ГОСТ Р 56487—2015
7.1.2 Непрерывный мониторинг
7.1.2.1 Организация осуществляет мониторинг данных на протяжении всего жизненного цикла,
включаяданные, связанные с компонентами иуслугами, предоставляемыми поставщиками и подрядчи
ками. с целью идентификации опасностей, измерения эффективности средств контроля рисков для
безопасности иоценки характеристик системы.
7.1.2.2 Организация осуществляет мониторинг данных различных типов (внутренних и внешних
источников), включая отчеты по сообщениям работников, связанным с обеспечением безопасности, и
сообщениям, полученным посистеме обратной связи, в целях:
а) определения соответствиясредствам контроля рисковдля безопасности,
б) измерения эффективности средств контроля рисковдля безопасности;
в) оценки характеристик SMS;
г) идентификации опасностей.
7.1.3 Внутренний аудит
Организация проводит внутренние аудиты SMS с целью определения соответствия этой системы
процессам и процедурам, используемым этой организацией.
Аудит проводят в следующих целях:
а) установление критичностиконтролируемых систем иопераций в отношении безопасности:
б) сопоставление результатов предыдущих внутренних и внешних аудитов:
1) область действия программы внутреннего аудита, охватывающая SMS всей организации в
пределахконкретного временного периода.
2) организация включает в свой анализ данные результатов оценок, проведенных контролирую
щими организациями.
7.1.4 Внутренняя оценка
7.1.4.1 Организация должна регулярно проводить запланированные внутренние оценки своих
систем иоперацийдляопределенияхарактеристикистепениэффективностисредствконтролярисков.
7.1.4.2 Важно оценить процессы, происходящие в организации, с целью определения их эффек
тивности иобеспечениядостижения запланированных результатов.
7.1.4.3 Сфера охвата оценками должна включать:
а) всю областьдействия SMSорганизации;
б) поставщиков иподрядчиков, выполняющихфункции(комплектующую продукцию), связанныес
обеспечением безопасности.
7.1.5 Расследование
7.1.5.1 Организация устанавливает процедуры сбора данныхдля расследования случаев потен
циального несоблюдения нормативных требований идля идентификации новых потенциальных опас
ностей или неработоспособности средств контроля рисков.
7.1.5.2 Ранее подход к управлению в области обеспечения безопасности базировался исключи
тельно на расследованииаварийныхслучаеви соответствии нормативнымтребованиям. Такие методы
должны продолжать использовать в качестве части всесторонней программы управления рисками. В
настоящее время цель систем управления в области обеспечения безопасности состоит в том. чтобы
обеспечитьдостижение более высоких уровней безопасности посредством заблаговременной иденти
фикации рисков и управления ими.
7.1.6 Система отчетности работников и обратной связи с ними
Организация должна активно использовать систему отчетности работников по вопросам обеспе
чения безопасности исистемуобратной связи с ними, что подразумеваетследующее:
а) данные, полученные из отчетности работникови системы обратной связи, должны контролиро
вать в целяхидентификации возникающихопасностей иоценки характеристиксредствконтроля рисков
в операционных системах;
б) должны поощряться предложения работников технических решений/мер по повышению безо
пасности;
в) руководство должно отвечать на каждое обращение работника с объяснением выбранного
действия или бездействия (системаотчетности служащих иобратнойсвязи с нимидолжна быть эффек
тивной. для тогочтобы служащие понимали, что их слышат);
г) работникам должна быть гарантирована конфиденциальность при использовании системы их
отчетности в области обеспечения безопасности и обратной связи с ними.
Часто наилучшимисточником информации, касающейсяпроблем, существующихв организациях,
являются работники, которые имеют непосредственное отношение к конкретному процессу.
7