ГОСТ ISO/IEC 27014-2021. Межгосударственный стандарт. Информационные технологии. Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности

7.3 Процессы

 

7.3.1 Общие положения

Действия руководящего органа в организационной структуре реализуются выполнением процессов: "оценка", "координация", "мониторинг" и "обмен информацией". На рисунке 1 показана взаимосвязь между этими процессами.

 

 

Рисунок 1 - Модель управления организационной структурой

с одной системой менеджмента информационной безопасности

 

Примечания

1 Определение организации (3.2) подразумевает, что высшее руководство всегда полностью вовлечено в работу организации.

2 В состав организационной структуры может входить более одной СМИБ, но могут быть и такие части организационной структуры, к которым применимо руководство деятельностью, но которые не охвачены СМИБ (см. раздел 8 и приложение B).

 

7.3.2 Оценка

"Оценка" представляет собой процесс руководства деятельностью, в ходе которого анализируется текущее и прогнозируемое достижение целей на основе текущих процессов и запланированных изменений и определяется, где требуются какие-либо корректировки для оптимизации достижения стратегических целей в будущем.

В процессе "оценка" руководящий орган организационной структуры должен:

- гарантировать, что инициативы учитывают соответствующие риски и возможности;

- реагировать на оценки ИБ, СМИБ и соответствующие отчеты путем определения целей и их приоритетов в контексте каждой СМИБ, что также включает и рассмотрение требований вне области действия СМИБ.

В процессе "оценка" высшее руководство каждой СМИБ должно:

- гарантировать, что ИБ должным образом поддерживает цели организационной структуры и способствует их достижению;

- представлять на одобрение руководящему органу новые значимые проекты ИБ.

7.3.3 Координация

"Координация" - это процесс руководства деятельностью, посредством которого руководящий орган задает направления развития целей и стратегии организационной структуры. Координация может включать в себя изменения в уровнях обеспечения ресурсами, изменения распределения ресурсов и приоритетов деятельности, утверждение политик, принятие существенных рисков и планов управления рисками.

В процессе "координация" руководящий орган должен:

- определить общее стратегическое направление и цели организационной структуры;

- определить уровень предпочтительного риска организационной структуры;

- утвердить стратегию безопасности информации.

В процессе "координация" высшее руководство каждой СМИБ должно:

- выделить соответствующие инвестиции и ресурсы;

- согласовать цели ИБ организационной структуры с целями организационной структуры;

- распределить роли и обязанности по ИБ;

- установить политику ИБ.

Примечание - Предпочтительный риск - это тип риска и его уровень, к которому организация стремится или готова поддерживать.

 

7.3.4 Мониторинг

"Мониторинг" является процессом управления деятельностью, позволяющим руководству контролировать ее текущее состояние, оценивать достижение стратегических целей.

Мониторинг - это система постоянного наблюдения за явлениями и процессами, проходящими в окружающей среде и обществе, результаты которого служат для обоснования управленческих решений по обеспечению безопасности людей и объектов.

В процессе "мониторинг" руководящий орган должен:

- получать отчет об эффективности работы каждой СМИБ;

- оценивать отчеты с точки зрения приоритетов организационной структуры;

- докладывать о приоритетах высшему руководству каждой СМИБ.

В процессе "мониторинг" высшее руководство каждой СМИБ должно:

- оценивать эффективность деятельности по управлению ИБ;

- обеспечить соответствие внутренним и внешним требованиям;

- учитывать изменяющуюся структуру, правовую и нормативную среду, а также любое потенциальное влияние на информационные риски;

- выбрать подходящие показатели эффективности и требовать своевременной отчетности с организационной точки зрения;

- обеспечивать руководящему органу обратную связь о результатах деятельности по обеспечению ИБ;

- предупреждать руководящий орган о новых событиях, влияющих на информационные риски и ИБ.

Чтобы проанализировать эффективность ИБ с точки зрения руководства деятельностью, высшее руководство должно оценивать не только результативность и действенность средств обеспечения безопасности, но и эффективность ИБ относительно ее воздействия на уровне организационной структуры и подразделений. Анализ может быть выполнен путем реализации программы оценки производительности для мониторинга, аудита и выявления возможностей улучшения путем сопоставления эффективности ИБ с производительностью организации и организационной структуры в целом.

7.3.5 Обмен информацией

"Обмен информацией" представляет собой двусторонний процесс руководства деятельностью, при котором руководящий орган и заинтересованные стороны обмениваются данными, соответствующими их конкретным потребностям.

Одним из возможных документов "обмена информацией" может быть отчет о состоянии ИБ, в котором заинтересованным сторонам разъясняются действия и проблемы ИБ.

Одной из причин обмена информацией является необходимость обеспечить должную ответственность организационной структуры перед заинтересованными сторонами, такими как акционеры. Обмен информацией становится все более важным, и организационные структуры предоставляют информацию о реализации и поддержке своих СМИБ, а также об эффективности управления рисками. Кроме того, в случае если произошел инцидент ИБ, организационная структура должна объяснить влияние, причины и изменения в мерах обеспечения безопасности для снижения риска повторных инцидентов всем своим заинтересованным сторонам, а при необходимости - дополнительно - и широкой общественности.

Обмен информацией может осуществляться разными способами. Он также может быть различным по содержанию и иметь самые разные аудитории. Любой обмен информацией должен быть спроектирован с учетом аудитории, а также сообщений, которые, как предполагается, аудитория должна понимать. Эти два фактора следует использовать для определения содержания сообщений, а также каналов, используемых для доставки сообщений целевой аудитории. Один из примеров приведен в приложении C.

В процессе "обмен информацией" руководящий орган должен:

- сообщать внешним заинтересованным сторонам о том, что организационная структура обеспечивает уровень ИБ, соответствующий характеру ее деятельности и приоритетам;

- специфицировать и определять приоритеты нормативных обязательств, ожиданий заинтересованных сторон и требований организационной структуры в отношении ИБ;

- консультировать высшее руководство каждой СМИБ по любым вопросам, требующим его внимания и решения;

- подробно инструктировать соответствующие заинтересованные стороны о целях, которых необходимо достигнуть в поддержку приоритетов ИБ;

- развивать культуру ИБ;

- обучать обязанностям и обсуждать их с персоналом и другими лицами, имеющими отношение к СМИБ.