ГОСТ Р ИСО/МЭК 27001—2006
П р и м е ч а н и е — Положение о применимости содержит итоговые решения, касающиеся обработки рис
ков. Обоснование исключений предусматривает перекрестную проверку, позволяющую определить, что ни одна ме
ра управления не была случайно упущена.
4.2.2 Внедрение и функционирование системы менеджмента информационной безопас
ности
Организациядолжна выполнитьследующее:
a) разработать план обработки рисков, определяющий соответствующие действия руководства,
ресурсы, обязанности и приоритеты вотношении менеджмента рисков ИБ (см. раздел 5):
b
) реализоватьплан обработки рисковдлядостижения намеченных целей управления, включаю
щий в себя вопросы финансирования, атакже распределение функций и обязанностей:
c) внедритьмерыуправления, выбранныесогласно4.2.1. перечислениед). длядостиженияцелей
управления;
d) определить способ измерения результативности выбранных мер управления или их групп и
использования этих измеренийдля оценки результативности управления с целью получить сравнимые и
воспроизводимыеданные [см. 4.2.3. перечисление с)].
П р и м е ч а н и е — Измерение результативности мер управления позволяет руководителям и персоналу
определить, в какой степени меры управления способствуют достижению намеченных целей управления.
e) реализовать программы пообучению иповышению квалификации сотрудников (см. 5.2.2);
0 управлять работой СМИБ;
д) управлять ресурсами СМИБ (см. 5.2);
h)внедритьпроцедуры идругие меры управления, обеспечивающие быстроеобнаружение собы
тий ИБ иреагирование на инциденты, связанные с ИБ [см. 4.2.3. перечисление а)].
4.2.3 Проведение мониторинга и анализа системы менеджмента информационной безопас
ности
Организациядолжна осуществлятьследующее:
a) выполнятьпроцедуры мониторинга и анализа, атакже использоватьдругие мерыуправления в
следующих целях:
1) своевременно обнаруживатьошибки в результатахобработки;
2) своевременновыявлять удавшиеся инеудавшиеся попытки нарушения иинциденты ИБ:
3) предоставлятьруководствуинформациюдляпринятия решенийоходевыполненияфункций по
обеспечению ИБ.осуществляемыхкакответственными лицами, так иинформационнымитехнологиями;
4) способствовать обнаружению событий ИБ и. таким образом, предотвращать инциденты ИБ
путем применения средств индикации;
5) определять, являютсяли эффективнымидействия, предпринимаемыедля устранения наруше
ния безопасности;
b
) проводить регулярный анализ результативности СМИБ (включая проверку ее соответствия
политике и целям СМИБ и анализ мер управления безопасностью) с учетом результатов аудиторских
проверокИБ. ееинцидентов, результатовизмеренийэффективностиСМИБ. а такжепредложенийи дру
гой информации от всех заинтересованныхсторон;
c) измерятьрезультативность мер управлениядля проверки соответствия требованиям ИБ;
d) пересматривать оценки рисков через установленные периоды времени, анализировать оста
точные риски иустановленные приемлемые уровни рисков, учитывая изменения:
реорганизации;
2) в технологиях;
3) в целяхдеятельности и процессах;
4) в выявленных угрозах;
5) в результативности реализованных меруправления,
6) во внешних условиях, например изменения нормативно-правовых требований, требований
договорных обязательств, атакже изменения в социальной структуреобщества:
е) проводить внутренние аудиты СМИБчерез установленные периоды времени (см. раздел 6).
П р и м е ч а н и е — Внутренние аудиты, иногда называемые аудитами первой стороны, проводятся самой
организацией (или внешней организацией от ее имени} для собственных целей;
f)регулярнопроводитьруководством организации анализСМИБ в целяхподтверждения адекват
ности ее функционирования и определения направлений совершенствования (см. 7.1);
д) обновлять планы ИБ сучетом результатов анализа имониторинга;
5