Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

• установить приоритеты по обработке рисков для проанализированных рисков;

— гарантировать, что повторная оценка рисков ИБ позволит получить логичные, обоснованные и сопоставимые результаты.

Организация должна сохранять документированную информацию о процессе оценки рисков ИБ.

Обработка рисков ИБ

Организация должна определить и внедрить процесс обработки рисков ИБ, состоящий из выбора варианта обработки, его реализации и принятия остаточных рисков ИБ.

На основании процесса обработки рисков ИБ организации следует:

— выбрать подходящий вариант обработки рисков ИБ, принимая во внимание результаты оценки рисков;

— определить все элементы управления, которые необходимы для реализации выбранного варианта обработки рисков ИБ;

— сравнить определенные элементы управления с теми, которые приведены в Приложении А и убедиться в том, что не были упущены необходимые элементы;

— разработать Положение о Применимости (англ. Statement of Applicability, SoA), которое содержит необходимые элементы управления и обоснования их включения (независимо от того, реализованы они или нет), а также обоснования исключений элементов управления из Приложения А;

— сформулировать план по обработке рисков ИБ;

— согласовать с владельцами рисков план по обработке рисков ИБ и получить (от владельцев рисков) согласие на принятие остаточных рисков ИБ.

Организация должна сохранять документированную информацию о процессе обработки рисков ИБ.

Поддержка СУИБ определяется следующими составляющими:

— ресурсы;

— компетенции;

— осведомленность;

— коммуникации;

— документированная информация.

Ресурсы

Организация должна определить и предоставить ресурсы, необходимые для разработки, внедрения, сопровождения и постоянного улучшения СУИБ.

Компетенции

Организация должна:

— определять необходимую компетентность персонала, который самостоятельно выполняет работу, что влияет на результативность ИБ;

— обеспечить то, что этот персонал обладает необходимыми компетенциями на основе соответствующего обучения, тренингов или опыта;

— при необходимости принять меры для получения необходимых компетенций и оценить эффективность принятых мер;

— сохранять соответствующую документированную информацию в качестве доказательств наличия компетенций.

Соответствующие меры могут включать, например, проведение тренинга, наставничество или переаттестацию действующих сотрудников; или наем / привлечение по контракту компетентных лиц.

Осведомленность

Персонал, выполняющий работы в рамках организации, должен быть осведомлен:

— о политике ИБ;

— о вкладе в повышение результативности СУИБ, включая выгоды от улучшения состояния ИБ;

— о последствиях в результате не выполнения требований СУИБ.

Коммуникации

Организация должна определить необходимые внутренние и внешние коммуникации, относящиеся к СУИБ, включая:

— о чем сообщать;

— когда сообщать;

— кому сообщать;

— кто должен участвовать в коммуникациях;

— процессы осуществления коммуникаций.

Документированная информация

СУИБ организации должна включать документированную информацию:

— требуемую настоящим стандартом;

— определенную организацией в качестве необходимой для обеспечения результативности СУИБ.

Степень (детализация) документированной информации для СУИБ одной организации может отличаться от другой в зависимости от:

— размера организации и ее вида деятельности, процессов, продуктов и услуг;

— сложности процессов и их взаимодействия;

— компетенции персонала.

При создании и обновлении документированной информации организация должна обеспечить соответствующее:

— идентификацию и описание (например: название, дата, автор или ссылка);

— оформление (например: язык, версия ПО, рисунки) и тип носителя (например: электронный, бумажный);

— рассмотрение и утверждение на предмет пригодности для применения и адекватности.

Документированная информация СУИБ должна управляться для обеспечения:

— доступности и пригодности для использования;

— адекватной защиты (например: от потери конфиденциальности, неправильного использования или потери целостности).

Для управления документированной информацией организация должна рассмотреть следующие мероприятия (где применимо):