ГОСТ Р ИСО/МЭК 27003—2012
Рекомендации
При разработке структуры организации и процессовдля внутренних операций СМИБ следует попы
таться создать их и объединить с уже существующими, если это практически применимо. Точно также
объединение СМИБ с более широкими ранее существовавшими системами управления (например, внут
ренний аудит) следует учитывать в процессе разработки СМИБ.
Структура организации, разрабатываемая для СМИБ, должна отражать действия по внедрению и
использованию СМИБ. а также, например, проработку методов мониторинга и записи какчасть операции
СМИБ.
Соответственно структура операций СМИБдолжна разрабатываться наоснове планируемого приме
нения СМИБ с учетом следующего:
a) нужна ли каждая роль по внедрению СМИБ для выполнения операций СМИБ?
b
) отличаются ли определенные роли от ролей по внедрению СМИБ?
c) какие роли должны бытьдобавлены для внедрения СМИБ?
Например, можно добавить следующие роли для выполнения операций СМИБ:
a) лицо, ответственное за операции по информационной безопасности в каждом подразделении;
b
) лицо, ответственное за измерение СМИБ в каждом подразделении.
Рассмотрение пунктов, указанных в Приложении В «Роли и сферы ответственности в области инфор
мационной безопасности», способствует принятию решения по структуре и ролям по выполнению операций
СМИБ путем пересмотра структуры и ролей по внедрению СМИБ.
Выходные данные
Выходныеданные этогодействия представляют собой документ, описывающий структуру организа
ции. роли и сферы ответственности.
Дополнительная информация
Приложение В — Роли и сферы ответственности в области информационной безопасности.
Приложение С — Информация по внутреннему аудиту.
9.2.2 Разработка основы для документирования СМИБ
Действия
Необходимо проконтролировать записи идокументы в системе СМИБ путем определения требований
и основы, позволяющей выполнить требования по текущему контролю записей и документов в системе
СМИБ.
Исходные данные:
a) выходные данные действия 6.5, объединение всех областей действия и границ для получения
области действия и границ СМИБ — область действия и границы СМИБ;
b
) область действия и границ СМИБ;
c) выходные данные действия 6.6, разработка политики СМИБ и получение одобрения руковод
ства — политика СМИБ;
d) выходные данные действия 8.4. получение санкции руководства на внедрение и использование
СМИБ;
e) выходные данные действия 9.2.1. разработка конечной организационной структуры для информа
ционной безопасности;
0 ISO/IEC 27002:2005.
Рекомендации
Разработка записей СМИБ включает следующие действия:
a) основа, описывающая принципыдокументирования СМИБ. структура процедур документирования
СМИБ. связанные роли, форматы данных и каналы передачи данных для отчетности перед руководством;
b
) разработка требований кдокументации;
c) разработка требований к записям.
Документация по СМИБ должна включать записи решений руководства, обеспечивать возможность
отслеживания действий для принятия решений и разработки политики руководством и воспроизводимость
записанных результатов.
Документы по СМИБ должны содержать признаки того, что меры и средства контроля и управления
выбраны на основе результатов оценки риска и обработки риска и что такие процессы применяются в
сочетании с политикой и целями СМИБ.
Документация важнадля воспроизводимости результатов и процедур. В том, что касается выбранных
средств управления, установка и документирование процедур должны содержать ссылку на лицо, ответ
ственное за фактическую частьдокументации.
27