Iso IEC 27001 Плюсы и минусы

4.2.3 Мониторинг и проверка СМИБ 

Организация должна сделать следующее. 

a) Внедрить правила мониторинга и проверки и другие средства управления для того, чтобы:

1) своевременно  обнаруживать ошибки в результатах  процесса;

2) своевременно  распознавать неудавшиеся и удавшиеся  нарушения безопасности и инциденты;

3) задействовать  менеджмент, чтобы определить, надлежащим  ли образом выполняется работа  по безопасности, порученная людям  либо осуществляемая информационными  технологиями;

4) содействовать  обнаружению событий безопасности  и таким образом, используя определённые показатели, предупреждать инциденты безопасности; и

5) определить  эффективность действий, предпринятых  для предотвращения нарушения  безопасности. 

b) Проводить регулярные проверки эффективности СМИБ (включая обсуждение политики СМИБ и её задач, проверку средств управления безопасностью), принимая во внимание результаты аудитов, инцидентов, результаты измерений эффективности, предложения и рекомендации всех заинтересованных сторон. 

c) Оценить эффективность средств управления, чтобы выявить, удовлетворены ли требования безопасности. 

d) Проверить оценку рисков по запланированным периодам и проверить остаточные риски и допустимые уровни рисков, принимая во внимания изменения в:

1) организации;

2) технологии;

3) бизнес-целях и процессах;

4) идентифицированных  угрозах;

5) эффективности  внедрённых средств управления; и

6) внешних  событиях, таких как изменения  в юридической и управленческой  среде, изменённые договорные  обязательства, смены социального  климата. 

e) Проводить внутренние аудиты СМИБ в запланированные периоды (см. 6) 

ПРИМЕЧАНИЕ: Внутренние аудиты, иногда называемые первичными аудитами, проводятся от имени  самой организации в её собственных  целях. 

f) На регулярной основе проводить проверку управления СМИБ, чтобы убедиться, что положение остается пригодным, а СМИБ совершенствуется. 

g) Обновлять планы безопасности с учётом данных, полученных в результате мониторинга и проверки. 

h) Записывать действия и события, которые могут оказать влияние на эффективность или производительность СМИБ (см. 4.3.3). 

4.2.4 Поддержка и совершенствование  СМИБ 

Организация должна постоянно делать следующее. 

a) Внедрять в СМИБ определённые исправления.

b) Предпринимать соответствующие корректирующие и превентивные меры в соответствии с 8.2 и 8.3. Применять знания, накопленные самой организацией  и полученные из опыта других организаций.

c) Сообщать о своих действиях и совершенствованиях всем заинтересованным сторонам в степени детализации, соответствующей обстановке; и, соответственно, согласовывать свои действия.

d) Убедиться, что улучшения достигли намеченной цели. 

4.3 Требования обеспечения  документацией 

4.3.1 Общие положения 

Документация  должна включать протоколы (записи) управленческих решений, убеждать в том, что необходимость  действий обусловлена решениями и политикой менеджмента; и убеждать во воспроизводимости записанных результатов.  

Важно уметь  демонстрировать обратную связь  выбранных средств управления с  результатами процессов оценки риска  и его сокращения, и далее с  политикой СМИБ и ее целями. 
 

В документацию СМИБ необходимо включить: 

a) документированные формулировки политики и целей СМИБ (см. 4.2.1b));

b) положение СМИБ (см. 4.2.1а));

c) концепцию и средства управления в поддержку СМИБ;

d) описание методологии оценки риска (см. 4.2.1с));

e) отчет об оценке риска (см. 4.2.1с) – 4.2.1g));

f) план сокращения риска (см. 4.2.2b));

g) документированную концепцию, необходимую организации для обеспечения эффективности планирования, функционирования и управления процессами её информационной безопасности и описания способов измерения эффективности средств управления (см. 4.2.3с));

h) документы, требуемые данным Международным Стандартом (см. 4.3.3); и

i) Утверждение о Применимости. 

ПРИМЕЧАНИЕ 1: В рамках данного Международного Стандарта термин «документированная концепция» означает, что концепция внедрена, документирована, выполняется и соблюдается. 

ПРИМЕЧАНИЕ 2: Размер документации СМИБ в различных организациях может колебаться в зависимости от:

- размера  организации и типа ее активов; и

- масштаба  и сложности требований безопасности  и управляемой системы. 

ПРИМЕЧАНИЕ 3: Документы и отчёты могут предоставляться в любой форме. 

4.3.2 Контроль документов  

Документы, требуемые СМИБ, необходимо защищать и регулировать. Необходимо утвердить процедуру документации, необходимую для описания управленческих действий по:

a) установлению соответствия документов определённым нормам до их опубликования;

b) проверке и обновлению документов как необходимости, переутверждению документов;

c) обеспечению соответствия изменений текущему состоянию исправленных документов;

d) обеспечению доступности важных версий действующих документов;

e) обеспечению понятности и читабельности документов;

f) обеспечению доступности документов тем, кому они необходимы; а также их передачи, хранения и, наконец, уничтожения в соответствии с процедурами, применяемыми в зависимости от их классификации;

g) установлению подлинности документов из внешних источников;

h) контролированию распространения документов;

i) предупреждению непреднамеренного использования вышедших из употребления документов; и

j) применению к ним соответствующего способа идентификации, если они хранятся просто на всякий случай. 

