Шрифт:
Компетенции
Организация должна:
– определять необходимую компетентность персонала, который самостоятельно выполняет работу, что влияет на результативность ИБ;
– обеспечить то, что этот персонал обладает необходимыми компетенциями на основе соответствующего обучения, тренингов или опыта;
– при необходимости принять меры для получения необходимых компетенций и оценить эффективность принятых мер;
– сохранять соответствующую документированную информацию в качестве доказательств наличия компетенций.
Соответствующие меры могут включать, например, проведение тренинга, наставничество или переаттестацию действующих сотрудников; или наем / привлечение по контракту компетентных лиц.
Осведомленность
Персонал, выполняющий работы в рамках организации, должен быть осведомлен:
– о политике ИБ;
– о вкладе в повышение результативности СУИБ, включая выгоды от улучшения состояния ИБ;
– о последствиях в результате не выполнения требований СУИБ.
Коммуникации
Организация должна определить необходимые внутренние и внешние коммуникации, относящиеся к СУИБ, включая:
– о чем сообщать;
– когда сообщать;
– кому сообщать;
– кто должен участвовать в коммуникациях;
– процессы осуществления коммуникаций.
Документированная информация
СУИБ организации должна включать документированную информацию:
– требуемую настоящим стандартом;
– определенную организацией в качестве необходимой для обеспечения результативности СУИБ.
Степень (детализация) документированной информации для СУИБ одной организации может отличаться от другой в зависимости от:
– размера организации и ее вида деятельности, процессов, продуктов и услуг;
– сложности процессов и их взаимодействия;
– компетенции персонала.
При создании и обновлении документированной информации организация должна обеспечить соответствующее:
– идентификацию и описание (например: название, дата, автор или ссылка);
– оформление (например: язык, версия ПО, рисунки) и тип носителя (например: электронный, бумажный);
– рассмотрение и утверждение на предмет пригодности для применения и адекватности.
Документированная информация СУИБ должна управляться для обеспечения:
– доступности и пригодности для использования;
– адекватной защиты (например: от потери конфиденциальности, неправильного использования или потери целостности).
Для управления документированной информацией организация должна рассмотреть следующие мероприятия (где применимо):
– распространение информации, доступ, восстановление и использование;
– хранение и сохранность, в том числе сохранение удобочитаемости;
– контроль изменений (например, управление версиями);
– архивирование и уничтожение.
Документированная информация внешнего происхождения, определенная организацией в качестве необходимой для планирования и функционирования СУИБ, должна соответствующим образом определяться и управляться.
Доступ предполагает принятия решения о доступе только на просмотр документированной информации или предоставлении полномочий для просмотра и внесения изменений в документированной информации и т. д.
8. Эксплуатация (2-й этап «РDСА»)
Этап эксплуатации СУИБ обеспечивают следующие мероприятия:
– оперативное планирование и контроль;
– оценка рисков ИБ;
– обработка рисков ИБ.
Оперативное планирование и контроль
Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований ИБ и реализации действий по обработке рисков и возможностей. Организация также должна выполнять планы по достижению целей ИБ.
Организация должна сохранять документированную информацию в объеме, необходимом для получения уверенности в том, что процессы осуществляются так, как запланировано.
Организация должна управлять планируемыми изменениями и рассматривать последствия случайных изменений, принимать меры по смягчению неблагоприятных последствий при необходимости.