Please enable JavaScript.
Coggle requires JavaScript to display documents.
БРИТАНСЬКИЙ СТАНДАРТ BS ISO/IEC 27001:2005 BS 7799-2:2005 Частина 2 -…
БРИТАНСЬКИЙ СТАНДАРТ
BS ISO/IEC 27001:2005 BS 7799-2:2005 Частина 2
ВІДПОВІДАЛЬНІСТЬ КЕРІВНИЦТВА
Прихильність керівництва
Керівництво повинно продемонструвати свою прихильність створенню, впровадженню, експлуатації, моніторингу, аналізу, супроводу і вдосконалення СУІБ, шляхом:
a. створення політики СУІБ;
b. забезпечення наявності цілей та планів СУІБ;
c. визначення ролей і відповідальності за інформаційну безпеку;
d. повідомлення організації про важливість досягнення цілей інформаційної безпеки та відповідності політиці інформаційної безпеки, її відповідальності перед законом і необхідність безперервного вдосконалення;
e. виділення достатніх ресурсів для розробки, впровадження, експлуатації, моніторингу, аналізу, супроводу і вдосконалення СУІБ;
f. прийняття рішення про критерії прийняття ризиків і допустимому рівні ризику;
g. забезпечення проведення внутрішніх аудитів СУІБ;
h. проведення аналізу СУІБ з боку керівництва.
Управління ресурсами
Виділення ресурсів
Організація повинна визначити і виділити ресурси, необхідні для:
a. створення, впровадження, експлуатації, моніторингу, аналізу, супроводу і вдосконалення СУІБ;
b. забезпечення підтримки вимог бізнесу процедурами інформаційної безпеки;
c. визначення і врахування вимог законодавства та нормативної бази, а також контрактних зобов'язань щодо забезпечення безпеки;
d. підтримання достатнього рівня безпеки шляхом правильного застосування всіх реалізованих механізмів контролю;
e. проведення перевірок, у разі необхідності, і відповідного реагування на результати цих перевірок;
f. там, де це необхідно, підвищення ефективності СУІБ.
Навчання, поінформованість та компетентність
Організація повинна переконатися в тому, що весь персонал, на який покладено визначається в СУІБ відповідальність, володіє необхідною компетенцією для вирішення необхідних завдань, шляхом:
a. визначення необхідних компетенцій для персоналу, який виконує роботу, що робить вплив на СУІБ;
b. надання навчання або прийняття інших заходів для задоволення цих потреб;
c. оцінки ефективності вжитих заходів; і
d. ведення записів про освіту, навчання, навички, досвід і кваліфікаціях.
ВНУТРІШНІ АУДИТИ СУІБ
Організація повинна проводити внутрішні аудити СУІБ через заплановані інтервали часу з метою перевірки того, що цілі контролю, механізми контролю, процеси та процедури СУІБ:
a. відповідають вимогам цього Міжнародного стандарту, а також відповідним вимогам законодавчої або нормативної бази;
b. відповідають ідентифікованим вимогам інформаційної безпеки;
c. ефективно реалізовані і супроводжуються; і
d. виконуються, як очікувалося.
.
• Програма аудиту повинна бути спланована з урахуванням статусу та важливості процесів і областей, що перевіряються, а також результатів попередніх аудитів.
• Повинні бути визначені критерії, область, частота і методи проведення аудиту.
• Вибір аудиторів і проведення аудитів повинні гарантувати об'єктивність та неупередженість процесу аудиту. Аудитори не повинні здійснювати аудит своєї роботи.
• Керівництво, що несе відповідальність за ділянку аудиту, повинно забезпечити вжиття заходів без невиправданих затримок з метою усунення виявлених невідповідностей та їх причин.
• Дії щодо вдосконалення повинні включати в себе перевірку запроваджених дій і надання звіту про результати перевірки.
АНАЛІЗ СУІБ КЕРІВНИЦТВОМ
Загальні положення
Керівництво повинно аналізувати СУІБ організації через заплановані інтервали часу, щоб переконатися в її постійної придатності, адекватності та ефективності.
Ці перевірки повинні включати в себе оцінку можливостей для удосконалення та необхідності внесення змін до СУІБ, включаючи політику інформаційної безпеки і цілі інформаційної безпеки.
Вхідні дані для аналізу
Вхідні дані для аналізу СУІБ керівництвом повинні включати в себе наступну інформацію:
a. результати аудитів та аналізу СУІБ;
b. відгуки зацікавлених сторін;
c. методики, продукти і процедури, які могли б використовуватися в організації для підвищення продуктивності і ефективності СУІБ;
d. статус превентивних і коригуючих заходів;
e. вразливості або загрози, які не були в достатній мірі враховані під час попередньої оцінки ризиків;
f. результати вимірів ефективності;
g. заходи, вжиті за результатами попередніх аналізів СУІБ керівництвом;
h. будь-які зміни, які могли б вплинути на СУІБ;
i. рекомендації щодо вдосконалення.
Вихідні дані аналізу
Вихідні дані за результатами аналізу СУІБ керівництвом повинні включати в себе будь-які рішення і заходи, що відносяться до наступного:
c. Внесення необхідних змін в процедури і механізми контролю, що впливають на інформаційну безпеку, у відповідь на внутрішні або зовнішні події, які можуть вплинути на СУІБ, включаючи зміни в:
вимоги бізнесу;
вимоги безпеки;
бізнес процесах, які впливають на існуючі вимоги бізнесу;
вимоги нормативної чи законодавчої бази;
контрактних зобов'язаннях; і
рівнях ризику і / або критерії прийняття ризиків.
d. Потреби в ресурсах
b. Коригування плану оцінки та плану оброблення ризиків;
e. Удосконалення методів вимірювання ефективності механізмів контролю.
a. Підвищення ефективності СУІБ.
УДОСКОНАЛЕННЯ СУІБ
Безперервне вдосконалення
Організація повинна безперервно підвищувати ефективність СУІБ шляхом використання політики інформаційної безпеки, цілей безпеки, результатів аудиту, аналізу відслідковуються подій, коригувальних і превентивних заходів і аналізу з боку керівництва
Коригувальні заходи
Організація повинна вживати заходів щодо усунення причин невідповідностей вимогам СУІБ з метою запобігання їх повторень.
Методичний документ щодо реалізації коригувальних заходів повинен визначати вимоги для:
a. ідентифікації невідповідностей;
b. визначення причин невідповідностей;
c. оцінки необхідності вжиття заходів щодо попередження невідповідності не виникатимуть повторно;
d. визначення та реалізація необхідних коригувальних заходів;
e. протоколювання результатів вжитих заходів;
f. аналіз виконаних коригувальних заходів.
Превентивні заходи
Заходи, що вживаються превентивні, повинні визначати відповідно до наслідків потенційних проблем.
Методичний документ щодо реалізації превентивних заходів повинен визначати вимоги для:
a. ідентифікації потенційних невідповідностей та їх причин;
b. оцінки необхідності вжиття заходів для запобігання виникненню невідповідностей;
c. визначення і реалізації необхідних превентивних заходів;
d. протоколювання результатів вжитих заходів;
e. аналізу вжитих превентивних заходів.
Організація повинна визначити заходи щодо усунення причин потенційних невідповідностей вимогам СУІБ з метою запобігання їх виникнення.
Організація повинна ідентифікувати змінилися ризики і вимоги до превентивних заходів, зосередивши увагу на суттєво змінилися ризики.
Пріоритетність превентивних заходів повинна визначатися на основі результатів оцінки ризиків.