Законодательная база Российской Федерации

4.1. Общие требования

Организация должна разработать, внедрить, обеспечить функционирование, вести мониторинг, анализировать, поддерживать и непрерывно улучшать документированную СМИБ применительно ко всей деловой деятельности организации и рискам, с которыми она сталкивается. С учетом целей настоящего стандарта используемый процесс основан на применении модели PDCA, приведенной на рисунке 1.

4.2. Разработка системы менеджмента информационной безопасности. Управление системой менеджмента информационной безопасности

4.2.1. Разработка системы менеджмента информационной безопасности

Организация должна осуществить следующее:

a) определить область и границы действия СМИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий, в том числе детали и обоснование любых исключений из области ее действия (см. 1.2);

b) определить политику СМИБ на основе характеристик бизнеса, организации, ее размещения, активов и технологий, которая:

1) содержит концепцию, включающую в себя цели, основные направления и принципы действий в сфере ИБ;

2) принимает во внимание требования бизнеса, нормативно-правовые требования, а также договорные обязательства по обеспечению безопасности;

3) согласуется со стратегическим содержанием менеджмента рисков организации, в рамках которого будет разрабатываться и поддерживаться СМИБ;

4) устанавливает критерии оценки рисков (см. 4.2.1, перечисление c));

5) утверждается руководством организации.

Примечание - Для целей настоящего стандарта политика СМИБ имеет приоритет перед политикой ИБ. Эти политики могут быть изложены в одном документе.

c) определить подход к оценке риска в организации, для чего необходимо:

1) определить методологию оценки риска, подходящую для СМИБ, которая должна соответствовать требованиям обеспечения деятельности организации и нормативно-правовым требованиям информационной безопасности;

2) разработать критерии принятия риска и определить приемлемые уровни риска (см. 5.1, перечисление f)).

Выбранная методология оценки риска должна обеспечивать сравнимые и воспроизводимые результаты.

Примечание - Имеются различные методологии оценки риска. Примеры таких методологий даны в ИСО/МЭК ТО 13335-3:1998 "Руководство по управлению безопасностью информационных технологий. Часть 3. Методы управления безопасностью информационных технологий" [7].

d) идентифицировать риски, для чего необходимо:

1) идентифицировать активы в пределах области функционирования СМИБ и определить владельцев <1> этих активов.

---

<1> Здесь и далее "владелец" определяет лицо или организацию, которые имеют утвержденные руководством обязательства по контролю за производством, разработкой, поддержкой, использованием и безопасностью активов. Термин "владелец" не означает, что лицо действительно имеет какие-либо права собственности на актив.

2) идентифицировать угрозы этим активам;

3) идентифицировать уязвимости активов, которые могут быть использованы угрозами;

4) идентифицировать последствия воздействия на активы в результате возможной утраты конфиденциальности, целостности и доступности активов;

e) проанализировать и оценить риски, для чего необходимо:

1) оценить ущерб для деятельности организации, который может быть нанесен в результате сбоя обеспечения безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности или доступности активов;

2) оценить реальную вероятность сбоя обеспечения безопасности с учетом превалирующих угроз, уязвимостей и их последствий, связанных с этими активами, а также с учетом применяемых мер управления безопасностью;

3) оценить уровни рисков;

4) определить, являются ли риски приемлемыми или требуют обработки с использованием критериев допустимости рисков, установленных в 4.2.1, перечисление c);

f) определить и оценить различные варианты обработки рисков. Возможные действия:

1) применение подходящих мер управления;

2) сознательное и объективное принятие рисков при условии, что они полностью соответствуют требованиям политики и критериям организации в отношении принятия рисков (см. 4.2.1, перечисление c), 2);

3) избежание рисков;

4) передача соответствующих деловых рисков сторонним организациям, например страховщикам или поставщикам;

g) выбрать цели и меры управления для обработки рисков.

Цели и меры управления должны быть выбраны и реализованы так, чтобы удовлетворять требованиям, определенным в процессе оценки и обработки рисков. Этот выбор должен учитывать критерии принятия рисков (см. 4.2.1, перечисление c), 2)), а также нормативно-правовые требования и договорные обязательства.

