Страница 3: ДСТУ ISO/IEC 27001:2010. Інформаційні технології. Методи та засоби досягнення інформаційної безпеки. Системи керування інформаційною безпекою. Вимоги (62319)

  1. провадити внутрішні аудити СУІБ у заплановані терміни (див. розділ 6);

Примітка. Внутрішні аудити, що інколи називають аудитами першої сторони, проводить сама органзіція (або зовнішня організація за дсрученням) для внутрішніх цілей.

  1. регулярно провадити керівництвом організації аналіз СУІБ з боку керівництва, для підтвер­дження адекЕіатності її функціювання та визначення напрямків удосконалення (див. 7.1);

д) оновгювати плани інформаційної безпеки з урахуванням результатів аналізу та моніто­рингу;

h) реєструвати дії та події, здатні вчиняти негативний вплив на ефективність чи продук­тивність СУІЕ> (див. 4.3.3).

4.2.4 Підтримка та поліпшення СУІБ

Організація має регулярно виконувати таке:

  1. впроваджувати визначені поліпшення в СУІБ;

  2. здійснювати необхідні коригувальні та запобіжні дії згідно з 8.2, 8.3, застосовувати уроки, отримані з досвіду забезпечення інформаційної безпеки як у власній організації, так і в інших орга­нізаціях;

  3. повідомляти інформацію щодо дій та вдосконалення СУІБ усім зацікавленим сторонам, при цьому ступінь її деталізації має відповідати обставинам та, за потреби, погоджувати подальші дії;

  4. забезпечувати впровадження поліпшення СУІБ для досягнення запланованих цілей.

4.3 Вимоги до документації

  1. Загальні положення

Докумен гація має містити записи про рішення керівництва, які забезпечать контроль за ви­конанням ріаень керівництва і політики організації, а також відтворюваність задокументованих результатів.

Важливо мати зворотний зв’язок вибраних заходів управління з результатами процесів оці­нювання й обробки ризику, а також з політикою та цілями СУІБ.

Докумен гація СУІБ має містити:

  1. документально оформлені положення політики та цілей СУІБ (див. 4.2.1b));

  2. сфери функціювання СУІБ (див.4.2.1а));

  3. процедури та заходи управління, що підтримують СУІБ;

  4. опис методології оцінювання ризиків (див. 4.2.1с));

  5. звіт про оцінку ризиків (див. 4.2.1с)—4.2.1g));

  6. план оброблення ризиків (див. 4.2.2b));

  7. задокументовані процедури, необхідні організації для забезпечення ефективного плану­вання, впровадження процесів у сфері інформаційної безпеки та управління цими процесами, а також опису шляхів оцінювання результативності заходів управління (див. 4.2.3с));

  8. записи, які потребує цей стандарт (див. 4.3.3);

  9. положення про застосовність

Примітка 1, Термін «задокументовані процедури» в цьому стандарті означає, що ця процедура є установленою, доку­ментально оформленою, впровадженою та підтримується на належному рівні.

Примітка 2 Обсяги документації СУІБ можуть бути різними для кожної конкретної організації залежно від:

  • розміру с рганізації та видів її діяльності;

  • сфери згістосування і складності вимог щодо безпеки та від керованої системи.

Примітка 3 Документи та записи можуть існувати в будь-якій формі та на будь-якому носії.

4.3.2 Управління документами

Для розроблення, актуалізації, використання, зберігання та знищення документів СУІБ, а також їх захисту в організації має існувати задокументована процедура, що визначає дії керів­ництва щодо

  1. ухвалення документів СУІБ перед їх виданням;

  2. переглядання та оновлення, за потреби, документів, а також повторного їх ухвалення;

  3. забезпечення ідентифікації внесенних змін та поточного статусу документів;

  4. забезпечення наявності відповідних версій документів, застосовуваних у місцях їх вико­ристання;

  5. визначення порядку перегляду документів та їхньої ідентифікації;

  6. забезпечення доступу до документів авторизованим особам, а також передавання, збері­гання та знищення відповідно до процедур, які застосовують до ступеня їхньої конфіденційності;

д) забезпечення ідентифікації документів зовнішнього походження;

  1. забезпечення контролювання за розповсюдженням документів;

  2. запобігання ненавмисному використанню застарілих документів;

  3. використання відповідної ідентифікації застарілих документів у разі їх подальшого зберігання для деяких цілей.

