Законодательная база Российской Федерации

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст)

5.1. Обязательства руководства

Руководство организации должно предоставлять доказательства выполнения своих обязательств в отношении разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ путем осуществления следующих мер:

a) разработки политики СМИБ;

b) обеспечения разработки целей и планов СМИБ;

c) определения функций и ответственности в области ИБ;

d) доведения до всех сотрудников организации информации о важности достижения целей информационной безопасности и соответствия ее требованиям политики организации, об их ответственности перед законом, а также о необходимости непрерывного совершенствования в реализации мер ИБ;

e) выделения необходимых и достаточных ресурсов для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ (см. 5.2.1);

f) установления критериев принятия рисков и уровней их приемлемости;

g) обеспечения проведения внутренних аудитов СМИБ (см. раздел 6);

h) проведения анализа СМИБ со стороны руководства (см. раздел 7).

5.2. Управление ресурсами

5.2.1. Обеспечение ресурсами

Организация должна определить и предоставить ресурсы, необходимые для:

a) разработки, внедрения, обеспечения функционирования, мониторинга, анализа, улучшения и поддержки СМИБ;

b) поддержки требований бизнеса процедурами информационной безопасности;

c) выявления и обеспечения выполнения требований соответствующих законов, нормативных актов, а также договорных обязательств в области информационной безопасности;

d) поддержания адекватной безопасности путем правильного применения всех реализованных мер управления;

e) проведения, при необходимости, анализа и принятия соответствующих мер по его результатам;

f) повышения, при необходимости, результативности СМИБ.

5.2.2. Подготовка, осведомленность и квалификация персонала

Организация должна обеспечить необходимую квалификацию персонала, на который возложены обязанности выполнения задач в рамках СМИБ путем:

a) определения требуемого уровня знаний и навыков для персонала, который выполняет работу, влияющую на СМИБ;

b) организации обучения персонала или принятия других мер (например, наем компетентного персонала) для удовлетворения указанных потребностей;

c) оценки результативности предпринятых действий;

d) ведения записей об образовании, подготовке, навыках, опыте и квалификации сотрудников (см. 4.3.3).

Организация должна также обеспечить понимание всеми соответствующими сотрудниками значимости и важности деятельности в области информационной безопасности, и их роли в достижении целей СМИБ.