ГОСТ Р ИСО/МЭК 27003-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

6.2 Цели информационной безопасности и планирование их достижения

 

Необходимые мероприятия

Организация устанавливает цели ИБ и планы по их достижению для соответствующих функций и уровней.

Пояснение

Цели ИБ помогают реализовать стратегические цели организации, а также политику ИБ. Таким образом, цели СМИБ - это цели ИБ для обеспечения конфиденциальности, целостности и доступности информации. Цели ИБ также помогают определять и измерять эффективность мер обеспечения ИБ, процессов ИБ в соответствии с политикой ИБ (см. 5.2).

Организация планирует, устанавливает и определяет цели ИБ для соответствующих функций и уровней.

Требования в ИСО/МЭК 27001, относящиеся к целям ИБ, применяются ко всем целям ИБ. Если политика ИБ содержит цели, то эти цели должны соответствовать критериям, изложенным в этом разделе. Если политика содержит структуру для постановки целей, то цели, создаваемые этой структурой, должны соответствовать требованиям этого подраздела.

Требования, которые необходимо принимать во внимание при определении целей, это те требования, которые определяются при понимании организации и ее контекста (см. 4.1), а также потребностей и ожиданий заинтересованных сторон (см. 4.2).

Результаты оценки и обработки риска используются в качестве входных данных для постоянного анализа целей, чтобы убедиться, что они по-прежнему соответствуют условиям организации.

Цели ИБ являются исходными данными для оценки риска: критерии принятия риска и критерии для проведения оценки риска ИБ (см. 6.1.2) учитывают цели ИБ, и, таким образом, обеспечивается соответствие уровней риска с целями.

Цели ИБ согласно ИСО/МЭК 27001:

a) соответствуют политике ИБ;

b) измеримы, если это практически возможно; это означает, что важно уметь определять, была ли достигнута цель или нет;

c) связаны с применимыми требованиями ИБ и являются результатом оценки и обработки риска;

d) доведены до сведения;

e) обновляются по возможности.

Организация хранит документированную информацию о целях ИБ.

При планировании мероприятий по достижению целей ИБ организация определяет:

f) что будет сделано;

g) какие ресурсы потребуются;

h) кто будет нести ответственность;

i) когда это будет завершено;

j) как будут оцениваться результаты.

Упомянутое выше требование относительно планирования является общим и применимо также к другому планированию, регулируемому ИСО/МЭК 27001. Планирование, которое необходимо рассмотреть для СМИБ, включает:

- планы по улучшению СМИБ, как описано в 6.1.1 и 8.1;

- планы обработки идентифицированных рисков, как описано в 6.1.3 и 8.3;

- любые другие планы, которые будут признаны необходимыми для эффективной работы (например, планы по развитию компетенции и повышению осведомленности, коммуникации, оценке эффективности, внутреннему аудиту и контролю качества).

Руководство

Политика ИБ должна устанавливать цели ИБ или обеспечивать основу для их постановки.

Цели ИБ могут быть выражены различными способами. Это выражение должно соответствовать требованию об измеримости (если это практически возможно) (ИСО/МЭК 27001:2013, 6.2 b)).

Например, цели ИБ могут быть выражены в виде:

- числовых значений с их ограничениями, например "не превышать определенный предел" и "достичь уровня 4";

- целей для измерения эффективности ИБ;

- целей для измерения эффективности СМИБ (см. 9.1);

- соответствия требованиям ИСО/МЭК 27001;

- соответствия процедурам СМИБ;

- необходимости выполнения действий и планов;

- критериев риска, которые должны быть выполнены.

Следующее руководство применимо к основополагающим целям, представленным выше:

- политика ИБ определяет требования к ИБ в организации. Все другие специфические требования, установленные для соответствующих функций и уровней, должны им соответствовать. Если политика ИБ содержит цели ИБ, то любая другая конкретная цель ИБ должна быть связана с целями, указанными в политике. Если политика ИБ только предоставляет структуру для постановки целей, то следует придерживаться этой структуры для обеспечения того, чтобы более конкретные цели были связаны с более общими (см. перечисление a));

- не каждая цель может быть измеримой, но если сделать ее таковой, то это поспособствует улучшению ее понимания и достижению. Важно иметь возможность качественно или количественно описать степень достижения цели. Например, для определения приоритетов для дополнительных усилий в случае, если цели не были достигнуты, или для предоставления возможностей для повышения эффективности СМИБ, если цели трудно достижимы. Также должна быть возможность понять, были ли достигнуты поставленные цели или нет, каким образом определяется достижение целей, а также можно ли определить степень достижения целей, используя количественные измерения. Описания достижения цели в количественном выражении должны включать информацию о том, как проводилось соответствующее измерение. Может оказаться невозможным количественно определить степень достижения всех целей. ИСО/МЭК 27001 рекомендует, чтобы цели были измеримы, если это практически осуществимо (см. перечисление b));

- цели ИБ должны быть согласованы с потребностями ИБ; по этой причине результаты оценки и обработки рисков <1> следует использовать в качестве исходных данных при определении целей ИБ (см. перечисление c));

--------------------------------

<1> Термин "риск" определяется как "влияние неопределенности на цели" (ИСО/МЭК 27000).

 

- цели ИБ должны быть доведены до соответствующих внутренних заинтересованных сторон организации. Они также могут быть доведены до внешних заинтересованных сторон, например до клиентов или иных заинтересованных сторон, в той степени, в которой они должны знать о них и в которой их затрагивают цели ИБ (см. перечисление d));

- когда потребности в ИБ меняются со временем, тогда должны обновляться и соответствующие цели ИБ. Об их обновлении следует сообщать, как требуется в перечислении d), внутренним и внешним заинтересованным сторонам по возможности (см. перечисление e)).

Организация должна планировать, как достичь своих целей ИБ. Она может использовать любую методологию или механизм, который выберет для планирования и достижения своих целей ИБ. Может существовать единый план ИБ, один или несколько планов проектов или действий, включенных в другие организационные планы. Независимо от того, какую бы форму планирование не принимало, итоговые планы должны как минимум определять (см. перечисления f), g), h), i), j)):

- мероприятия, которые необходимо выполнить;

- необходимые ресурсы, которые должны быть выделены для выполнения мероприятий;

- ответственность;

- сроки и этапы мероприятий;

- методы и измерения, позволяющие оценить, достигают ли результаты поставленных целей, включая время проведения таких оценок.

ИСО/МЭК 27001 рекомендует организациям сохранять документированную информацию о целях ИБ. Такая документированная информация может включать в себя:

- планы, мероприятия, ресурсы, ответственность, сроки и методы оценки;

- требования, задачи, ресурсы, ответственность, частоту и методы оценки.

Дополнительная информация

Дополнительная информация отсутствует.