4.3.3 Управління записами

Для надання свідоцтв відповідності вимогам та ефективності функціювання СУІБ необхідно вести і підтримувати в робочому стані записи. Записи необхідно контролювати і захищати. СУІБ повинна брати до уваги всі нормативно-правові вимоги та договірні зобов’язання, що мають відношення до інформаційної безпеки. Записи мають залишатися чіткими, легко ідентифікованими та відновлюваними. Контролювання, потрібне для ідентифікації, зберігання, захисту, відновлення, термін зберігання та знищення записів має бути задокументовано та впроваджено.

Крім того, треба вести і зберігати записи щодо виконання процесів, наведених у 4.2, і про всі значні інциденти інформаційної безпеки, що стосуються СУІБ.

Приклад.

Прикладами записів можуть бути: журнал реєстрації відвідувачів, звіти про результати аудитів і заповнені форми авторизації доступу.

5 ВІДПОВІДАЛЬНІСТЬ КЕРІВНИЦТВА

  1. Зобов’язання керівництва

Керівництво організації повинно надати докази виконання своїх зобов’язань відносно розроб­лення, впровадження, експлуатації, забезпечення функціювання, моніторингу, аналізування, підтримки й поліпшення СУІБ здійсненням таких заходів:

  1. розроблення політики СУІБ;

  2. забезпечення розроблення цілей і планів СУІБ;

  3. визначення функцій та відповідальностей з інформаційної безпеки;

  4. доведення до всіх співробітників організації важливості досягнення цілей інформаційної безпеки та ї відповідності вимогам політики безпеки, їх відповідальність перед законом, а також необхідність безперервного вдосконалення;

  5. виділення достатніх ресурсів для розроблення, впровадження, забезпечення функціювання, моніторингу аналізу, підтримки й поліпшення СУІБ (див. 5.2.1);

  6. установлення критеріїв прийняття ризиків і рівнів їхньої прийнятності;

д) забезпечення проведення внутрішніх аудитів СУІБ (див. розділ 6);

h) проведення аналізу СУІБ з боку керівництва (див. розділ 7).

5.2 Управління ресурсами

  1. Забезпечення ресурсами

Організація повинна визначити та надати ресурси, необхідні для

  1. розроблення, впровадження, забезпечення функціювання, моніторингу, аналізування, підтримки та поліпшення СУІБ;

  2. підтримки вимог бізнесу процедурами інформаційної безпеки;

  3. виявлення та забезпечення виконання вимог відповідних законів, нормативних актів і до­говірних зобов’язань у сфері інформаційної безпеки;

  4. підтримки адекватної безпеки шляхом правильного застосування всіх впроваджених заходів управління;

  5. проведення, за потреби, аналізу та прийняття відповідних заходів за його результатами;

  1. підвищення, за потреби, ефективності СУІБ.Навчання, обізнаність і компетентність

Організація повинна забезпечити, щоб весь персонал, для якого встановлено визначені в СУІБ відпоізідальності, був компетентним для виконання необхідних завдань шляхом:

  1. визначення необхідної компетентності для персоналу, залученого до роботи, що впливає на СУІБ;

  2. організації навчання персоналу або вживання інших дій (наприклад, наймання компетент­ного персоналу) для задоволення вказаних потреб;

  3. оцінювання ефективністі вжитих дій;

  4. ведення записів про освіту, навчання, навики, кваліфікацію та досвід персоналу (див. 4.3.3). Організація повинна також забезпечити розуміння всіма відповідними співробітниками зна­чущості та важливості діяльності в галузі інформаційної безпеки, і їх вкладу в досягнення цілі СУІБ.

  1. ВНУТРІШНІ АУДИТИ СУІБ

Організсіція повинна відповідно до затвердженого графіка провадити внутрішні аудити СУІБ для встановг ення, що цілі контролювання, заходи, процеси та процедури СУІБ:

  1. відповідають вимогам цього стандарту та відповідним законам чи нормативним документам;

  2. відпоінідають установленим вимогам щодо інформаційної безпеки;

  3. ефективно впроваджуються та підтримуються в робочому стані;

  4. функціюють належним чином.

