ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011
-если деятельность не определяет объект, место, процесс, информационный актив или «ме
ру и средство контроля и управления», на которые она должна оказывать влияние (где), то какова
будет ее эффективность?
-если деятельность в процедуре четко не определяет, каким образом все должно выполнять
ся. то как она может быть выполнена правильно (каким образом?)
-если деятельность также не определяет показатели и меры и средства контроля и управле
ния, направленные на проверку ее развития и достижения целей, то как организация может быть уве
рена, что цели достигаются или могут быть достигнуты?
iv) существуют ли меры и средства контроля и управления и среда проверки, чтобы опреде
лить, приводятся ли в действие и реализуются ли положения политики и достигаются ли цели?
v) цели в формулировке политики должны учитывать критерии SMART (конкретные, измери
мые, приемлемые, реалистичные, привязанные ко времени). Если же этого не происходит, то:
-не отличающиеся конкретностью цели нелегко ясно осознать, а лицо(а). отвечающее(ие) за
их достижение, обычно не определено(ы);
-если цель не является измеримой, то мало шансов, что организация сможет проверить, дос
тигается она или нет;
-если цель не сообщается персоналу и неприемлема для персонала, которому придется сле
довать ей, то велика вероятность того, что мера и средство контроля и управления будет неправиль но
понята, обойдена или «отключена»;
если цель нереалистична по отношению к реальным возможностям организации, то мало
шансов, что когда-нибудь она будет достигнута;
-если цель не определена по отношению ко времени (когда она должна быть достигнута, ко
гда предполагается начать деятельность и т. д.). то существует большая вероятность того, что ника
кие действия не будут предприняты и цель никогда не будет достигнута.
В.З Организация
a)Определена ли и распределена ли совокупность ролей и обязанностей, необходимых и
достаточных для выполнения целей бизнеса с учетом конкретного контекста и ограничений?
b
)Определена ли связь с внешними органами?
c)Возлагается ли ответственность за обеспечение безопасности на внешние ресурсы, если у
организации нет внутренних возможностей?
d)Рассматриваются ли вопросы информационной безопасности в договорах?
В.4 Физическая безопасность и безопасность внешней среды
В.4.1 Безопасны ли площадки для информации?
a)«Зоны»
i)являются ли площадки, доступные для публики, достаточно изолированными от
площадок для бизнеса?
ii)определены ли зоны, где обрабатывается наиболее критичная информация (персо
налом или системами информационных и коммуникационных технологий (ИКТ)?
iii)достаточно ли изолированы эти «безопасные зоны», чтобы избежать обмена ин
формацией?
b
)Месторасположения
i)являются ли различные зоны четко определенными и соответствующим образом
расположенными?
ii)являются ли «границы» (стены, потолок, пол и т. д.) четко определенными, а их
прочность соответствующей для защиты содержащихся активов?
iii)присутствует ли соответствующая маркировка местоположений, и находятся ли кри
тические зоны вне поля зрения «посторонних лиц»?
c)«Входы/выходы»- точки доступа
i)обеспечивают ли окна и двери и «проходы» через границы такую же защиту, как
«границы», когда они закрыты?
ii)существует ли соответствующее управление доступом для входа в и выхода из
«месторасположения»?
iii)существует ли система предупреждения вторжений?
iv)существуют ли «запасные выходы», предусматривающие достаточную мобильность
информации, людей и оборудования?
d)Коридоры и «пути»
37