Создание и менеджмент СМЗИ (ISO/IEC 27001:2005(E)) 1. Для создания СМЗИ организация должна сделать следующее.
a) Определить область приложения и границы СМЗИ в терминах характеристик бизнеса, организации, ее местоположения, активов и технологий, также включая подробности и обоснования любых исключений из области применения. b) Определить политику в отношении СМЗИ в терминах характеристик бизнеса, организации, ее местоположения, активов и технологий, c) Определить подход к оценке риска в организации. d) Выявить риски. e) Проанализировать риск и оценить значительность риска. f) Выявить и оценить возможности для обработки рисков. g) Выбрать цели управления и средства управления для обработки риска. Цели управления и средства управления должны быть выбраны и реализованы, с целью удовлетворить требованиям, выявленным процессом оценки рисков и обработки рисков. Этот выбор должен учитывать критерии для принятия рисков, а также законодательные, нормативные и договорные требования. h) Получить утверждение руководства предлагаемого остаточного риска. i) Получить разрешение руководства на реализацию и работу СМЗИ. j) Подготовить Заявление о применимости. Должно быть подготовлено заявление о применимости.
2 Реализовать и эксплуатировать СМЗИ Организация должна сделать следующее. a) Сформулировать план обработки рисков, в котором были бы определены подходящие действия по менеджменту, ресурсы, ответственность и приоритеты для менеджмента рисками защиты безопасности. b) Реализовать план обработки рисков для того, чтобы достичь определенных целей управления, что включает в себя учет финансирования и распределения ролей и ответственности. c) Реализовать средства управления, с целью достичь целей управления. d) Определить, как измерять результативность выбранных средств управления или группы средств управления, а также определить, как эти измерения предстоит использовать для оценки результативности управления так, чтобы выдать сравнимые и воспроизводимые результаты. e) Осуществлять подготовку и программы повышения осведомленности. f) Осуществлять менеджмент эксплуатации СМЗИ. g) Управлять ресурсами для СМЗИ. h) Внедрить процедуры и другие средства управления, способные дать возможность быстрого обнаружения события в системе защиты информации и реакции на инциденты в системе защиты информации.
3. Постоянно контролировать и анализировать СМЗИ Организация должна сделать следующее. a) Выполнять процедуры постоянного контроля и анализа, и другие средства управления b) Предпринимать регулярный анализ результативности СМЗИ (включая соответствие политике и целям СМЗИ, а также анализ средств управления защитой), принимая во внимание результаты аудитов защиты, инциденты, результаты измерений результативности, предложения и обратную реакцию всех заинтересованных сторон. c) Измерять результативность средств управления для того, чтобы проверить, что требования защиты были удовлетворены. d) Анализировать оценки риска через запланированные интервалы и анализировать остаточные риски и определенные приемлемые уровни риска. e) Проводить внутренние аудиты СМЗИ через запланированные интервалы. f) Регулярно осуществлять анализ СМЗИ со стороны руководства, с целью гарантировать, что область применения остается адекватной, и выявляются улучшения в процессе СМЗИ. g) Обновлять планы защиты для того, чтобы учесть данные, полученные в ходе деятельности по постоянному контролю и анализу. h) Записывать действия и события, которые могли оказать негативное влияние на результативность или качество работы СМЗИ.
4 Поддерживать в рабочем состоянии и улучшать СМЗИ Организация должна регулярно делать следующее. a)Внедрять выявленные улучшения в СМЗИ. b)Осуществлять надлежащие корректирующие и предупреждающие действия. Применять уроки, полученные из опыта защиты других организаций, а также из опыта самой организации. c) Сообщать обо всех действиях и улучшениях всем заинтересованным сторонам с уровнем детальности, соответствующим обстоятельствам и, по значимости, согласовывать дальнейшие действия. d) Гарантировать, что улучшения достигают предполагаемых целей.
