ГОСТ Р ИСО/МЭК 27002-2012
c) осведомленность,обучениеитренинг1> вобластиинформационной
безопасности (см. 8.2.2);
d) корректная обработка в прикладных программах (см. 12.2);
e) менеджмент технических уязвимостей (см. 12.6);
f) менеджмент непрерывности бизнеса (см. раздел 14);
д) менеджментинцидентовинформационнойбезопасностиинеобходимое
совершенствование (см. 13.2).
Перечисленные меры и средства контроля и управления применимы для
большинства организаций и сред.
Следует отметить, что хотя все меры и средства контроля и управления,
приведенные в настоящем документе, являются важными, уместность какой-либо меры и
средства контроля и управления должна определяться в свете конкретных рисков, с
которымисталкиваетсяорганизация.Следовательно,несмотрянато,что
вышеописанныйподходрассматриваетсякак отправная точкаинформационной
безопасности, он не заменяет выбор мер и средств контроля и управления, основанный
на оценке рисков.
0.7 Важнейшие факторы успеха
Практика показывает, что для успешного внедрения информационной безопасности
в организации решающими факторами зачастую являются следующие:
a) соответствие целей, политик и процедур информационной безопасности целям
бизнеса;
b
) подход и основы для внедрения, поддержки, мониторинга и улучшения
информационной безопасности, которые согласуются с корпоративной культурой;
c) видимая поддержка и обязательства со стороны руководства всех уровней;
d) четкое понимание требований информационной безопасности, оценки рисков и
менеджмента рисков;
е) эффективныймаркетингинформационнойбезопасностисредивсех
руководителей, сотрудников и других сторон для достижения осведомленности;
"Тренинг - обучение на практических занятиях или в приближенных к реальным условиях.
XI