ГОСТ Р ИСО/МЭК 27003—2012
Исходные данные:
a) выходные данные действия 5.3.1. разработка предварительной области действия СМИБ;
b
)списокзаинтересованных сторон, которые получат выгоду в результате реализации проекта СМИБ.
Рекомендации
Для осуществления проекта СМИБ необходимо определить роль организации в реализации проекта.
Эта рольобычно различается в разных организациях, что обусловлено количеством людей, имеющих дело
с информационной безопасностью. Организационная структура и ресурсы для обеспечения информацион
ной безопасности различаются в зависимости от размера, типа и структуры организации. Например, в не
больших организациях несколько функций может выполнять один человек. Однако руководство организа
ции должно однозначно определить его роль (обычно начальникотдела информационной безопасности,
управляющий по информационной безопасности и т.л.) с полнойответственностью за менеджмент инфор
мационной безопасности, а для сотрудников должны быть определены роли и сферы ответственности на
основе квалификации, требуемойдля выполняемой работы. Это важно для обеспечения эффективного вы
полнения задач.
Наиболее важными соображениями при определении ролей в области менеджмента информационной
безопасности являются следующие:
a) полная ответственность за выполнение задач остается на уровне руководства;
b
)одно лицо (обычно начальник отдела информационной безопасности) назначается для содействия
и координации процессов обеспечения информационной безопасности:
c) каждый работник несет равную ответственность за выполнение своей первоначальной задачи и
обеспечение информационной безопасности на рабочем месте и ворганизации.
Должностные лица, занятые вменеджменте информационной безопасности,должны работать совме
стно; этому может содействовать создание форума по информационной безопасности или аналогичного
органа.
Необходимо осуществлять (и документировать) взаимодействие с соответствующими специалиста
ми предприятия на всех этапах разработки, внедрения, использования и поддержания СМИБ.
Представители подразделений, входящих в определенную область действия системы (например,
менеджмент риска), являются потенциальными членами группы по внедрению СМИБ. Эта группа должна
иметь минимально необходимую с практической точки зрения численностьдля быстрого и эффективного
использования ресурсов. В эту группу могут входить не только представители подразделений, выполняю
щих задачи вопределенной области действия системы (например, вобласти менеджмента риска), которые
являются потенциальными членами группы по внедрению СМИБ. но также и представителидругих подраз
делений. например юридического отдела, административного отдела. Эта группа должна иметь минималь
но необходимую с практической точки зрения численность для быстрого и эффективного использования
ресурсов.
Выходные данные
Выходные данные представляют собой документ или таблицу, описывающую роли и сферы ответ
ственности с указанием имен и организацию, необходимую для успешного внедрения СМИБ.
Дополнительная информация
В Приложении В представлена подробная информация по ролям и сферам ответственности, необхо
димым в организации для успешного внедрения СМИБ.
5.4 Разработка технического обоснования и плана проекта для получения санкции
руководства
Действия
Одобрение руководства и выделение ресурсов для реализации проекта внедрения СМИБ должны
быть получены путем определения случая применения СМИБ для данного предприятия и предложения
проекта СМИБ.
Исходные данные:
a) выходные данныедействия 5.2. определение приоритетов организации для разработки СМИБ:
b
) выходныеданные действия 5.3. определение предварительной области действия СМИБ — доку
менты предварительные.
1Область действия СМИБ и
2 Связанные с ней роли и сферы ответственности.
9