ГОСТ Р ИСО/МЭК 27003-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

10.2 Постоянное улучшение

 

Необходимые мероприятия

Организация постоянно улучшает пригодность, адекватность и эффективность СМИБ.

Пояснение

Организации и их контекст никогда не бывают статичными. Кроме того, риски для информационных систем и способы их компрометации быстро развиваются. Наконец, ни одна СМИБ не идеальна, всегда есть способ ее улучшить, даже если организация и ее контекст не меняются.

Примером улучшений, не связанных с несоответствиями или рисками, является оценка элемента СМИБ (с точки зрения пригодности, адекватности и эффективности), которая может показать, что элемент превышает требования СМИБ или является неэффективным. Если это так, то есть возможность улучшить СМИБ, изменив оцениваемый элемент.

Системный подход с использованием постоянного улучшения приведет к более эффективной СМИБ, которая улучшит ИБ организации. Менеджмент ИБ управляет оперативной деятельностью организации, чтобы избежать чересчур реактивного подхода, когда большая часть ресурсов не была использована для поиска проблем и решения этих проблем. СМИБ работает систематически посредством постоянного улучшения, чтобы у организации был более проактивный подход. Высшее руководство может ставить цели для постоянного улучшения, например, путем измерения эффективности, стоимости или зрелости процесса.

Как следствие, организация относится к своей СМИБ как к развивающейся, обучающейся, живой части бизнес-операций. Чтобы СМИБ не отставала от изменений, она регулярно оценивается на предмет соответствия цели, эффективности и соответствия целям организации. Ничто не должно восприниматься как должное и ничто не должно рассматриваться как "недосягаемое" только потому, что оно было достаточно хорошим во время его реализации.

Руководство

Постоянное улучшение СМИБ должно повлечь за собой оценку самой СМИБ и всех ее элементов с учетом внутренних и внешних факторов (см. 4.1), требований заинтересованных сторон (см. 4.2) и результатов оценки эффективности (см. раздел 9). Оценка должна включать анализ:

a) пригодности СМИБ, с учетом внешних и внутренних факторов, требований заинтересованных сторон, установленных целей ИБ и идентифицированных рисков ИБ посредством планирования и внедрения СМИБ и мер обеспечения ИБ;

b) адекватности СМИБ с учетом совместимости процессов и мер обеспечения ИБ с общими целями организации, мероприятиями и процессами;

c) эффективности СМИБ, учитывая при этом, достигнут(ы) ли ожидаемый(ые) результат(ы) СМИБ, соблюдены ли требования заинтересованных сторон, управляются ли риски ИБ для достижения целей ИБ, управляются ли несоответствия, а ресурсы, необходимые для создания, внедрения, поддержки и постоянного улучшения СМИБ, соответствуют ли этим результатам.

Оценка также может включать анализ эффективности СМИБ и ее элементов с учетом целесообразности использования ими ресурсов, если существует риск того, что недостаточная эффективность может привести к ее потере или к невозможности ее повышения.

Возможности улучшения также могут быть определены при управлении несоответствиями и корректирующими действиями.

После определения возможностей для улучшения в соответствии с 6.1.1 организация должна:

d) оценить их, чтобы установить, стоит ли за ними наблюдать;

e) определить изменения в СМИБ и ее элементах для достижения улучшения;

f) спланировать и провести мероприятия по использованию возможностей, обеспечивающих реализацию преимуществ и отсутствие несоответствий;

g) оценить эффективность мероприятий.

Эти мероприятия следует рассматривать как подмножество мероприятий для обработки рисков и возможностей, описанных в 6.1.1.

Дополнительная информация

Дополнительная информация отсутствует.