Примітка. Вище керівництво може також призначити відповідальності та повноваження для звітування щодо результативності системи управління інформаційною безпекою в межах організації
6 ПЛАНУВАННЯ
Дії щодо ризиків та можливостей
Загальні положення
Під час планування системи управління інформаційною безпекою організація повинна розглянути питання, описані в 4.1, і вимоги, описані в 4.2, а також визначити ризики та можливості, які потрібно мати на увазі, щоб:
гарантувати, що система управління інформаційною безпекою може досягти запланованого результату(-ів);
запобігти або зменшити небажані ефекти; і
досягти постійного вдосконалення.
Організація повинна планувати:
дії, які стосуються цих ризиків та можливостей; і
як саме
інтегрувати й упровадити ці дії до процесів її системи управління інформаційною безпекою; та
оцінювати ефективність цих дій.
Оцінка ризиків інформаційної безпеки
Організація повинна визначити та застосовувати процес оцінювання ризиків інформаційної безпеки, який:
встановлює та підтримує критерії ризиків інформаційної безпеки, які містять:
критерії прийняття ризиків; і
критерії для виконання оцінки ризиків інформаційної безпеки;
гарантує, що повторні оцінки ризиків інформаційної безпеки призводять до послідовних, дійових та порівняльних результатів;
ідентифікує ризики інформаційної безпеки:
застосовує процес оцінювання ризиків інформаційної безпеки для ідентифікації ризиків, пов’язаних із втратою конфіденційності, цілісності й доступності в межах сфери застосування системи управління інформаційною безпекою; та
ідентифікує власників ризиків;
виконує аналіз ризиків інформаційної безпеки:
оцінює потенційні наслідки, які будуть результатом реалізації ризиків, ідентифікованих в 6.1.2 с) 1);
оцінює практичну імовірність появи ризиків, ідентифікованих у 6.1.2 с) 1); та
визначає рівні ризиків;
оцінює ризики інформаційної безпеки.
порівнює результати аналізу ризиків з критеріями ризиків, визначеними в 6.1.2 а); та
визначає пріоритети проаналізованих ризиків для оброблення ризиків.Організація повинна зберігати документовану інформацію стосовно процесу оцінювання ризиків інформаційної безпеки.
Оброблення ризиків інформаційної безпеки
Організація повинна визначити та застосовувати процес оброблення ризиків інформаційної безпеки для:
вибору доречних опцій оброблення ризиків інформаційної безпеки з урахуванням результатів оцінки ризиків;
визначити всі заходи безпеки, які необхідно впровадити для вибраної(-их) опції(-ій) оброблення ризиків;
Примітка. Організація може розробити необхідні заходи безпеки або ідентифікувати їх з будь-якого джерела.
порівняти заходи безпеки, визначені в 6.1.3 Ь) вище, з наведеними в додатку А, і підтвердити, що не було опущено потрібних заходів безпеки;
Примітка 1. Додаток А містить всебічний перелік цілей заходів безпеки та заходів безпеки. Користувачів цього стандарту відсилаємо до додатка А для впевненості, що необхідні заходи безпеки не було пропущено.
Примітка 2. Цілі заходів безпеки повністю долучено до вибраних заходів безпеки Перелік цілей заходів безпеки та заходи безпеки, надані в додатку А не є вичерпними і можуть бути потрібні додаткові цілі заходів безпеки та заходи безпеки.
підготувати Положення щодо застосовності, яке містить:
необхідні заходи безпеки (див. 6.1.3 Ь) та с));
обґрунтування для їх застосування;
впроваджені необхідні заходи безпеки чи ні;
обґрунтування для виключень заходів безпеки, наданих у додатку А;
розробити план оброблення ризиків інформаційної безпеки; та
отримати від власників ризиків підтвердження плану оброблення ризиків інформаційної безпеки та згоду на залишкові ризики інформаційної безпеки.
Організація повинна зберігати задокументовану інформацію щодо процесу оброблення ризиків інформаційної безпеки.
Примітка. Процес оцінювання та оброблення ризиків інформаційної безпеки в цьому стандарті відповідає принципам та загальним настановам, зазначеним в ISO 31000 [5].
Цілі інформаційної безпеки та планування їх досягнення
Організація повинна встановити цілі інформаційної безпеки для відповідних функцій та рівнів. Цілі інформаційної безпеки мають:
відповідати політиці інформаційної безпеки;
бути вимірюваними (якщо доцільно);
враховувати вимоги до інформаційної безпеки, які застосовують, а також результати оцінювання ризиків та оброблення ризиків;
бути розповсюдженими; та
оновлюватися, за потреби.
Організація повинна зберігати документовану інформацію щодо цілей інформаційної безпеки. Під час планування дій для досягнення цілей інформаційної безпеки організація повинна визначити: f) що треба зробити;
д) які ресурси будуть потрібні;
хто буде відповідальним;
коли процес буде завершено; та j) як результати будуть оцінювати.
ПІДТРИМКА
Ресурси
Організація повинна визначити й забезпечувати наявність ресурсів, потрібних для розроблення, впровадження, підтримання й постійного вдосконалення системи управління інформаційною безпекою
Компетенція
Організація повинна:
визначити рівень необхідної компетентності персоналу, який виконує роботи, що впливають на результативність інформаційної безпеки;
гарантувати, що цей персонал має компетенцію на основі відповідного навчання, тренінгів або досвіду;
за можливості, забезпечувати виконання певних дій для досягнення необхідної компетенції та оцінювати ефективність таких дій; і
зберігати відповідну документовану інформацію як доказ компетентності.
Примітка. Можливі дії можуть охоплювати, наприклад: проведення тренінгів, наставництво або перепризначення наявних працівників, або наймання на роботу чи за контрактом компетентних осіб.
