ГОСТ Р ИСО/МЭК 27003-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

8 Эксплуатация

 

8.1 Оперативное планирование и контроль

 

Необходимые мероприятия

Организация планирует, внедряет и контролирует процессы в соответствии с требованиями ИБ и для достижения целей ИБ.

Организация хранит документированную информацию, необходимую для обеспечения уверенности в том, что процессы осуществляются в соответствии с планом.

Организация контролирует запланированные изменения и анализирует последствия непреднамеренных изменений, а также обеспечивает выявление, определение и контроль процессов, находящихся на аутсорсинге.

Пояснение

Процессы, которые организация использует для удовлетворения своих требований ИБ, планируются и после их внедрения контролируются, особенно когда требуются изменения.

Опираясь на планирование СМИБ (см. 6.1 и 6.2), организация выполняет необходимое оперативное планирование и мероприятия по внедрению процессов, необходимых для выполнения требований ИБ.

Процессы, отвечающие требованиям ИБ, включают в себя:

a) процессы СМИБ (например, анализ со стороны руководства, внутренний аудит);

b) процессы, необходимые для реализации плана обработки рисков ИБ.

Реализация планов приводит к управляемым и контролируемым процессам.

Организация должна нести ответственность за планирование и контроль любых процессов, переданных на аутсорсинг, для достижения целей ИБ. Таким образом, организация должна:

c) определить процессы с учетом рисков ИБ, связанных с аутсорсингом;

d) обеспечивать контроль за процессами, находящимися на аутсорсинге (т.е. планирование, мониторинг и проверки), таким образом, чтобы не возникало никаких сомнений в том, что они работают не по назначению (также с учетом целей ИБ и плана обработки рисков ИБ).

После завершения внедрения процессы управляются, подвергаются мониторингу и проверкам, чтобы гарантировать, что они продолжают выполнять требования, определенные после понимания потребностей и ожиданий заинтересованных сторон (см. 4.2).

Изменения СМИБ могут быть запланированными или непреднамеренными. Всякий раз, когда организация вносит изменения в СМИБ (намеренно или непреднамеренно), она оценивает потенциальные последствия от изменений для контроля любых неблагоприятных последствий.

Организация может получить уверенность в эффективности выполнения планов, документируя мероприятия и используя документированную информацию в качестве входных данных для процессов оценки эффективности, указанных в разделе 9. Поэтому организация устанавливает список необходимой документированной информации для хранения.

Руководство

Процессы, которые были определены в результате планирования, описанного в разделе 6, должны быть внедрены, эксплуатироваться и проверяться в рамках всей организации. Необходимо рассмотреть и осуществить:

e) процессы, специфичные для управления ИБ (такие как управление рисками, управление инцидентами, управление непрерывностью, внутренние аудиты, анализ со стороны руководства);

f) процессы, вытекающие из мер обеспечения ИБ в плане обработки рисков ИБ;

g) разработку структуры отчетности (содержание, периодичность, формат, ответственность и т.д.) в области ИБ, например отчеты об инцидентах, отчеты об измерении достижения целей ИБ, отчеты о выполненных мероприятиях и т.д.;

h) разработку структуры совещаний (частота, участники, назначение и полномочия), связанных с ИБ. Мероприятия по ИБ должны координироваться представителями различных подразделений организации с соответствующими ролями и должностными функциями для эффективного управления ИБ.

Для запланированных изменений организация должна:

i) планировать их выполнение и назначать задачи, обязанности, сроки и ресурсы;

j) вносить изменения в соответствии с планом;

k) контролировать их выполнение, чтобы подтвердить, что они выполняются в соответствии с планом;

l) собирать и хранить документированную информацию о выполнении изменений в качестве доказательства того, что они были выполнены в соответствии с планом (например, с указанием обязанностей, сроков, оценок эффективности и т.д.).

Для наблюдаемых непреднамеренных изменений организация должна:

m) проанализировать последствия от них;

n) определить, имели ли место какие-либо неблагоприятные последствия или они могут произойти в будущем;

o) планировать и осуществлять действия для смягчения любых неблагоприятных последствий по мере необходимости;

p) собирать и хранить документированную информацию о непреднамеренных изменениях и действиях, предпринятых для смягчения неблагоприятных последствий.

Если часть функций или процессов организации передается на аутсорсинг, организация должна:

q) определить все аутсорсинговые отношения;

r) установить соответствующие интерфейсы для поставщиков;

s) решать вопросы, связанные с ИБ, в соглашениях с поставщиками;

t) осуществлять мониторинг и проверку услуг поставщиков, чтобы убедиться, что они работают так, как запланировано, а связанные с этим риски ИБ соответствуют критериям приемлемости рисков организации;

u) при необходимости управлять изменениями в услугах поставщика.

Дополнительная информация

Дополнительная информация отсутствует.