ГОСТ Р ИСО/МЭК ТО 13335-3—2007
жание необходимого уровня безопасности с указанием стоимости этих мероприятий и графика их проведе
ния. План безопасности по каждой системе информационныхтехнологийдолжен включать в себя:
- цели безопасности информационных технологий с точки зрения обеспечения конфиденциальности,
целостности, доступности, подотчетности, аутентичности и надежности;
- вариант анализа рисков, выбранныйдля конкретной системы информационных технологий (см. раз
дел 8);
- оценку ожидаемых остаточных и приемлемых рисков, которые будут существовать после осуще
ствления намеченных защитных мер (см. 9.5);
- перечень выбранных для применения защитных мер (см. 9.4). а также перечень существующих и
планируемых защитных мер. включая определение их эффективности и указание потребности в их совер
шенствовании (см. 9.3.6 и 9.4); этот второй перечень должен включать в себя.
последовательность осуществления выбранных и совершенствования существующих мер защиты,
описание практического применения выбранных и существующих мер защиты,
оценку стоимости установки и эксплуатации выбранных мер защиты,
оценку потребности в персонале для эксплуатации и контроля при осуществлении необходимых мер
защиты:
- подробный рабочий план реализации выбранных мер защиты, содержащий:
последовательность выполнения конкретных операций,
график работ, соответствующий установленной последовательности выполнения операций,
суммы необходимыхденежных средств,
распределение обязанностей.
процедуры ознакомления и обучения персонала, имеющего делос информационными технология
ми и коночных пользователей с применяемыми мерами защиты в целях повышения эффективности их
действия.
график процессов одобрения (если необходимо);
- графикпроцедур контроля сроков исполнения.
План безопасности информационныхтехнологийдолжен содержать описание средствобслуживания
для управления процессом правильного внедрения необходимых защитных мер. например методов:
- представления сообщений о состоянии работ;
- выявления возможных трудностей:
- оценки по каждой из вышеперечисленных проблем, включая методы, связанные с возможными
изменениями отдельных частей плана (если необходимо).
Результатом данного этапа (см. 9.7) должен стать план безопасности информационных технологий
для кааадойсистемы, основанный на политике обеспечения безопасности систем информационных техно
логий с учетом результатов анализа высокого уровня риска, описанного в разделе 9. План безопасности
должен обеспечить своевременное введение указанных защитных мер в соответствии с приоритетами,
определенными на основе анализа рисковдля системы информационных технологий, а также в соответ
ствии с описанием методов осуществления указанных мер защиты и обеспечения необходимого уровня
безопасности. Данный план безопасности, кроме того, должен содержать график последующих процедур,
поддерживающихэтот уровень безопасности. Подробное описание этих процедур приведено в разделе 11.
10 Выполнение плана информационной безопасности
Правильная реализация мер защиты основывается, главным образом, на хорошо составленном и
документированном плане обеспечения информационной безопасности. Понимание безопасности и обуче
ние новым информационным технологиямдолжны идти параллельно. Меры защитыдолжны бытьодобре ны
до начала эксплуатации системы или после того как реализация плана информационной безопасности
завершена.
10.1 Осуществление мор защиты
Для осуществления мер защиты необходимо выполнить все пункты плана обеспечения информаци
онной безопасности. Лицо, ответственное за этот план (обычнослужащий из руководящего состава органи
зации. ответственный за безопасность),должно обеспечитьотслеживание приоритетных и основных пунк
тов плана обеспечения информационнойбезопасности.
Документация по защитным мерам является важной частьюдокументации по информационной безо
пасности. обеспечивающей непрерывность и последовательностьдействий. Поддержание непрерывности
23