"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст)
5. Ответственность руководства
5.1. Обязательства руководства
Руководство организации должно предоставлять доказательства выполнения своих обязательств в отношении разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ путем осуществления следующих мер:
a) разработки политики СМИБ;
b) обеспечения разработки целей и планов СМИБ;
c) определения функций и ответственности в области ИБ;
d) доведения до всех сотрудников организации информации о важности достижения целей информационной безопасности и соответствия ее требованиям политики организации, об их ответственности перед законом, а также о необходимости непрерывного совершенствования в реализации мер ИБ;
e) выделения необходимых и достаточных ресурсов для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ (см. 5.2.1);
f) установления критериев принятия рисков и уровней их приемлемости;
g) обеспечения проведения внутренних аудитов СМИБ (см. раздел 6);
h) проведения анализа СМИБ со стороны руководства (см. раздел 7).
5.2. Управление ресурсами
5.2.1. Обеспечение ресурсами
Организация должна определить и предоставить ресурсы, необходимые для:
a) разработки, внедрения, обеспечения функционирования, мониторинга, анализа, улучшения и поддержки СМИБ;
b) поддержки требований бизнеса процедурами информационной безопасности;
c) выявления и обеспечения выполнения требований соответствующих законов, нормативных актов, а также договорных обязательств в области информационной безопасности;
d) поддержания адекватной безопасности путем правильного применения всех реализованных мер управления;
e) проведения, при необходимости, анализа и принятия соответствующих мер по его результатам;
f) повышения, при необходимости, результативности СМИБ.
5.2.2. Подготовка, осведомленность и квалификация персонала
Организация должна обеспечить необходимую квалификацию персонала, на который возложены обязанности выполнения задач в рамках СМИБ путем:
a) определения требуемого уровня знаний и навыков для персонала, который выполняет работу, влияющую на СМИБ;
b) организации обучения персонала или принятия других мер (например, наем компетентного персонала) для удовлетворения указанных потребностей;
c) оценки результативности предпринятых действий;
d) ведения записей об образовании, подготовке, навыках, опыте и квалификации сотрудников (см. 4.3.3).
Организация должна также обеспечить понимание всеми соответствующими сотрудниками значимости и важности деятельности в области информационной безопасности, и их роли в достижении целей СМИБ.