ГОСТ Р ИСО ТО 13569— 2007
ности. со страховой компанией, что должно привести к созданию более эффективной программы обеспече
ния информационной безопасности и более эффективному использованию страховых премий.
Страховые компании могут потребовать, чтобыдо того, какстраховое требование было удовлетворе
но, были осуществлены определенные меры управления, называемые «условиями до наступления ответ
ственности или предшествующими условиями». «Условиядо наступления ответственности» часто связаны
с мерами управления информационной безопасности. Поскольку эти меры управления используются для
страховых целей, они должны быть включены в программу обеспечения информационной безопасности
организации. Может также потребоваться гарантирование некоторых мер управления, т. е. демонстрация
того, что они постоянно присутствовали с момента принятия политики.
Страховая компенсация прерываний бизнес-процесса и. в частности, ошибок и невыполнений,долж
на быть включена в планирование обеспечения информационной безопасности.
12.2 Аудит
Приведенная ниже цитата из «Заявления Института внутренних аудиторов» [32] определяет роль ауди
тора следующим образом: «Внутренний аудит является независимой и объективной деятельностью по
консультированию и обеспечению доверия, предназначенной для придания значимости операциям органи
зации и их совершенствованию, что содействуеторганизации вдостижении ее целей путем введения сис
тематического и упорядоченного подхода коцениванию и повышению эффективности процессов менедж
мента риска, контроля и управления. При внутреннем аудите проверяется надежность и целостность ин
формации. соответствие политикам и положениям, защита активов, экономное и эффективное использова
ние ресурсов и действующие оперативные задачи и цели».
Говоря конкретнее, в сфере информационной безопасности аудиторы должны оценивать и тестиро
вать защитные меры информационных активовфинансового учреждения и постоянно взаимодействовать с
работниками службы информационной безопасности и другими лицами для выработки соответствующих
перспектив идентификации угроз и рисков, а также адекватности защитных мер для существующей и но
вой продукции.
Аудиторы должны предоставлять руководству объективные отчеты о состоянии среды управления,
рекомендовать усовершенствования, которые могут бытьоправданы необходимостью и анализом стоимо
сти иэффективности, и предписывать порядок хранения и анализа информации журнала регистрации. В тех
случаях, когда функция аудиторской проверки объединяется сдругими функциями, для минимизации воз
можности конфликта интересов требуется особое внимание руководства.
12.3 Планирование восстановления деятельности организации после ее прорывания
Важной частью программы обеспечения информационной безопасности является план по продолже
нию критического бизнеса вслучае его прерывания. Восстановление деятельности организации после ее
прерывания является частью планирования возобновления бизнеса, которое гарантирует быстрейшее вос
становление информации и средств обработки информации. В плане восстановления деятельностьоргани
зации после ее прерыванияопределена совокупностью факторов воздействия, против которых необходимо
обеспечить защиту, и функциями и обязанностями персонала в условиях прерывания.
План восстановления бизнеса после его прерывания должен включать в себя точный список дей
ствий. которые считаются наиболее важными, предпочтительно с категориями приоритета, а также периоды
времени восстановления, являющиеся адекватными для выполнения бизнес-обязательстворганизации. В
плане восстановления бизнеса должны быть определены запасные помещения для замены, обеспечиваю
щие критически важную деятельность организации.
В случае неспособности персонала организации содействовать восстановлению деятельности орга
низации после прерывания необходимо определить замещающий персонал, способный восстановить и
эксплуатировать ресурсы обработки информации. По возможности, организациядолжна стараться заклю
чить соглашения с поставщиками услуг об их приоритетном восстановлении. План восстановления дея
тельности организации после ее прерывания должен обеспечиватьдоступность адекватных дублирующих
информационных систем, способных своевременно обнаруживать и извлекать критическую информацию.
Важно, чтобы в плане восстановления деятельности организации после его прерывания была опреде
лена информация, подлежащая резервированию, и былообеспечено безопасное хранение этой информа
ции по установленной программе. Необходимо также определить местоположение хранения информации с
учетом требований локального и удаленного расположения организации.
План восстановления после бедствиядолжен проверяться по мере необходимостидля обнаружения
проблем и продолжения обучения персонала в процессе его деятельности. Должна проводиться периоди
ческая переоценка плана восстановления после прерывания бизнеса с целью проверки его актуальности.
Организация должна определить минимальную периодичность проведения какпроверок, так и переоценки
восстановления после прерывания бизнеса.
31