Цели и меры управления должны быть выбраны согласно Приложению A как часть процесса оценки и обработки рисков и соответствовать требованиям этого процесса.

Перечень целей и мер управления, приведенный в Приложении A, не является исчерпывающим, а потому могут быть выбраны дополнительные цели и меры управления.

Примечание - Приложение A содержит подробный перечень целей и мер управления, обычно используемых в организациях. Рекомендуется использовать этот перечень в качестве исходных данных, позволяющих выбрать рациональный вариант мер управления и контроля;

h) получить утверждение руководством предполагаемых остаточных рисков;

i) получить разрешение руководства на внедрение и эксплуатацию СМИБ;

j) подготовить Положение о применимости, которое включает в себя следующее:

1) цели и меры управления, выбранные в 4.2.1, перечисление g), и обоснование этого выбора;

2) цели и меры управления, реализованные в настоящее время (см. 4.2.1, перечисление e), 2));

3) перечень исключенных целей и мер управления, указанных в Приложении A, и процедуру обоснования их исключения.

Примечание - Положение о применимости содержит итоговые решения, касающиеся обработки рисков. Обоснование исключений предусматривает перекрестную проверку, позволяющую определить, что ни одна мера управления не была случайно упущена.

4.2.2 Внедрение и функционирование системы менеджмента информационной безопасности

Организация должна выполнить следующее:

a) разработать план обработки рисков, определяющий соответствующие действия руководства, ресурсы, обязанности и приоритеты в отношении менеджмента рисков ИБ (см. раздел 5);

b) реализовать план обработки рисков для достижения намеченных целей управления, включающий в себя вопросы финансирования, а также распределение функций и обязанностей;

c) внедрить меры управления, выбранные согласно 4.2.1, перечисление g), для достижения целей управления;

d) определить способ измерения результативности выбранных мер управления или их групп и использования этих измерений для оценки результативности управления с целью получить сравнимые и воспроизводимые данные (см. 4.2.3, перечисление c)).

Примечание - Измерение результативности мер управления позволяет руководителям и персоналу определить, в какой степени меры управления способствуют достижению намеченных целей управления.

e) реализовать программы по обучению и повышению квалификации сотрудников (см. 5.2.2);

f) управлять работой СМИБ;

g) управлять ресурсами СМИБ (см. 5.2);

h) внедрить процедуры и другие меры управления, обеспечивающие быстрое обнаружение событий ИБ и реагирование на инциденты, связанные с ИБ (см. 4.2.3, перечисление a)).

4.2.3. Проведение мониторинга и анализа системы менеджмента информационной безопасности

Организация должна осуществлять следующее:

a) выполнять процедуры мониторинга и анализа, а также использовать другие меры управления в следующих целях:

1) своевременно обнаруживать ошибки в результатах обработки;

2) своевременно выявлять удавшиеся и неудавшиеся попытки нарушения и инциденты ИБ;

3) предоставлять руководству информацию для принятия решений о ходе выполнения функций по обеспечению ИБ, осуществляемых как ответственными лицами, так и информационными технологиями;

4) способствовать обнаружению событий ИБ и, таким образом, предотвращать инциденты ИБ путем применения средств индикации;

5) определять, являются ли эффективными действия, предпринимаемые для устранения нарушения безопасности;

b) проводить регулярный анализ результативности СМИБ (включая проверку ее соответствия политике и целям СМИБ и анализ мер управления безопасностью) с учетом результатов аудиторских проверок ИБ, ее инцидентов, результатов измерений эффективности СМИБ, а также предложений и другой информации от всех заинтересованных сторон;

c) измерять результативность мер управления для проверки соответствия требованиям ИБ;

d) пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков, учитывая изменения:

1) в организации;

2) в технологиях;

3) в целях деятельности и процессах;

4) в выявленных угрозах;

5) в результативности реализованных мер управления;

6) во внешних условиях, например изменения нормативно-правовых требований, требований договорных обязательств, а также изменения в социальной структуре общества;

e) проводить внутренние аудиты СМИБ через установленные периоды времени (см. раздел 6).

