

— обеспечения соответствия СУИБ требованиям этого стандарта;

— оповещения высшего руководства о результативности СУИБ.

Этап планирования СУИБ обеспечивают следующие мероприятия:

— определение целей ИБ и мер по их достижению;

— действия по обработке рисков и возможностей.

Определение целей ИБ и мер по их достижению

Организация должна установить цели ИБ для соответствующих функций и на соответствующих уровнях.

Цели ИБ должны:

— соответствовать политике ИБ;

— быть измеримыми (если это возможно);

— принимать во внимание действующие требования ИБ, результаты оценки и обработки рисков;

— быть известны соответствующему персоналу организации;

— обновляться по мере необходимости.

Организация должна сохранять документированную информацию о целях ИБ.

При планировании мер по достижению целей ИБ организация должна определить:

— что будет сделано;

— какие ресурсы потребуются;

— кто будет нести ответственность;

— когда меры будут реализованы;

— как будут оцениваться результаты.

Действия по обработке рисков и возможностей

При планировании СУИБ организация должна учитывать аспекты и требования, указанные в контексте организации, и определить риски и возможности, которые должны быть направлены на:

— обеспечение того, чтобы СУИБ позволило достигать желаемых результатов;

— предотвращение или уменьшение нежелательных эффектов;

— обеспечение непрерывного совершенствования.

Организация должна планировать:

— процессы оценки и обработки рисков;

— действия по осуществлению и интеграции работ в процессах СУИБ и оценке их результативности.

Оценка рисков ИБ

Организация должна определить и внедрить процесс оценки рисков ИБ, состоящий из разработки критериев, определения, анализа рисков и сравнения его результатов с критериями для рисков ИБ.

На основании процесса оценки рисков ИБ организации следует:

— установить и поддерживать критерии для рисков ИБ, которые состоят из критериев для проведения оценки и принятия рисков ИБ;

— определить риски ИБ:

• применить процесс оценки рисков ИБ для выявления рисков, связанных с потерей конфиденциальности, целостности и доступности информации в рамках СУИБ (§);

• определить владельцев рисков;

— проанализировать риски ИБ:

• определить реалистичную вероятность возникновения рисков §;

• определить потенциальные последствия, которые могут возникнуть в случае возникновения рисков §;

• определить уровни риска;

— оценить риски ИБ:

• сравнить результаты анализа рисков с установленными критериями для рисков;