БИБЛИОТЕКА НОРМАТИВНЫХ ДОКУМЕНТОВ

ГОСТ Р ИСО/МЭК 27003-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

10 Улучшение системы менеджмента информационной безопасности

 

10.1 Несоответствия и корректирующие действия

 

Необходимые мероприятия

Организация реагирует на несоответствия, оценивает их и принимает решения об их исправлении, а также о корректирующих действиях, если это необходимо.

Пояснение

Несоответствие - это невыполнение требований СМИБ. Требования - это потребности или ожидания, которые заявлены, подразумеваются или являются обязательными. Существует несколько типов несоответствий, таких как:

a) невыполнение требования (полностью или частично) ИСО/МЭК 27001 в СМИБ;

b) неспособность правильно выполнить или соответствовать требованию, правилу или мере, установленным СМИБ;

c) частичное или полное несоблюдение юридических, договорных или согласованных требований клиента.

Несоответствия могут касаться, например:

d) лиц, которые ведут себя не так, как ожидается в соответствии с процедурами и политиками;

e) поставщиков, не предоставляющих согласованные продукты или услуги;

f) проектов, не дающих ожидаемых результатов; и

g) мер обеспечения ИБ, функционирующих не так, как было задумано.

Несоответствия могут быть определены по:

h) недостаткам мероприятий, осуществляемых в рамках СМИБ;

i) неэффективным мерам обеспечения ИБ, которые не устраняются соответствующим образом;

j) анализу инцидентов ИБ, показывающих невыполнение требования СМИБ;

k) жалобам клиентов;

l) предупреждениям от пользователей или поставщиков;

m) результатам мониторинга и измерений, не соответствующим критериям приемлемости;

n) целям, которые не были достигнуты.

Исправления направлены на немедленное устранение несоответствия и его последствий (см. ИСО/МЭК 27001, 10.1, перечисление a)).

Корректирующие действия направлены на устранение причины несоответствия и предотвращение его повторения (см. ИСО/МЭК 27001, 10.1, перечисления b) - g)).

Следует обратить внимание, что понятие "по возможности" (ИСО/МЭК 27001, 10.1, перечисление a)) означает, что если действие по контролю и исправлению несоответствия осуществимо, то оно должно быть предпринято.

Руководство

Инциденты ИБ не обязательно означают, что существует несоответствие, но они могут быть индикаторами несоответствия. Внутренний и внешний аудиты и жалобы клиентов являются другими важными источниками, которые помогают в выявлении несоответствий.

Реакция на несоответствие должна основываться на определенном процессе обработки. Процесс должен включать в себя:

- выявление масштабов и последствий несоответствия;

- принятие решения об исправлениях для ограничения влияния несоответствия. Исправления могут включать переключение в предыдущее, отказоустойчивое или другое соответствующие состояние. Следует позаботиться о том, чтобы исправления не усугубляли ситуацию в отношении:

- общения с соответствующим персоналом для обеспечения проведения исправлений;

- проведения исправлений в соответствии с решением;

- мониторинга ситуации, чтобы убедиться, что исправления имели ожидаемый эффект и не привели к непреднамеренным побочным эффектам;

- дальнейших действий по исправлению несоответствия, если оно все еще не устранено;

- по возможности общения с другими заинтересованными сторонами.

В результате процесс обработки должен привести к ситуации, где несоответствия и связанные с ними последствия находятся под контролем. Однако одни только исправления не предотвратят повторения несоответствия.

Корректирующие действия могут проходить после или параллельно с исправлениями. Для этого необходимо предпринять следующие шаги:

- принять решение о необходимости выполнения корректирующих действий в соответствии с установленными критериями (например, влияние несоответствия, повторяемость и т.д.);

- проанализировать несоответствия, учитывая:

- были ли зарегистрированы подобные несоответствия;

- все последствия и побочные эффекты, вызванные несоответствием;

- предпринятые исправления;

- выполнить углубленный анализ причин несоответствия, учитывая:

- что пошло не так; конкретный триггер или ситуация, которая привела к несоответствию (ошибки, вызванные людьми, методами, процессами или процедурами, аппаратными или программными средствами, неправильными измерениями, средой);

- модели и критерии, которые могут помочь идентифицировать подобные ситуации в будущем;

- выполнить анализ возможных последствий несоответствий СМИБ, учитывая:

- существуют ли подобные несоответствия в других областях, например, с помощью моделей и критериев, найденных в ходе анализа причин этих последствий;

- соответствуют ли другие области указанным моделям или критериям так, что подобное несоответствие является лишь вопросом времени;

- определить действия, необходимые для устранения причины, оценить, соразмерны ли они последствиям и влиянию несоответствия, и проверить, не имеют ли они побочных эффектов, которые могут привести к другим несоответствиям или значительным новым рискам ИБ;

- планировать корректирующие действия, отдавая, если возможно, приоритет тем областям, где существует более высокая вероятность повторения несоответствия и более существенных последствий от него. Планирование должно включать ответственное лицо за корректирующие действия и сроки для их выполнения;

- выполнить корректирующие действия в соответствии с планом;

- оценить корректирующие действия, чтобы определить, действительно ли они устранили причину несоответствия и предотвратили возникновение других связанных несоответствий. Эта оценка должна быть беспристрастной, основанной на фактических доказательствах и должна быть задокументирована. Об этом также следует сообщить соответствующим ролям и заинтересованным сторонам.

В результате исправлений и корректирующих действий, возможно, будут выявлены новые возможности для улучшения. К ним следует относиться соответствующим образом (см. 10.2).

Необходимо сохранить достаточное количество документированной информации, чтобы продемонстрировать, что организация действовала надлежащим образом в ходе устранения несоответствия и боролась с соответствующими последствиями. Все существенные этапы управления несоответствиями (начиная с обнаружения и исправления) и корректирующими действиями (анализ причин, проверка, решение о реализации действий, анализ и принятие решений об изменениях, принятых для самой СМИБ) должны быть задокументированы. В документированной информации должны быть доказательства, помогли ли предпринятые действия достичь ожидаемых результатов.

Некоторые организации ведут реестры для отслеживания несоответствий и корректирующих действий. Может быть несколько реестров (например, один для каждой функциональной области или процесса) и на разных носителях (бумага, файл, приложение и т.д.). При этом их следует создавать и контролировать как документированную информацию, и они должны позволять проводить всесторонний анализ всех несоответствий и корректирующих действий для обеспечения правильной оценки необходимости действий.

Дополнительная информация

ИСО/МЭК 27001 явно не устанавливает каких-либо требований к "превентивным действиям". Это связано с тем, что одна из ключевых целей формальной системы менеджмента - действовать в качестве превентивного инструмента. Следовательно, общий текст, используемый в стандартах ИСО по системам менеджмента, требует оценки "внешних и внутренних факторов организации, относящихся к ее цели и влияющих на ее способность достичь ожидаемого(ых) результата(ов)", приведенных в 4.1, и "определения рисков и возможностей, которые необходимо устранить: обеспечить, чтобы СМИБ смогла достичь ожидаемого(ых) результата(ов); предотвратить или уменьшить нежелательные эффекты и достичь постоянного улучшения", приведенных в 6.1. Считается, что эти два набора требований охватывают концепцию "превентивных действий", а также расширяют взгляд на риски и возможности.

TelegramПодписаться на обновления
TOC