ГОСТ ISO/IEC 27014-2021. Межгосударственный стандарт. Информационные технологии. Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности

7.2 Цели

 

7.2.1 Цель 1: Обеспечение всеобъемлющей интегрированной информационной безопасности на уровне организационной структуры

Руководство деятельностью по обеспечению ИБ должно гарантировать, что цели ИБ являются всеобъемлющими и интегрированными. Информационной безопасностью следует заниматься на уровне организационной структуры, с принятием решений с учетом приоритетов организационной структуры. Действия, касающиеся физической и логической безопасности, должны быть тщательно скоординированы. Но при этом не обязательно иметь одну совокупность мер обеспечения безопасности или единую СМИБ для всей организационной структуры.

В целях обеспечения ИБ в масштабах всей организационной структуры для всего диапазона ее деятельности должны быть установлены ответственность за ИБ и соответствующая подотчетность. Область ИБ может выходить за пределы обычно воспринимаемых "границ" организационной структуры, например включать информацию, хранящуюся или передаваемую внешними сторонами.

7.2.2 Цель 2: Принятие решений на основе оценки рисков

Руководство деятельностью по обеспечению ИБ должно основываться на обязательствах по соблюдению требований, а также на решениях, основанных на оценке специфичных для организационной структуры рисков. Определение приемлемой степени безопасности должно основываться на допустимых для организационной структуры уровнях рисков, включая риски потери конкурентного преимущества, риски несоответствия и невыполнения обязательств, риски сбоев в работе, риски репутационного ущерба и финансовых убытков.

Управление рисками ИБ должно быть единообразным для всей организационной структуры и включать в себя анализ неблагоприятных финансовых, операционных и репутационных последствий нарушений и несоблюдения требований. Кроме того, управление рисками ИБ должно быть интегрировано с общим подходом к управлению рисками организационной структуры, чтобы оно не выполнялось изолированно и не вызывало путаницы, например, при сопоставлении с методологией организации или при записи стратегических информационных рисков в реестр рисков организации.

Для реализации управления информационными рисками соответствующие ресурсы должны быть выделены как часть процесса управления безопасностью.

7.2.3 Цель 3: Обеспечение координации приобретений

При проведении новых мероприятий, таких как любые инвестиции, покупки, слияние, внедрение новых технологий, заключения соглашений об аутсорсинге и контрактов с внешними поставщиками, необходимо должным образом оценить воздействия рисков ИБ.

Для оптимизации ИБ для поддержки целей организационной структуры руководящий орган должен обеспечить интеграцию информационной безопасности с существующими процессами организационной структуры, включая управление проектами, закупками, финансовыми расходами, соответствием законодательным и нормативным требованиям и управление стратегическими рисками.

Для каждой СМИБ высшее руководство должно разработать стратегию ИБ, основанную на целях организационной структуры, обеспечивая гармонизацию между требованиями организационной структуры и требованиями ИБ организации, удовлетворяя таким образом текущие и будущие потребности заинтересованных сторон.

7.2.4 Цель 4: Обеспечение соответствия внутренним и внешним требованиям

Руководство деятельностью по обеспечению ИБ должно гарантировать соответствие политик и практики ИБ требованиям заинтересованных сторон, которые могут включать в себя законы, нормативные акты, а также договорные требования и внутренние обязательства.

Для обеспечения уверенности в том, что деятельность по ИБ должным образом соответствует внутренним и внешним требованиям соответствия, а также для подтверждения этого соответствия высшее руководство может заказать независимый аудит безопасности.

7.2.5 Цель 5: Развитие культуры безопасности

Руководство деятельностью по обеспечению ИБ должно основываться на культурных ценностях организационной структуры с учетом меняющихся потребностей всех заинтересованных сторон, поскольку человеческое поведение является одним из фундаментальных элементов, обеспечивающих соответствующий уровень ИБ. Если не координировать цели, роли, обязанности и ресурсы должным образом, то они могут противоречить друг другу, что приведет к неспособности достичь каких-либо целей. Поэтому гармонизация и согласованная ориентация различных заинтересованных сторон очень важны.

В целях создания позитивной культуры ИБ высшее руководство должно требовать, поощрять и поддерживать координацию действий заинтересованных сторон для достижения последовательной координации ИБ. Этому способствует реализация образовательных, обучающих и информационных программ по вопросам безопасности. Обязанности по ИБ должны быть интегрированы в роли персонала и других сторон, которые, принимая на себя эти обязанности, и должны обеспечивать эффективность любой СМИБ.

7.2.6 Цель 6: Обеспечение соответствия показателей безопасности текущим и будущим требованиям организационной структуры

Руководство деятельностью по обеспечению ИБ должно гарантировать, что выбранный подход к защите информации соответствует цели поддержки организационной структуры, обеспечивая согласованные уровни ИБ. Показатели безопасности следует контролировать и поддерживать на уровне, необходимом для удовлетворения текущих и будущих требований.

Чтобы проанализировать эффективность ИБ с точки зрения руководства деятельностью, руководящий орган должен оценить не только результативность и действенность мер безопасности, но и на уровне организационной структуры оценить эффективность ИБ по отношению к ее влиянию.

В рамках каждой СМИБ от высшего руководства следует требовать внедрения программы оценки эффективности для мониторинга, аудита и выявления возможностей для улучшения. Руководящему органу следует увязать эффективность информационной безопасности с производительностью организации и организационной структуры в целом.