ГОСТ Р ИСО/МЭК 27003—2012
Рекомендации
В этом действии, которое должно стать частью плана проекта СМИБ, необходимодокументировать
следующую информацию для каждых мер и средств контроля и управления:
a) имя лица, ответственного за внедрение мер и средств контроля и управления;
b
) приоритет внедряемых мер и средств контроля и управления;
c) задачи или действия по внедрению;
d) установление времени, в течение которогодолжно быть внедрено средство управления;
e) лицо, перед которым нужно отчитываться о внедрении мер и средств контроля и управления по его
завершению;
0 ресурсыдля внедрения {рабочая сила, требуемое пространство, затраты).
Первоначально безопасность ИКТ и физических объектовдолжна быть разработана на концептуаль
ном уровне. Необходимо учитывать, что сферы ответственности за процесс первоначального внедрения
обычно включают:
a) задание целей управления с описанием предполагаемого планируемого состояния;
b
) распределение ресурсов (объем работ, финансовые ресурсы);
c) реальное заданное время внедрения мер и средств контроля и управления;
d) варианты объединения с системами безопасности ИКТ, физических объектов и организации.
После разработки концепции необходимо фактически разработать, например, систему, чтобы полу
чить и внедрить лучшие практические методы для организации. Необходимо учитывать следующее:
Сферыответственности за процессфактического внедрения включают:
a) разработку каждого изсредств управления для области безопасности ИКТ, физических объектов и
организации на оперативном уровне рабочего места;
b
) конкретизацию каждой меры и каждого средства контроля и управления в соответствии с согласо
ванным проектом;
c) предоставление процедур и информации для органов управления и учебных курсов, способствую
щих информированию в сферебезопасности;
d) оказание помощи и внедрение средств управления на рабочем месте.
В зависимости от средств управления (ИКТ, физические объекты или организация) проведение отчет
ливой границы между начальной и конечной частями процесса внедрения не всегда является уместным
или необходимым.
Для внедрения средств управления часто требуется взаимодействие междусотрудниками, занимаю
щими различные должности в организации. Таким образом, например, лица, ответственные за системы,
могутбыть задействованы для приобретения, установки и обслуживания технического оборудования. Дру
гих сотрудников целесообразно привлечьдля разработки и документирования процедур, контролирующих
использование систем.
Информационная безопасность должна быть объединена в процедуры и процессы, применяемые во
всей организации. Если для части организации или третьей стороны окажется трудным внедрение этих
процедур и процессов, соответствующие стороны должны сообщить об этом немедленно, чтобы согласо
вать решение проблемы. Решение по подобным вопросам включает изменение процедур или процессов,
перераспределениедолжностей и сфер ответственности и адаптацию технических процедур.
Результаты внедрения средств управления СМИБ должны быть следующими:
a) план внедрения, в котором подробно описывается внедрение средств управления, например, гра
фик. структура группы по внедрению и т. д.;
b
) записи и документация по результатам внедрения.
Выходные данные
Выходныеданные этого процесса представляют собой структурированный подробный план внедре
ния средств управления, связанных с безопасностью ИКТ и физических объектов, какчасть плана проекта
СМИБ для каждой меры и средства контроля и управления:
a) подробное описание:
b
)сферы ответственности за разработку и внедрение;
c) предполагаемые временные шкалы:
d) связанные задачи:
e) требуемые ресурсы;
0 собственность (линии отчетности).
Дополнительная информация
Дополнительная специальная информация не требуется.
31