Обізнаність
Персонал, який виконує функції під наглядом організації, повинен бути обізнаним в:
політиці інформаційної безпеки;
його вкладі в ефективність системи управління інформаційною безпекою, враховуючи переваги від вдосконалення результативності інформаційної безпеки; та
розумінні невідповідності вимогам системи управління інформаційною безпекою.
Комунікація
Організація повинна визначити потребу у внутрішніх та зовнішніх комунікаціях з питань системи управління інформаційною безпекою, включаючи:
з яких питань спілкуватися;
коли спілкуватися;
з ким спілкуватися;
хто повинен спілкуватися; та
процеси, за допомогою яких комунікація повинна відбуватися.
Документована інформація
Загальні положення
Система управління інформаційною безпекою організації повинна включати:
документовану інформацію, визначену цим стандартом; і
документовану інформацію, визначену організацією як необхідну для ефективності системи управління інформаційною безпекою.
Примітка. Обсяги документованої інформації для системи управління інформаційною безпекою можуть бути різними для різних організацій залежно від:
розміру організації й типу її діяльності, процесів, продуктів і послуг;
складності процесів та їх взаємодії; і
компетенції персоналу.
Створення та оновлення
У разі створення й оновлення документованої інформації організація повинна гарантувати відповідну:
ідентифікацію та опис (наприклад, назву, дату, автора чи посилальний номер);
формат (наприклад, мову, версію програмного забезпечення, графіки) та носії (наприклад, папір, електронні); та
перегляд і затвердження для відповідності й адекватності.
Контроль документованої інформації
Задокументована інформація, визначена системою управління інформаційною безпекою та цим стандартом має контролювати для гарантії того, що:
вона доступна й придатна для використання, де і коли вона потрібна; і
її належним чином захищено (наприклад, від втрати конфіденційності, помилкового використання або втрати цілісності).
Для контролю документованої інформації організація повинна виконувати такі дії відповідним чином:
розподіл, доступ, повернення та використання;
збереження та консервування, зокрема й консервування чіткості/розбірливості;
контроль змін (наприклад, контроль версій); та
утримування й розташування.
Документована інформація від зовнішнього джерела, визначена організацією як необхідна для планування та функціонування системи управління інформаційною безпекою, має бути ідентифікована відповідних чином і контрольована.
Примітка. Доступ означає рішення стосовно дозволу лише на перегляд документованої інформації чи дозволу та повноважень на перегляд і зміну документованої інформації тощо.
ФУНКЦІОНУВАННЯ
Робоче планування й контроль
Організація повинна планувати, впроваджувати й контролювати процеси, необхідні для виконання вимог інформаційної безпеки, а також впроваджувати дії, визначені в 6.1. Організація також повинна впроваджувати плани для досягнення цілей інформаційної безпеки, визначених в 6.2.
Організація повинна зберігати документовану інформацію в обсязі, необхідному для впевненості, що процес виконується як було заплановано.
Організація повинна контролювати заплановані зміни та переглядати наслідки непередбачених змін, застосовуючи дії для усунення будь-яких шкідливих дій, за потреби.
Організація повинна гарантувати, що процеси, віддані на аутсорсинг, визначені й контрольовані.
Оцінювання ризиків інформаційної безпеки
Організація повинна виконувати оцінювання ризиків через заплановані інтервали або коли запропоновані чи відбуваються суттєві зміни з урахуванням критеріїв, визначених в 6.1.2 а).
Організація повинна зберігати задокументовану інформацію стосовно результатів оцінювання ризиків інформаційної безпеки.
Оброблення ризиків інформаційної безпеки
Організація повинна впровадити план оброблення ризиків інформаційної безпеки.
Організація повинна зберігати задокументовану інформацію стосовно результатів оброблення ризиків інформаційної безпеки.
ОЦІНЮВАННЯ РЕЗУЛЬТАТИВНОСТІ
Моніторинг, вимірювання, аналіз та оцінювання
Організація повинна оцінювати результативність інформаційної безпеки та ефективність системи управління інформаційною безпекою.
Організація повинна визначити:
що саме потрібно моніторити й вимірювати, включаючи процеси інформаційної безпеки та заходи безпеки;
методи моніторингу, вимірювань, аналізу та оцінювання, які може бути застосовано для гарантії обґрунтованих результатів;
Примітка. Обрані методи, які надають порівняні та відтворювані результати, можна розглядати як обґрунтовані.
коли моніторинг та вимірювання потрібно виконувати;
хто повинен виконувати моніторинг та вимірювання;
коли результати моніторингу та вимірювань потрібно аналізувати й оцінювати; та
хто повинен аналізувати й оцінювати ці результати.
Організація повинна зберігати відповідну задокументовану інформацію як доказ результатів моніторингу та вимірювань.
Внутрішній аудит
Організація повинна проводити внутрішні аудити через заплановані інтервали часу для забезпечення того, що інформація чи система управління інформаційною безпекою:
відповідають
власним вимогам організації для її системи управління інформаційною безпекою; та
вимогам цього стандарту;
ефективно впроваджена та підтримується.
Організація повинна:
планувати, розробляти, впроваджувати та підтримувати програму(-и) аудиту, зокрема й частоту, методи, відповідальності, заплановані вимоги та звітність. Програма(-и) аудиту повинна(-і) враховувати аналіз важливості процесів, що їх розглядають, і результати попередніх аудитів;
визначити критерії аудиту та сферу застосування для кожного аудиту;
призначити аудиторів і виконати аудити, які гарантують об'єктивність і неупередженість процесу аудиту;
гарантувати, що результати аудиту буде доведено до відповідного керівництва; та
д) зберігати документовану інформацію як доказ програми аудиту та результатів аудиту.