ГОСТ Р ИСО/МЭК 27003-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

7.4 Взаимодействие

 

Необходимые мероприятия

Организация определяет потребность во взаимодействии внутри организации и с внешними сторонами по вопросам, связанным со СМИБ.

Пояснение

Взаимодействие является ключевым процессом в рамках СМИБ. Необходимо адекватное взаимодействие с внутренними и внешними заинтересованными сторонами (см. 4.2).

Взаимодействие может осуществляться между внутренними заинтересованными сторонами на всех уровнях в организации или между организацией и внешними заинтересованными сторонами. Взаимодействие может быть инициировано внутри организации или внешней заинтересованной стороной.

Организации должны определить:

- какие данные необходимо передать, например политики ИБ, цели, процедуры, их изменения, знания о рисках ИБ, требования к поставщикам и обратная связь об эффективности ИБ;

- предпочтительное или оптимальное время для взаимодействия;

- кто должен участвовать в процессах взаимодействия и кто является целевой аудиторией каждого взаимодействия;

- кто должен инициировать процесс взаимодействия, например определенные данные могут потребовать, чтобы взаимодействие было инициировано конкретным человеком или организацией;

- какие процессы являются движущими или инициирующими взаимодействие и какие процессы являются целевыми или затрагивают процессы взаимодействия.

Взаимодействие может происходить регулярно или по мере необходимости. Оно может быть проактивным или реактивным.

Руководство

Взаимодействие основывается на процессах, каналах и протоколах. Они должны быть выбраны таким образом, чтобы обеспечить целостное восприятие передаваемого сообщения, его правильное понимание и, когда это уместно, принятие соответствующих мер обеспечения ИБ.

Организации должны определить, какие сведения должны быть переданы, например:

a) планы и результаты управления рисками для заинтересованных сторон, когда это необходимо и уместно, при идентификации, анализе, оценке и обработке рисков;

b) цели ИБ;

c) достигнутые цели ИБ, в том числе те, которые могут поддержать их положение на рынке (например, выданный сертификат ИСО/МЭК 27001; утверждение о соответствии законодательству по защите персональных данных);

d) инциденты или непредвиденные обстоятельства, где прозрачность часто является ключом к сохранению и повышению доверия и уверенности в способности организации управлять своей ИБ и справляться с неожиданными ситуациями;

e) роли, обязанности и полномочия;

f) информация об обмене между функциями и ролями в соответствии с требованиями процессов СМИБ;

g) изменения в СМИБ;

h) сведения, выявленные путем анализа мер обеспечения ИБ и процессов в рамках СМИБ;

i) сведения о ситуациях (например, уведомление об инцидентах или непредвиденных обстоятельствах), требующих передачи информации регулирующим органам или другим заинтересованным сторонам;

j) запросы или другие сообщения от внешних сторон, таких как потенциальные клиенты, пользователи услуг, органы власти.

Организации должны определить требования к взаимодействию по соответствующим вопросам:

k) лица, которым разрешено осуществлять внешнее и внутреннее взаимодействие (например, в особых случаях, таких как нарушение конфиденциальности данных), путем распределения конкретных ролей с соответствующими полномочиями. Например, должностные лица по связям с общественностью могут быть наделены соответствующими полномочиями. Они могут быть сотрудниками по связям с общественностью для внешнего взаимодействия и сотрудниками службы безопасности для внутреннего взаимодействия;

l) триггеры или частота взаимодействия (например, для взаимодействия по случаю события триггером является установление факта наступления события);

m) содержание сообщений для ключевых заинтересованных сторон (например, клиентов, регулирующих органов, широкой общественности, важных внутренних пользователей) на основе сценариев воздействия высокого уровня. Взаимодействие может быть более эффективным, если оно основано на сообщениях, подготовленных и предварительно утвержденных на соответствующем уровне управления в рамках плана взаимодействия, плана реагирования на инциденты или плана обеспечения непрерывности бизнеса;

n) предполагаемые получатели сообщения. В некоторых случаях следует вести список (например, для сообщения об изменениях в услугах или о непредвиденных обстоятельствах);

o) средства связи и каналы. Для взаимодействия следует использовать специальные средства и каналы, необходимые для того, чтобы взаимодействующие стороны были убеждены, что сообщение является официальным и имеет соответствующие полномочия. Каналы связи должны удовлетворять любым потребностям по защите конфиденциальности и целостности передаваемой информации;

p) разработанный процесс и метод для обеспечения того, чтобы сообщения были отправлены, правильно приняты и поняты.

Сообщения, переданные в процессе взаимодействия, должны классифицироваться и обрабатываться в соответствии с требованиями организации.

Документированная информация об этих мероприятиях и их результатах является обязательной только в той форме и в той мере, в которой организация считает это необходимым для эффективности своей системы менеджмента (см. ИСО/МЭК 27001, 7.5.1, перечисление b)).

Дополнительная информация

Дополнительная информация отсутствует.