ГОСТ Р ИСО/МЭК 27003—2012
c) выходные данные действия 8.2. проведение оценки риска — документы:
1Описание методологий оценки риска:
2 Результаты оценки риска;
d) выходныеданные действия 8.3, выбор целей и средств управления — план обработки риска.
Рекомендации
Для получения одобрения руководства необходимо подготовитьдокументы, описываемые какисход
ные данные для данного подпункта, и представить их на рассмотрение руководства для оценки и принятия
решения.
Подготовка декларации о применимости (SoA)должна быть включена какчасть работ по менеджмен
ту информационной безопасности. Уровеньдетализации, с которым определяются меры и средства контро
ля и управления, должен соответствовать требованиям, подкрепляющим утверждение СМИБ руководством
организации.
Необходимо получить одобрение высшего руководства для принятия решения о принятии остаточ
ных рисков, а также санкцию на фактическое использование СМИБ. Эти решения должны основываться на
оценке рисков и вероятности их возникновения в результате внедрения СМИБ. в сравнении с
рисками, возникающими в случае, когда система не применяется.
Выходные данные
Выходные данные этого действия следующие:
a) письменное уведомление об одобрении руководством внедрения СМИБ;
b
) принятие руководством остаточных рисков;
c) декларация о применимости, включая цели и выбранные меры и средства контроля и управления.
Дополнительная информация
Дополнительная специальная информация нетребуется.
9 Разработка СМИБ
9.1 Описание разработки СМИБ
На данном этапе должны быть разработаны рабочий проект СМИБ и планируемые действия по вне
дрению системы. Конечный проект СМИБдолжен быть уникальным вдеталях для конкретной организации в
зависимости от результатов предыдущих действий, а также результатов конкретных действий в фазе
разработки, описываемых вданном пункте.
Результатом выполнения данного пункта является конкретный конечный план проекта СМИБ. На ос
нове этого плана может быть запущен проектСМИБ ворганизации каксамая первая фаза осуществления
("DO’) цикла PDCA (Plan. Do. Check & Act — план, осуществление, проверка, действие), описываемого в
стандарте ISO/IEC 27001:2005.
Предполагается, что руководстводало поручение на внедрение СМИБ. которое определено воблас
ти действия и политике СМИБ. Предполагается, что информационные активы, а также результаты оценки
информационной безопасности доступны. Кроме того, должен бытьдоступен план обработки риска, описы
вающий риски, варианты обработки риска и определенные выбранные цели, а также меры и средства
контроля и управления.
Описываемая здесь разработка СМИБсосредоточена на внутренней структуре и требованиях СМИБ.
Следует отметить, что в определенных случаях разработка СМИБ может прямо или косвенно влиять на
разработку бизнес-процессов. Также следует отметить, что обычно требуется объединение компонентов
СМИБ ссуществовавшими ранее планами управления и инфраструктурой.
Цель
Составить конечный план внедрения СМИБ посредством разработки системы безопасности организа
ции на основе выбранных вариантов обработки риска, а также требований, касающихся записей и докумен
тов и разработки средств управления, объединяющих меры безопасности ИКТ. физические и
организаци онные процессы и разработку специальных требований для СМИБ.
ISO/IEC 27001: 2005, ссылка: 4.2.2, a)-«).h)
При разработке СМИБ следует принять во внимание следующие вопросы:
а)безопасность организации — охватываетадминистративные аспекты информационной безопаснос
ти, включая ответственность, возникающую при выполнении процессов в организации, за обработку риска.
Эти аспекты следует оформить в группу действий, в результате которых формируется политика, цели, про
цессы и процедуры проработки и повышения информационной безопасности в отношении потребностей и
рисков организации;
24