Примечание - Внутренние аудиты, иногда называемые аудитами первой стороны, проводятся самой организацией (или внешней организацией от ее имени) для собственных целей.

f) регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности ее функционирования и определения направлений совершенствования (см. 7.1);

g) обновлять планы ИБ с учетом результатов анализа и мониторинга;

h) регистрировать действия и события, способные повлиять на результативность или функционирование СМИБ, в соответствии с 4.3.3.

4.2.4. Поддержка и улучшение системы менеджмента информационной безопасности

Организация должна регулярно осуществлять следующее:

a) выявлять возможности улучшения СМИБ;

b) предпринимать необходимые корректирующие и предупреждающие действия в соответствии с 8.2 и 8.3, использовать на практике опыт по обеспечению ИБ, полученный как в собственной организации, так и в других организациях;

c) передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия;

d) обеспечивать внедрение улучшений СМИБ для достижения запланированных целей.

4.3. Требования к документации

4.3.1. Общие положения

Документация должна включать в себя записи решений руководства, позволяющие обеспечивать контроль выполнения решений руководства и политик организации, а также обеспечивать воспроизводимость документированных результатов.

Важно иметь обратную связь выбранных мер управления с результатами процессов оценки и обработки риска, а также последних с политикой СМИБ и целями СМИБ.

Документация СМИБ должна включать в себя следующее:

a) документированные положения политики СМИБ (см. 4.2.1, перечисление b)) и целей СМИБ;

b) область функционирования СМИБ (см. 4.2.1, перечисление a));

c) процедуры и меры управления, поддерживающие СМИБ;

d) описание методологии оценки риска (см. 4.2.1, перечисление c));

e) отчет по оценке рисков (см. 4.2.1, перечисления c) - g));

f) план обработки рисков;

g) документированные процедуры, необходимые организации для обеспечения эффективного планирования, внедрения процессов в области ИБ и управления этими процессами, а также описания путей оценки результативности мер управления (см. 4.2.3, перечисление c));

h) учетные записи (см. 4.3.3);

i) положение о применимости.

Примечания:

1. Согласно настоящему стандарту термин "документированная процедура" означает, что процедура установлена, документально оформлена, реализована и поддерживается на должном уровне.

2. Для разных организаций объем документации СМИБ может быть различным в зависимости:

- от размера организации и вида ее деятельности;

- от области применения и сложности требований безопасности и от управляемой системы.

3. Документы и учетные записи могут существовать в любой форме и на носителях любого типа.

4.3.2. Управление документами

Для разработки, актуализации, использования, хранения и уничтожения документов СМИБ, а также их защиты в организации должна существовать документированная процедура, определяющая действия руководства по:

a) утверждению документов СМИБ перед их изданием;

b) пересмотру и обновлению, при необходимости, документов, а также повторному их утверждению;

c) обеспечению идентификации внесенных изменений и текущего статуса документов;

d) обеспечению наличия версий соответствующих документов в местах их использования;

e) определению порядка просмотра документов и их идентификации;

f) обеспечению доступа к документам авторизованным лицам, а также передачи, хранения и уничтожения в соответствии с процедурами, применимыми к степени их конфиденциальности;

g) идентификации документов, созданных вне организации;

h) обеспечению контроля за распространением документов;

i) предотвращению непреднамеренного использования устаревших документов;

j) использованию соответствующей идентификации устаревших документов в случае их дальнейшего хранения.

4.3.3. Управление записями

Для предоставления свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо вести и поддерживать в рабочем состоянии учетные записи. Учетные записи необходимо контролировать и защищать. СМИБ должна принимать во внимание все нормативно-правовые требования и договорные обязательства, имеющие отношение к ИБ. Записи должны быть четкими, легко идентифицируемыми и восстанавливаемыми. Меры управления, требуемые для идентификации, хранения, защиты, поиска, определения сроков хранения и уничтожения записей должны быть документированы и реализованы.

Кроме этого, следует вести и хранить записи о выполнении процессов, описанных в 4.2, и обо всех значительных инцидентах информационной безопасности, связанных со СМИБ.

Пример - Примерами записей являются: журнал регистрации посетителей, отчеты о результатах аудитов, заполненные формы авторизации доступа.