ГОСТ Р ИСО/МЭК 27003—2012
6.6 Разработка политики СМИБ и получение одобрения руководства
Действия
Необходимо разработать политику СМИБ и получить одобрение руководства.
Исходные данные:
a) выходные данные действия 6.5. объединение всех областей действия и границ для получения
области действия и границ СМИБ — документированная область действия и границы СМИБ;
b
) выходныеданные действия 5.2. определение приоритетов организации для разработки СМИБ —
документированные цели внедрения СМИБ;
c) выходные данные действия 5.4. составление описания случая применения СМИБ для данного
предприятия и проекта плана для утверждения руководством — документы:
1 Требования и приоритеты организации вобласти информационной безопасности;
2 Первоначальный проект плана внедрения СМИБ с основными этапами,такими как проведение оценки
риска, внутренний аудит и проверка, осуществляемая руководством.
Рекомендации
При определении политики СМИБ следует принять во внимание следующие аспекты:
a) установить цели СМИБ на основе требований и приоритетов организации вобласти информацион
ной безопасности;
b
) установить общие фокусные точки и руководства к действию для достижения целей СМИБ;
c) учесть законные обязательные требования организации и договорные обязательства, связанные с
информационной безопасностью;
d) ситуация с управлением рисками ворганизации;
e) установить критериидля оценки рисков (см. ISO/IEC 27005:2008) и определения структуры оценки
риска;
О определить сферы ответственности руководителей высшего уровня вотношении СМИБ:
д) получить одобрение руководства.
Выходные данные
Выходныеданные представляют собой документ, описывающий и документирующий утверхеденную
руководством политику СМИБ. Этотдокумент должен быть повторно утвержден в следующей фазе проек
та. поскольку зависит от результатов оценки риска.
Дополнительная информация
Стандарт ISO/IEC 27005:2008 содержит дополнительную информацию по критериям оценки риска.
7 Проведение анализа требований к информационной безопасности
7.1 Общее описание проведения анализа требований к информационной безопасности
Анализ текущего положения в организации важен, поскольку существуют требования и информаци
онные активы, которые необходимо принять во внимание при внедрении СМИБ. Действия, описываемые в
этой фазе, могут предприниматься в основном параллельно с действиями, описываемыми в разделе 6. из
соображений эффективности и практичности.
Цели:
Определить соответствующие требования, которымдолжна соответствовать СМИБ, определить ин
формационныеактивы и получитьданные по текущему состоянию информационной безопасности врамках
области действия СМИБ
ISO/IEC 27001:2005, ссылки: 4.2.1. с),1) частично. 4.2.1, d), 4.2.1. е)
Информация, собранная в процессе анализа информационной безопасности, должна:
a) стать основной для управления {т. е. должна иметь корректные базовыеданные);
b
) определять и документироватьусловия для внедрения СМИБ;
c) обеспечивать четкое и обоснованное понимание возможностей организации.
d)учитывать определенные обстоятельства и положение в организации;
е)определять требуемый уровень защиты информации;
Оопределять сбор и обработкуинформации, требуемыедля всего предприятия или егочасти, находя
щейся в рамках предложенной области действия СМИБ.
16