Please enable JavaScript.
Coggle requires JavaScript to display documents.
Методи забезпечення безпеки - частина 2 (ISO 21001) - Петленко М. С. -…
Методи забезпечення безпеки - частина 2
(ISO 21001) - Петленко М. С.
ВІДПОВІДАЛЬНІСТЬ КЕРІВНИЦТВА
Керівництво повинно продемонструвати свою прихильність створенню,
впровадженню, експлуатації, моніторингу, аналізу, супроводу і вдосконалення
СУІБ, шляхом:
створення політики СУІБ;
забезпечення наявності цілей та планів СУІБ;
визначення ролей і відповідальності за інформаційну безпеку;
повідомлення організації про важливість досягнення цілей інформаційної безпеки та відповідності політиці інформаційної безпеки, її відповідальності перед законом і необхідність безперервного вдосконалення;
виділення достатніх ресурсів для розробки, впровадження, експлуатації, моніторингу, аналізу, супроводу і вдосконалення СУІБ;
прийняття рішення про критерії прийняття ризиків і допустимому рівні ризику;
забезпечення проведення внутрішніх аудитів СУІБ;
проведення аналізу СУІБ з боку керівництва.
Управління ресурсами
Виділення ресурсів
Організація повинна визначити і виділити ресурси, необхідні для створення, впровадження, експлуатації, моніторингу, аналізу, супроводу і вдосконалення СУІБ;
...необхідні для забезпечення підтримки вимог бізнесу процедурами інформаційної безпеки;
...необхідні для визначення і врахування вимог законодавства та нормативної бази, а також контрактних зобов'язань щодо забезпечення безпеки;
...необхідні для підтримання достатнього рівня безпеки шляхом правильного застосування всіх реалізованих механізмів контролю;
...необхідні для проведення перевірок, у разі необхідності, і відповідного реагування на результати цих перевірок;
...необхідні для там, де це необхідно, підвищення ефективності СУІБ.
Навчання, поінформованість та компетентність
Організація повинна переконатися в тому, що весь персонал, на який покладено визначається в СУІБ відповідальність, володіє необхідною компетенцією для вирішення необхідних завдань
визначення необхідних компетенцій для персоналу, який виконує роботу, що робить вплив на СУІБ;
надання навчання або прийняття інших заходів (наприклад, наймання компетентного персоналу) для задоволення цих потреб;
оцінки ефективності вжитих заходів;
ведення записів про освіту, навчання, навички, досвід і кваліфікаціях.
ВНУТРІШНІ АУДИТИ СУІБ
Організація повинна проводити внутрішні аудити СУІБ через заплановані інтервали часу з метою перевірки того, що цілі контролю, механізми контролю, процеси та процедури СУІБ:
відповідають вимогам цього Міжнародного стандарту, а також відповідним вимогам законодавчої або нормативної бази;
відповідають ідентифікованим вимогам інформаційної безпеки;
ефективно реалізовані і супроводжуються; і
виконуються, як очікувалося.
Програма аудиту повинна бути спланована з урахуванням статусу та важливості процесів і областей, що перевіряються, а також результатів попередніх аудитів
Відповідальність і вимоги щодо планування та проведення аудитів, а також до надання звітів за результатами і ведення записів повинні бути визначені в документованої процедурою.
Керівництво, що несе відповідальність за ділянку аудиту, повинно забезпечити вжиття заходів без невиправданих затримок з метою усунення виявлених невідповідностей та їх причин.
АНАЛІЗ СУІБ КЕРІВНИЦТВОМ
Керівництво повинно аналізувати СУІБ організації через заплановані інтервали часу, щоб переконатися в її постійної придатності, адекватності та ефективності. Ці перевірки повинні включати в себе оцінку можливостей для удосконалення та необхідності внесення змін до СУІБ, включаючи політику інформаційної безпеки і цілі інформаційної безпеки. Результати перевірок повинні бути чітко задокументовані, а також повинні вестися записи
Вхідні дані для аналізу СУІБ керівництвом повинні включати в себе
наступну інформацію:
результати аудитів та аналізу СУІБ;
відгуки зацікавлених сторін;
методики, продукти і процедури, які могли б використовуватися в організації для підвищення продуктивності і ефективності СУІБ;
статус превентивних і коригуючих заходів;
вразливості або загрози, які не були в достатній мірі враховані під час попередньої оцінки ризиків;
результати вимірів ефективності; g. заходи, вжиті за результатами попередніх аналізів СУІБ керівництвом;
будь-які зміни, які могли б вплинути на СУІБ; i. рекомендації щодо вдосконалення.
Вихідні дані за результатами аналізу СУІБ керівництвом повинні
включати в себе будь-які рішення і заходи, що відносяться до наступного:
a. Підвищення ефективності СУІБ.
b. Коригування плану оцінки та плану оброблення ризиків;
c. Внесення необхідних змін в процедури і механізми контролю, що впливають на інформаційну безпеку, у відповідь на внутрішні або зовнішні події, які можуть вплинути на СУІБ, включаючи зміни в:
вимоги бізнесу;
вимоги безпеки;
бізнес процесах, які впливають на існуючі вимоги бізнесу;
вимоги нормативної чи законодавчої бази;
контрактних зобов'язаннях;
рівнях ризику і / або критерії прийняття ризиків.
d. Потреби в ресурсах.
e. Удосконалення методів вимірювання ефективності механізмів контролю.
УДОСКОНАЛЕННЯ СУІБ
Організація повинна безперервно підвищувати ефективність СУІБ шляхом використання політики інформаційної безпеки, цілей безпеки, результатів аудиту, аналізу відслідковуються подій, коригувальних і превентивних заходів і аналізу з боку керівництва
Організація повинна вживати заходів щодо усунення причин невідповідностей вимогам СУІБ з метою запобігання їх повторень. Методичний документ щодо реалізації коригувальних заходів повинен визначати вимоги для:
ідентифікації невідповідностей;
визначення причин невідповідностей;
оцінки необхідності вжиття заходів щодо попередження невідповідності не виникатимуть повторно;
визначення та реалізація необхідних коригувальних заходів;
протоколювання результатів вжитих заходів;
аналіз виконаних коригувальних заходів.
Організація повинна визначити заходи щодо усунення причин потенційних невідповідностей вимогам СУІБ з метою запобігання їх виникнення. Заходи, що вживаються превентивні, повинні визначати відповідно до наслідків потенційних проблем. Методичний документ щодо реалізації превентивних заходів повинен визначати вимоги для:
ідентифікації потенційних невідповідностей та їх причин;
оцінки необхідності вжиття заходів для запобігання виникненню невідповідностей;
визначення і реалізації необхідних превентивних заходів;
протоколювання результатів вжитих заходів;
аналізу вжитих превентивних заходів.