ГОСТ Р ИСО ТО 13569-2007; Страница 20

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 52992-2008 Колбасы полукопченые для детского питания. Технические условия Semi-smoked sausages for children's nutrition. Specifications (Настоящий стандарт распространяется на полукопченые колбасы, предназначенные для питания детей старше шести лет) ГОСТ Р 52958-2008 Шкурки меховые и овчины выделанные. Правила приемки, методы отбора образцов и подготовка их для контроля Dressed fur and sheеpskins. Rules of acceptance, methods of sampling and their preparation for control (Настоящий стандарт распространяется на выделанные меховые шкурки, овчины и меховые изделия и устанавливает правила приемки, методы отбора образцов для механических и физико-химических испытаний и подготовку их для контроля) ГОСТ Р ИСО 13397-4-2008 Стоматологические кюретки, инструменты для снятия зубных отложений и экскаваторы. Часть 4. Стоматологические экскаваторы – дисковидный тип. Конструкция и размеры. Методы испытаний Dental curettes, scalers and excavators. Part 4. Dental excavators - discoid type. Construction and sizes. Test methods (Настоящий стандарт устанавливает размеры для стоматологических экскаваторов с дисковидными рабочими частями)

Страница 20

Страница 1

Untitled document

ГОСТ Р ИСО ТО 13569 —2007

6.2 Создание программы

Наиболее важная рекомендация настоящего стандарта состоит в том. чтобы организации создавали

свою программу обеспечения информационной безопасности. Эта программадолжна исходить из полити

ки, установленнойдля организации на высшем уровне руководства. Программа обеспечения информаци

онной безопасности должна предусматривать разработку и поддержку детальных процессов обеспечения

безопасности в масштабе организации, совместимых с политикой.

Для разработки детальных процедур и процессов обеспечения информационной безопасности может

потребоваться координация различных бизнес-функций организации (включая аудит, менеджмент риска),

соответствие требованиям страхования, а также координациядействий работниковорганизации, отвечаю

щих за нормативное и правовое соответствие, партнеров и клиентов.

6.3 Осведомленность

Программа улучшения осведомленности о безопасностидолжна включать всебя функцию обучения

и улучшения осведомленности о безопасности, гарантирующуюдостаточную осведомленность и бдитель

ность всех работников в отношении своих действий и действий окружающих их людей с учетом послед

ствий для безопасности. Программа улучшения осведомленности о безопасности должна бытьструктури

рована для поддержания осведомленности работников о своих обязанностях, связанных с безопасностью,

предоставлять ресурсы и поощрять лиц, интересующихся вопросами обеспечения безопасности с целью

расширения их знаний.

6.4 Анализ

Одно или несколькодолжностных лиц организации должны быть назначены ответственными за про

грамму обеспечения информационной безопасности. Установленные в программе практические приемы

обеспечения информационной безопасности должны быть основанием для анализа и обновления програм

мы. а при появлении новых угроз и уязвимостей — обеспечивать предоставление необходимых инвести

ций для защитных мер. Программа должна включать в себя подробные процессы и процедуры, устанавли

вающие отчетность и ответственностьза определение надежности программы обеспечения информацион

ной безопасности и ее соответствие всем требованиям, и доклад об этом.

Все отчеты об анализе и мониторинге должны быть доступны руководству всех уровней, включая

исполнительное руководство. Необходимо идентифицировать и документировать процедуры рассмотрения

любых исключений из политики или отклонений от нее. Также должны существовать процедуры создания

необходимых записей результатов аудита и записей о соответствии требованиям безопасности, а также

мониторинга безопасности информации журналов аудита. Особое внимание следует уделить идентифика

ции рисковдля информации журналов аудита и требованиям, установленным для снижения этих рисков,

гарантии адекватности защиты информационных активов.

6.5 Менеджмент инцидентов

Обо всех событиях информационной безопасности следует быстро сообщать, документировать их и

разрешать их всоответствии с практическими приемами организации. Если нежелательные или неожидан

ные события информационной безопасности имеют высокий показатель вероятности компрометации биз

нес-операций и создания угрозы для информационной безопасности, они становятся инцидентами инфор

мационной безопасности, подлежащими изучению. Как инциденты, так и события информационной безо

пасностидолжны использоваться специалистами всфере безопасности при повторной оценке ими риска и

выборе и внедрении мер управления безопасностью. События и инциденты должны использоваться при

последующем улучшении программы обеспечения информационной безопасности.

6.6 Мониторинг

Необходимо создать формальные процессы оповещения о вторжениях, неправильном срабатывании

систем и других инцидентах безопасности, а также о результатах расследования инцидентов безопасности.

Результаты документирования менеджмента инцидентов должны использоваться в процессе анализа с

целью оказания влияния на разработку защитных мер, а также инициирования переоценки и изменения с

течением времени мер управления, используемыхдля обеспечения защиты активов.

6.7 Соответствие требованиям

Независимый анализдолжен обеспечивать соответствие практических приемоворганизации установ

ленной политике и адекватность и эффективность мер управления. Все разрешенные отступления от поли

тики для проведения их периодических переоценокдолжны документироваться и ограничиваться во вре

мени.

6.8 Поддержка

Все установленные защитные средства, такие, как межсетевые экраны и программные средства об

наружения вирусов, должны регулярно обновляться с целью поддержания их эффективности в отношении

новых возникающих угроз.