Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников
Чтение книги онлайн.
Читать онлайн книгу Управление информационной безопасностью. Стандарты СУИБ - Вадим Гребенников страница 14
– архивирование и уничтожение.
Документированная информация внешнего происхождения, определенная организацией в качестве необходимой для планирования и функционирования СУИБ, должна соответствующим образом определяться и управляться.
Доступ предполагает принятия решения о доступе только на просмотр документированной информации или предоставлении полномочий для просмотра и внесения изменений в документированной информации и т. д.
8. Эксплуатация (2-й этап «РDСА»)
Этап эксплуатации СУИБ обеспечивают следующие мероприятия:
– оперативное планирование и контроль;
– оценка рисков ИБ;
– обработка рисков ИБ.
Оперативное планирование и контроль
Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований ИБ и реализации действий по обработке рисков и возможностей. Организация также должна выполнять планы по достижению целей ИБ.
Организация должна сохранять документированную информацию в объеме, необходимом для получения уверенности в том, что процессы осуществляются так, как запланировано.
Организация должна управлять планируемыми изменениями и рассматривать последствия случайных изменений, принимать меры по смягчению неблагоприятных последствий при необходимости.
Организация должна обеспечить, что переданные на аутсорсинг процессы определены и управляются.
Оценка рисков ИБ
Организация должна выполнять оценку рисков ИБ через запланированные интервалы времени, либо в случае предполагающихся или уже происходящих существенных изменений, с учетом установленных критериев.
Организация должна сохранять документированную информацию о результатах оценки рисков ИБ.
Обработка рисков ИБ
Организация должна реализовать план обработки рисков ИБ. Организация должна сохранять документированную информацию о результатах обработки рисков ИБ.
9. Оценка результативности (3-й этап «РDСА»)
Этап оценки результативности СУИБ обеспечивают следующие мероприятия:
– мониторинг, измерение, анализ и оценка;
– внутренний аудит;
– анализ со стороны руководства.
Мониторинг, измерение, анализ и оценка
Организация должна оценивать состояние ИБ и результативность СУИБ.
Организация должна определить:
– что необходимо отслеживать и измерять, в том числе процессы ИБ и элементы управления;
– методы мониторинга, измерения, анализа и оценки, в зависимости от обстоятельств, в целях обеспечения достоверных результатов;
– когда должны проводиться действия по мониторингу