Програму аудиту має бути сплановано з урахуванням статусу та важливості процесів і зон, що їх перевіряють, які підлягають аудиту, а також результатів попередніх аудитів. Мають бути визначені критерії, сфера, частота й методи аудиту. Відбір аудиторів і процедура аудиту мають забезпечувати його об’єктивність і неупередженість. Аудитори не повинні провадити перевірку своєї власної роботи.

Обов’язки та вимоги, що належать до планування, проведення аудиту, звітування про його результати і підтримування в робочому стані записів (див. 4.3.3), мають бути визначені в задо­кументованій процедурі.

Керівництво, відповідальне за сферу, що підлягає аудиту, повинно забезпечити, щоб дії для усунення виявлених невідповідностей та їхніх причин виконували без недоречних затримок. По­дальша діяльність має містити верифікацію виконаних дій і звітування про результати верифікації (див. розділ £;).

Примітка. У ISO 19011:2002 «Guidelines for quality and/or environmental management systems auditing» наведено необхідні рекомендації щодо проведення внутрішніх аудитів СУІБ.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO 19011:2002 Керівні настанови щодо аудиту систем управління якістю і/або навколишнім середовищем.

  1. АНАЛ ЗУВАННЯ СУІБ З БОКУ КЕРІВНИЦТВА

    1. Загальні положення

Керівництво має відповідно до затвердженого графіка періодичності (не менше одного разу на рік) провадити аналіз СУІБ організації для забезпечення її постійної придатності, адекватності та результаті вності. Результати аналізу мають містити пропозиції щодо зміни СУІБ та оцінку їхньої реалізації в інтересах забезпечення виконання вимог політики і цілей інформаційної без­пеки. Результати таких перевірок мають бути зафіксовані документально, а облікові записи мають бути збережені (див. 4.3.3).

  1. Вхідні дані для перегляду

Вхідні дані для аналізування з боку керівництва повинні містити:

  1. результати попередніх аудитів та аналізування СУІБ;

  2. результати взаємодії із зацікавленими сторонами;

  3. методи, засоби чи процедури, які можуть бути використані організацією для вдосконалення функціюванн? та поліпшення ефективності СУІБ;

  4. правов е забезпечення запобіжних та коригувальних дій;

  5. уразливість чи загрози, які не було адекватно враховано в процесі попереднього оціню­вання ризиків;

  6. результати вимірів ефективності СУІБ;

д) подальші дії за результатами попереднього аналізування з боку керівництва;

  1. будь-які зміни, які можуть вплинути на СУІБ;

  2. рекомендації щодо поліпшення.

7.3 Вихідні дані для перегляду

Вихідні дані аналізу СУІБ з боку керівництва повинні містити всі рішення та дії, спрямовані на:

  1. підвищення ефективності СУІБ;

  2. оновлення оцінки ризиків (див. 3.12) та плану оброблення ризиків;

  3. модифікацію процедур і заходів управління та контролювання, що впливають на інфор­маційну безпеку, для реагування на внутрішні або зовнішні події, які можуть впливати на СУІБ, охоплюючи зміни:

  1. у бізнес-вимогах;

  2. у вимогах щодо безпеки;

  1. '/ бізнес-процесах, які впливають на чинні бізнес-вимоги;

  2. у нормативних та законодавчих вимогах;

  1. у договірних зобов’язаннях;

  2. у рівнях ризику та/чи критеріїв прийняття ризиків;

  1. потреби в ресурсах;

  2. поліпшення способів вимірювання ефективності заходів.

8 ПОЛІПШЕННЯ СУІБ

  1. Постійне поліпшення

Організація повинна постійно підвищувати ефективність СУІБ за допомогою використання політики та цілей інформаційної безпеки, результатів аудитів, аналізу подій, що підлягають моні­торингу, коригувальних та запобіжних дій, аналізування з боку керівництва (див. розділ 7).

  1. Кс ригувальні дії

Організація повина провадити заходи щодо усунення причин невідповідностей вимогам СУІБ для запобігання їхньому повторному виникненню.

Задок/ментована процедура коригувальних дій має встановлювати вимоги до

  1. ідентифікування невідповідностей;

  2. визначення причин невідповідностей;

  3. оцінювання необхідності дій, щоб уникнути повторення невідповідностей;

б)визгачення та впровадження необхідних коригувальних дій;

  1. реєстрування результатів виконаних дій (див. 4.3.3);

  2. аналізування результатів виконаних коригувальних дій.

