ГОСТ Р ИСО/МЭК 27003-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

7.5 Документированная информация

 

7.5.1 Общие положения

Необходимые мероприятия

Организация включает документированную информацию в СМИБ в соответствии с требованиями ИСО/МЭК 27001, а также в соответствии с определением ее необходимости для эффективности СМИБ.

Пояснение

Документированная информация необходима для определения и информирования о целях, политике, руководствах, инструкциях, мерах обеспечения ИБ, процессах, процедурах ИБ и о том, что должны делать лица или группы лиц и как они должны себя вести. Документированная информация также необходима для аудитов СМИБ и поддержания стабильной СМИБ, при смене лиц, выполняющих ключевые роли. Кроме того, документированная информация необходима для регистрации мероприятий, решений и результатов процессов СМИБ и мер обеспечения ИБ.

Документированная информация может содержать:

- информацию о целях ИБ, рисках, требованиях и стандартах;

- информацию о необходимых процессах и процедурах, которым необходимо следовать;

- записи входных данных (например, для анализа со стороны руководства) и результаты процессов (включая планы и результаты мероприятий).

Существует множество видов деятельности в рамках СМИБ, по результатам которых производят документированную информацию и которые используются в большинстве случаев в качестве входных данных для другой деятельности.

ИСО/МЭК 27001 рекомендует наличие набора обязательной документированной информации и содержит общее требование о том, что дополнительная документированная информация требуется, если это необходимо для эффективности СМИБ.

Количество необходимой документированной информации часто зависит от размера организации.

В целом достаточно обязательной и дополнительной документированной информации для того, чтобы выполнить требования по оценке эффективности, указанные в разделе 9.

Руководство

Организация должна определить, какая документированная информация необходима для обеспечения эффективности СМИБ в дополнение к обязательной документированной информации, требуемой ИСО/МЭК 27001.

Чтобы соответствовать цели, документированная информация должна быть точной и основываться на фактах.

Примерами документированной информации, которую организация может определить как необходимую для обеспечения эффективности СМИБ, являются:

- результаты установления контекста организации (см. раздел 4);

- роли, обязанности и полномочия (см. раздел 5);

- отчеты о различных этапах управления рисками (см. раздел 6);

- определенные и предоставленные ресурсы (см. 7.1);

- ожидаемая компетентность (см. 7.2);

- планы и результаты мероприятий по повышению осведомленности (см. 7.3);

- планы и результаты коммуникационных мероприятий (см. 7.4);

- документированная информация внешнего происхождения, необходимая для СМИБ (см. 7.5.3);

- процесс контроля за документированной информацией (см. 7.5.3);

- политики, правила и директивы для управления и обеспечения мероприятий по ИБ;

- процессы и процедуры, используемые для внедрения, поддержания и улучшения СМИБ и общего состояния ИБ (см. раздел 9);

- планы действий;

- подтверждение результатов процессов СМИБ (например, управления инцидентами, контроля доступа, непрерывности ИБ, обслуживания оборудования и т.д.).

Документированная информация может иметь внутреннее или внешнее происхождение.

Дополнительная информация

Желание организации управлять своей документированной информацией в системе управления документами может быть реализовано в соответствии с требованиями ИСО 30301.

7.5.2 Создание и обновление

Необходимые мероприятия

Во время создания и обновления документированной информации организация обеспечивает ее надлежащую идентификацию, описание, формат, носителя, а также проверку и утверждение.

Пояснение

Организация тщательно разрабатывает структуру документированной информации и определяет надлежащий подход к документированию.

Проверка и утверждение соответствующим руководством гарантирует, что документированная информация является правильной, подходящей для данной цели, а также имеет адекватную форму и достаточную детализацию для целевой аудитории. Регулярные проверки обеспечивают постоянную пригодность и адекватность документированной информации.

Руководство

Документированная информация может храниться в любой форме, например, в традиционной (бумажной и электронной форме), в виде веб-страниц, баз данных, компьютерных журналов, сгенерированных компьютером отчетов, в форме аудио и видео. Кроме того, документированная информация может состоять как из подробного описания намерений (например, политика ИБ), так и из записей о производительности (например, результаты аудита) или их комбинации. Руководство, представленное ниже, относится непосредственно к документам в традиционной форме и должно толковаться соответствующим образом применительно к другим формам документированной информации.

