– ISO/IЕС 27002 – правила СУИБ.

Рекомендации: Документация по СУИБ должна включать записи решений руководства, обеспечивать возможность отслеживания действий для принятия решений и разработки политики руководством и воспроизводимость записанных результатов.

Необходимо осуществлять управление документами СУИБ и сделать их доступными персоналу. Эти действия включают:

– учреждение административной процедуры управления документами СУИБ;

– подтверждение соответствия формата документов перед изданием;

– обеспечение определения изменений и текущего состояния редакций документов;

– защита и контроль документов как информационных активов организации.

Также требуется сохранять записи состояния внедрения системы для всей фазы «PDCA», а также записи об инцидентах и событиях ИБ, записи об обучении, навыках, опыте и квалификации, внутреннем аудите СУИБ, корректирующих и предупреждающих действиях и организационные записи.

Для контроля записей необходимо выполнить следующие задачи:

– документировать меры и средства контроля и управления, требуемые для идентификации, хранения, защиты, поиска и удаления данных, и документировать продолжительность хранения;

– определить, что и в какой степени должно записываться в процессах управления организацией;

– если соответствующим законодательством определен какой-либо период хранения, он должен быть установлен в соответствии с этими требованиями.

Выходные данные:

– документ, описывающий требования к записям СУИБ и контролю документации;

– хранилища и шаблоны требуемых записей СУИБ.

5.1.3. Разработка политики ИБ

Необходимо документировать стратегическую позицию руководства и администрации, связанную с целями ИБ в отношении использования СУИБ.

Исходные данные:

– выходные данные 1.1 – приоритеты организации для разработки СУИБ;

– выходные данные 1.3 – первоначально утвержденный проект СУИБ;

– выходные данные 2.4 – область действия и границы СУИБ;

– выходные данные 2.5 – политика СУИБ;

– выходные данные 3.1 – требования к ИБ для процесса СУИБ;

– выходные данные 3.2 – активы в рамках области действия СУИБ;

– выходные данные 3.3 – результаты оценки ИБ;

– выходные данные 4.2 – планы обработки рисков и инцидентов;

– выходные данные 4.3 – положение о применимости;

– выходные данные 5.1.1 – структура организации для ИБ;

– выходные данные 5.1.2 – основы документирования СУИБ;

– ISO/IЕС 27002 – правила СУИБ.

Рекомендации: Политика ИБ документирует стратегическую позицию организации в отношении ИБ во всей организации. Объем и структура политики ИБ должны подкреплять документы, которые используются на следующем этапе процесса для введения СУИБ.

Для больших организаций со сложной структурой (с широким спектром различных областей деятельности) может возникнуть необходимость создания общей политики и множества политик более низкого уровня, адаптированных к конкретным областям деятельности.

Предлагаемая политика (с номером версии и датой) должна быть подвергнута проверке и утверждена в организации руководством. Затем она доводится до сведения каждого работника организации надлежащим способом, чтобы стать доступной и понятной для читателей.

Выходные данные: Задокументированная и утвержденная руководством политика ИБ.

5.1.4. Разработка стандартов и процедур обеспечения ИБ

Исходные данные:

– выходные данные 2.4 – область действия и границы СУИБ;

– выходные данные 2.5 – политика СУИБ;

– выходные данные 4.2 – план обработки рисков,

– выходные данные 4.3 – положение о применимости;

– выходные данные 5.1.1 – структура организации для ИБ;

– выходные данные 5.1.2 – основы документирования СУИБ;

– выходные данные 5.1.3 – политики ИБ;

– ISO/IEC 27002 – правила СУИБ.

Рекомендации: В процессе разработки стандартов и процедур должны участвовать представители разных частей организации, попадающих в область действия системы СУИБ. Участники процесса должны иметь полномочия и являться представителями организации.