8.3 Запобіжні дії

Орган зація повинна визначати дії, необхідні для усунення причини потенційних невідповід­ностей вимогам СУІБ, щоб запобігти їхній повторній появі. Здійснені запобіжні дії мають відпові­дати наслідкам потенційних проблем.

Задокументована процедура здійснених запобіжних дій має встановлювати вимоги до

  1. визначення потенційних невідповідностей та їх причин;

  2. оцінювання потреб у діях для запобігання виникненню невідповідностей;

  3. визначення та впровадження необхідних запобіжних дій;

  4. реєстрації результатів виконаних дій (див. 4.3.3);

  5. ана лізування результатів виконаних запобіжних дій.

Скачать бесплатно
Предыдущий документ
Следующий документ
Предыдущая страница
Следующая страница


Нормативні акти про охорону праці Основні законодавчі акти Будівельні норми і правила (ДБН, СНиП) Стандарти (ГОСТ, ДСТУ) Санітарні норми і правила Пожежна безпека (НАПБ) Інструкції з охорони праці Реестр НПАОП 2020-2021 - Нормативно-правові акти з охорони праці

ГОСТ 19906-74 Нитрит натрия технический. Технические условия ДСТУ 4539:2006 Простокваша. Технічні умови ДСТУ 4065-2001 Енергозбереження. Енергетичний аудит. Загальні технічні вимоги ЗАКОН УКРАЇНИ Про охорону культурної спадщини Методичні рекомендації щодо порядку передачі в оренду майна державних підприємств, які входять до сфери управління Мінагрополітики, та надання згоди на здійснення поліпшень орендованого майна Закон України 2498-XII Про ветеринарну медицину Закон України Про державний контроль за використанням та охороною земель Закон України "Про загальнообов'язкове державне соціальне страхування від нещасного випадку на виробництві та професійного захворювання, які спричинили втрату працездатності" НПАОП 10.0-5.02-04 Инструкция по контролю состава рудничного воздуха, определению газообильности и установлению категорий шахт по метану ДСТУ 3581-97 Енергозбереження. Методи вимірювання і розрахунку теплоти згоряння палива
ДБН В.2.5-27-2006 Защитные меры электробезопасности в электроустановках зданий и сооружений СТОРІНКА: 14 ДСТУ 3418-96 Система сертифікації УкрСЕПРО. Вимоги до аудиторів та порядок їх атестації СТОРІНКА: 3 Закон України "Про захист людини від впливу іонізуючого випромінювання" СТОРІНКА: 3 ОСТ 1 00995-81 Изделия парашютных систем из текстильных материалов. Общие технические требования СТОРІНКА: 7 ГОСТ 26830-86 Преобразователи электроэнергии полупроводниковые мощностью до 5 кВ x А включительно. Общие технические условия СТОРІНКА: 5 НПБ 28-2001 Нормы пожарной безопасности Республики Беларусь. Пожарная техника. Огнетушители. Требования к эксплуатации СТОРІНКА: 4 (ДНАОП 0.00-4.12-99).Про утверждение Типичного положения об обучении по вопросам охраны труда (Упразднено согласно с приказом Госнадзорохрантруд Украины N 15 от 26.01.2005 г.) СТОРІНКА: 4 ДНАОП 63.21-1.40-90 Правила охорони праці при ремонті рухомого складу та виробництві запасних частин СТОРІНКА: 4 ПІ 1.1.70-405-2005 Примірна інструкція з охорони праці для підривника СТОРІНКА: 3 ГОСТ 30461-97 Цистерны вкладные судовые. Общие технические условия СТОРІНКА: 3
Смотрите также
ПРОЕКТУВАННЯ СИСТЕМ ШТУЧНОГО ПОПОВНЕННЯ ПІДЗЕМНИХ ВОД. ПІДЗЕМНІ ВОДОСХОВИЩА Посібник до ВБН 46/33-2.5-5-96 "Сільськогосподарське водопостачання. Зовнішні мережі і споруди. Норми проектування"РСН 74-88 Инженерные изыскания для строительства технические требования к производству буровых и горнопроходческих работ Относительно Методических рекомендаций из формирования себестоимости будівельно- монтажных работПІ 1.2.10-413-2005 Примірна інструкція з охороні праці для вальцювальника холодного прокату труб