Организации должны создать структурированную документированную информационную библиотеку, связывающую различные части документированной информации посредством:

a) определения структуры документированной информационной базы;

b) определения типовой структуры документированной информации;

c) предоставления шаблонов для различных типов документированной информации;

d) определения ответственности за подготовку, утверждение, публикацию и управление документированной информацией;

e) определения и документирования процесса пересмотра и утверждения для обеспечения постоянной пригодности и адекватности.

Организации должны определить подход к документированию, который включает в себя общие атрибуты каждого документа, позволяющие четко и уникально его идентифицировать. Общие атрибуты обычно включают в себя тип документа (например, политику, директиву, правило, руководство, план, форму, процесс или процедуру), цель и область применения, заголовок, дату публикации, классификацию, ссылочный номер, номер версии и историю изменений. Должны быть указаны сведения об авторе и лице(ах), которые в настоящее время несут ответственность за документ, его применение и изменение, а также сведения об утверждающем(их) лице(ах) или утверждающем органе.

Требования к формату могут включать определение подходящих языков документа, форматов файлов, версии программного обеспечения для работы с документами и графического содержимого. Требования к носителям определяют, на каких физических и электронных носителях должна быть доступна информация.

Заявления и стиль написания должны быть адаптированы к аудитории и объему документации.

Следует избегать дублирования документированной информации и использовать перекрестные ссылки, а не копировать одну и ту же информацию в разные документы.

Выбранный подход к документированию должен обеспечивать своевременную проверку документированной информации и утверждение всех изменений в документе. Соответствующие критерии проверки могут быть связаны со временем (например, максимальные периоды времени между проверками документа) или с содержанием. Должны быть определены критерии утверждения, которые гарантируют, что документированная информация является правильной, подходящей для данной цели, а также имеет адекватную форму и достаточную детализацию для целевой аудитории.

Дополнительная информация

Дополнительная информация отсутствует.

7.5.3 Контроль документированной информации

Необходимые мероприятия

Организация управляет документированной информацией на протяжении всего ее жизненного цикла и делает ее доступной там, где и когда это необходимо.

Пояснение

После утверждения документированная информация передается целевой аудитории. Документированная информация доступна там, где и когда это необходимо, сохраняя при этом свою целостность, конфиденциальность и актуальность на протяжении всего жизненного цикла.

Следует обратить внимание, что мероприятия, описанные "по возможности" в пункте 7.5.3 ИСО/МЭК 27001, необходимо проводить, если они выполнимы и являются полезными для организации, с учетом потребностей и ожиданий организации.

Руководство

Для облегчения доступа к документированной информации можно использовать структурированную библиотеку документированной информации.

Вся документированная информация должна быть классифицирована (см. ИСО/МЭК 27001, приложение A, пункт A.8.2.1) в соответствии со схемой классификации организации. Документированная информация должна защищаться и обрабатываться в соответствии с уровнем ее классификации (см. ИСО/МЭК 27001, приложение A, пункт A.8.2.3).

Процесс управления изменениями документированной информации должен гарантировать, что только уполномоченные лица имеют право изменять и распространять ее по мере необходимости с помощью соответствующих и заранее определенных средств. Документированная информация должна быть защищена, чтобы обеспечить сохранность достоверности и подлинности.

Документированная информация должна распространяться и предоставляться уполномоченным заинтересованным сторонам. Для этого организация должна установить, кто является соответствующей заинтересованной стороной для каждого вида документированной информации (или группы документированной информации), а также средства, используемые для распространения, доступа, поиска и использования этой информации (например, веб-сайт с соответствующими механизмами контроля доступа). Распространение должно соответствовать любым требованиям, связанным с защитой и обработкой классифицированной информации.

Организация должна установить соответствующий срок хранения документированной информации в соответствии с ее предполагаемым сроком действия и другими соответствующими требованиями. Также организация должна обеспечить, чтобы информация была разборчивой в течение всего срока ее хранения (например, при использовании форматов, которые могут быть прочитаны с помощью доступного программного обеспечения, или проверка на отсутствие повреждений бумажного носителя).

Организация должна определить, что делать с документированной информацией после истечения срока ее хранения.

Организация также должна управлять документированной информацией внешнего происхождения (т.е. от клиентов, партнеров, поставщиков, регулирующих органов и т.д.).

Документированная информация об этих мероприятиях и их результатах является обязательной только в той форме и в той мере, в которой организация считает это необходимым для эффективности своей системы менеджмента (см. ИСО/МЭК 27001, 7.5.1, перечисление b)).

Дополнительная информация

Дополнительная информация отсутствует.