4.3.3 Контроль записей 

Записи  должны создаваться и храниться  для того, чтобы обеспечить подтверждение соответствия требованиям и эффективное функционирование СМИБ. Записи необходимо защищать и проверять. СМИБ должна учитывать любые юридические и регулятивные требования и договорные обязательства. Записи должны быть понятны, легко идентифицируемы и восстановимы. Средства управления, необходимые для идентификации, хранения, защиты, восстановления, продолжительности хранения и уничтожения записей, должны быть документально утверждены и введены в действие.

В записи необходимо включать информацию о проведении мероприятий, описанных в 4.2, и обо всех происшествиях и значимых для безопасности инцидентах, относящихся к СМИБ. 

ПРИМЕР

Примерами записей являются гостевая книга, протоколы  аудита и заполненные формы авторизации  доступа. 

5 Обязанности руководства 

5.1 Обязательства руководства 

Руководство должно подтвердить свои обязательства  по введению, реализации, функционированию, мониторингу, проверке, поддержке и  совершенствованию СМИБ путем:

a) введения политики СМИБ;

b) постановки целей СМИБ и разработки планов;

c) распределения ролей и обязанностей в информационной безопасности;

d) донесения до организации важности выполнения задач по информационной безопасности, согласования их с политикой безопасности, ответственностью в соответствии с законом, и необходимости постоянного совершенствования;

e) достаточного обеспечения трудовыми ресурсами, чтобы ввести, реализовать, управлять, наблюдать, проверять, поддерживать и совершенствовать СМИБ (см. 5.2.1);

f) установления критериев принятия риска и допустимых уровней риска;

g) проведения внутренних аудитов СМИБ (см. 6); и

h) проведения проверок управления СМИБ (см. 7). 

5.2 Управление трудовыми  ресурсами 

5.2.1 Обеспечение кадрами 

Организация должна определить и подобрать штат сотрудников, необходимых для того, чтобы:

a) создавать, внедрять, использовать, контролировать, проверять, поддерживать и совершенствовать СМИБ;

b) обеспечить согласованность принципов информационной безопасности с требованиями бизнеса;

c) определять юридические и регулятивные требования и договорные обязанности по безопасности;

d) поддерживать необходимый уровень безопасности путем правильного применения всех внедрённых средств управления;

e) по необходимости проводить проверки, и соответствующе реагировать на результаты этих проверок; и

f) где необходимо, совершенствовать эффективность СМИБ. 

5.2.2 Обучение, информированность  и компетентность 

Организация должна гарантировать то, что весь персонал, назначенный исполнять  установленные в СМИБ обязанности, достаточно компетентен, чтобы выполнять поставленные задачи, путём:

a) установления необходимого уровня компетентности персонала, выполняющего работу, влияющую на функционирование СМИБ;

b) проведения обучения или принятия других мер (например, назначение компетентного персонала), чтобы удовлетворить эти нужды;

c) оценивания эффективности предпринятых действий; и

d) ведения записей о подготовке, обучении, навыках, опыте и квалификации (см. 4.3.3). 

Организация также должна убедиться в том, что все компетентные работники  осознают значимость и важность своей деятельности по обеспечению информационной безопасности, и их вклада в достижение целей СМИБ. 

6 Внутренние аудиты  СМИБ 

Организация должна проводить внутренние аудиты СМИБ для того, чтобы убедиться, что  задачи, средства управления, процессы и методы СМИБ:

a) удовлетворяют требованиям данного Международного Стандарта и важным законам или положениям;

b) удовлетворяют установленным требованиям информационной безопасности;

c) эффективно выполняются и поддерживаются; и

d) функционируют, как ожидалось. 

Программа аудита должна быть спланирована, учтены как состояние и важность процессов  и областей, подвергаемых аудиту, так  и результаты предыдущих аудитов. Должны быть определены критерии аудита, масштаб, частота проведения, методики. Выбор аудиторов и проведение аудитов должны гарантировать объективность и беспристрастность процесса аудита. Аудиторы не должны ревизовать свою собственную работу. 

Порядок распределения  обязанностей и требования к планированию и проведению аудитов, к отчетам  о результатах и ведению записей (см. 4.3.3) должны быть определены в документально оформленной процедуре. 

Руководство, ответственное за подвергаемую аудиту область, должно гарантировать, что  без большой задержки предпримет действия по устранению выявленных несогласованностей и их причин. Последующие ревизии должны требовать подтверждения того, что действительно были предприняты соответствующие меры, и отчёты о полученных результатах (см. 8).