ГОСТ Р ИСО/МЭК 27003—2012
9.4 Создание условий для обеспечения надежного функционирования СМИБ
9.4.1 План проверок, проводимых руководством
Действия
Необходимо разработать план, обеспечивающий участие руководства и выдачу поручений на про
верку работы СМИБ и проводимых усовершенствований.
Исходные данные:
a) выходные данные действия 6.5. объединение всех областей действия и границ для получения
области действия и границ— область действия и границы СМИБ;
b
) выходные данные действия 6.6. разработка политики СМИБ и получение одобрения руковод
ства — политика СМИБ;
c) выходные данные действия 8.4, получение санкции руководства на внедрение и использование
СМИБ— декларация о применимости, включая цели, выбранные меры, средства контроля и управления;
d) выходныеданные действия 9.2.3. разработка политики информационной безопасности;
e) ISO/IEC 27004:2009.
Рекомендации
Проверка руководством действия по внедрению СМИБ должна начинаться на самых ранних стадиях
задания условий для СМИБ и составления описания случая применения СМИБдля данного предприятия и
продолжаться вплотьдо регулярных проверок операций СМИБ. Это непосредственное участие является
средством подтверждения соответствия СМИБ потребностям предприятия и поддержания связи предпри
ятия с СМИБ.
Планирование проверок, проводимых руководством, включает установление времени и способа про
ведения проверок. Подробная информация, касающаяся предварительных условий для проверок, прово
димых руководством, содержится в подпункте 7.2 стандарта ISO/IEC 27001:2005.
Чтобы запланировать проверку, необходимо определить, какие должностные лица должны в ней уча
ствовать. Назначенные должностные лица должны быть утверждены руководством и проинформированы
об этом как можно раньше. Рекомендуется предоставлять руководству соответствующие данные, касаю
щиеся необходимости и цели проведения процесса проверки (более подробную информацию о ролях и
сферах ответственности см. в Приложении В).
Проверки, проводимые руководством, должны основываться на результатах измерений СМИБ и дру
гой информации, накопленной за время использования СМИБ. Эта информация используется для выполне
ния действий руководством СМИБдля определения готовности и эффективности СМИБ. Требуемые исход
ные и выходныеданные для измерений СМИБ приведены в ISO/IEC 27001:2005. адополнительная инфор
мация по измерениям СМИБ — в Приложении Е и ISO/IEC 27004:2009.
Также следует отметить, что эти проверки должны включать проверки методологии и результатов
оценки риска. Проверки должны проводиться сзапланированным интервалом с учетом изменения среды,
например, организации и технологии.
Планирование внутреннего аудита СМИБ должно выполняться для того, чтобы иметь возможность
регулярно оценивать СМИБ по мере ее внедрения. Результаты внутреннего аудита СМИБ являются важны ми
исходнымиданными для проверок СМИБ. проводимых руководством. Следовательно, до проведения
проверки руководством необходимо запланировать внутренний аудит. Внутренний аудит СМИБ должен
включать проверку того, эффективно ли внедряются и сохраняются цели, меры и средства контроля и
управления, процессы и процедуры СМИБ и соответствуют ли они:
a) требованиям ISO/IEC 27001:2005:
b
)действующему законодательству и правилам;
c) определенным требованиям к информационной безопасности.
(Дополнительную информацию по планированию аудита см. в Приложении С).
Предварительным условием для проведения проверок руководством является информация, собран
ная на основе внедренной и используемой СМИБ. Информация, предоставляемая группе руководителей,
проводящих проверку, может включать следующее:
a) отчеты об инцидентах за последний период использования системы.
b
) подтверждениеэффективности управления и обнаруженные несоответствия;
c) результаты других регулярных проверок (более подробные, если во время проверки были обнару
жены несоответствия с политикой информационной безопасности);
d) рекомендации по усовершенствованию СМИБ.
В плане мониторинга должны документироваться его результаты, которые должны записываться и
сообщаться руководству (дополнительную информацию по мониторингусм. в Приложении Е).
32