ГОСТ Р ИСО/МЭК 13335-1 — 2006
Обеспеченно безопасности ИТТ — постоянный процессе множеством обратных связей внутри и меж
ду фазами жизненного цикла системы ИТТ. В большинстве случаев существует обратная связь между и
внутри всех основных составляющих процесса обеспечения безопасности ИТТ. Связьдолжна обеспечи
вать непрерывный поток информации об уязвимостях, угрозах и защитных мерах в системе безопасности
ИТТ на протяжении всехфазжизненного цикла системы ИТТ.
Каждое направление бизнеса организации можеттакжеопределятьуникальные требования безопас
ности ИТТ. Такие направлениядолжны взаимно поддерживатьдругдруга, общий процесс безопасности
ИТТ должен обеспечивать обмен информацией об аспектах безопасности в целях ее использованиядля
процесса принятия решения руководством.
6 Функции управления безопасностью информационно
телекоммуникационными технологиями
6.1 Общие вопросы
Для успешного управления безопасностью ИТТ требуется применение видов деятельности, некото
рые из которых осуществляют в соответствии со следующим циклом:
а) планирование:
1) определение организацией требований по безопасности ИТТ,
2) определение организацией целей, стратегий и политик безопасности ИТТ,
3) установление обязанностей и ответственности в рамкахорганизации.
4) разработка плана по безопасности ИТТ.
5) оценка рисков.
6) решение об обработке риска и выборе защитных мер,
7) планирование непрерывности бизнеса;
б) реализация:
1) создание защитных мер.
2) одобрение ИТТ.
3) разработка и выполнение программы осведомленности персонала о безопасности.
4) аудит-функционирование защитных мер:
в) эксплуатация и поддержка:
1) контроль конфигурации и управление изменениями,
2) управление непрерывностью бизнеса.
3) анализ, аудит и мониторинг, а также проверка соответствия безопасности заявленным тре
бованиям.
4) управление инцидентами безопасности информации.
6.2 Внешние условия
При управлении функциональнойдеятельностью вобласти безопасности необходимо учитывать вне
шнюю среду, в которой действует организация, поскольку она может оказывать значительное влияние на
общий подход к организации информационной безопасности. В некоторых случаях обеспечение информа
ционной безопасности является прерогативой государства, которое определяетобязанности иответствен
ность путем принятия и ввода вдействие законов. Вдругих случаях ответственность возлагается на соб
ственника или менеджера. В связи сэтим может существенно меняться подход кбезопасности ИТТ-орга-
низации.
6.3 Управление рисками
Процесс управления рисками должен быть непрерывным. В новых системах и в системах, находя
щихся на стадии планирования, упраление рисками должно быть частью процесса конструирования и
разработки. В уже существующих системах управление рисками должно осуществляться в любой подхо
дящий момент. При процессе планирования значительных изменений в системах управление рисками
должно быть частью этого процесса идолжно учитывать все системы внутри организации, а не применять
ся только к конкретной изолированной системе.
17