Страница 2: ДСТУ ISO/IEC 27001:2015. Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги (62498)

Примітка. Вище керівництво може також призначити відповідальності та повноваження для звітування щодо резуль­тативності системи управління інформаційною безпекою в межах організації

6 ПЛАНУВАННЯ

  1. Дії щодо ризиків та можливостей

    1. Загальні положення

Під час планування системи управління інформаційною безпекою організація повинна роз­глянути питання, описані в 4.1, і вимоги, описані в 4.2, а також визначити ризики та можливості, які потрібно мати на увазі, щоб:

  1. гарантувати, що система управління інформаційною безпекою може досягти заплановано­го результату(-ів);

  2. запобігти або зменшити небажані ефекти; і

  3. досягти постійного вдосконалення.

Організація повинна планувати:

  1. дії, які стосуються цих ризиків та можливостей; і

  2. як саме

  1. інтегрувати й упровадити ці дії до процесів її системи управління інформаційною безпе­кою; та

  2. оцінювати ефективність цих дій.

  1. Оцінка ризиків інформаційної безпеки

Організація повинна визначити та застосовувати процес оцінювання ризиків інформаційної безпеки, який:

  1. встановлює та підтримує критерії ризиків інформаційної безпеки, які містять:

  1. критерії прийняття ризиків; і

  2. критерії для виконання оцінки ризиків інформаційної безпеки;

  1. гарантує, що повторні оцінки ризиків інформаційної безпеки призводять до послідовних, дійо­вих та порівняльних результатів;

  2. ідентифікує ризики інформаційної безпеки:

  1. застосовує процес оцінювання ризиків інформаційної безпеки для ідентифікації ризиків, пов’язаних із втратою конфіденційності, цілісності й доступності в межах сфери засто­сування системи управління інформаційною безпекою; та

  2. ідентифікує власників ризиків;

  1. виконує аналіз ризиків інформаційної безпеки:

  1. оцінює потенційні наслідки, які будуть результатом реалізації ризиків, ідентифікованих в 6.1.2 с) 1);

  2. оцінює практичну імовірність появи ризиків, ідентифікованих у 6.1.2 с) 1); та

  3. визначає рівні ризиків;

  1. оцінює ризики інформаційної безпеки.

  1. порівнює результати аналізу ризиків з критеріями ризиків, визначеними в 6.1.2 а); та

визначає пріоритети проаналізованих ризиків для оброблення ризиків.Організація повинна зберігати документовану інформацію стосовно процесу оцінювання ри­зиків інформаційної безпеки.

  1. Оброблення ризиків інформаційної безпеки

Організація повинна визначити та застосовувати процес оброблення ризиків інформаційної безпеки для:

  1. вибору доречних опцій оброблення ризиків інформаційної безпеки з урахуванням резуль­татів оцінки ризиків;

  2. визначити всі заходи безпеки, які необхідно впровадити для вибраної(-их) опції(-ій) оброб­лення ризиків;

Примітка. Організація може розробити необхідні заходи безпеки або ідентифікувати їх з будь-якого джерела.

  1. порівняти заходи безпеки, визначені в 6.1.3 Ь) вище, з наведеними в додатку А, і підтвер­дити, що не було опущено потрібних заходів безпеки;

Примітка 1. Додаток А містить всебічний перелік цілей заходів безпеки та заходів безпеки. Користувачів цього стан­дарту відсилаємо до додатка А для впевненості, що необхідні заходи безпеки не було пропущено.

Примітка 2. Цілі заходів безпеки повністю долучено до вибраних заходів безпеки Перелік цілей заходів безпеки та за­ходи безпеки, надані в додатку А не є вичерпними і можуть бути потрібні додаткові цілі заходів безпеки та заходи безпеки.

  1. підготувати Положення щодо застосовності, яке містить:

  • необхідні заходи безпеки (див. 6.1.3 Ь) та с));

  • обґрунтування для їх застосування;

  • впроваджені необхідні заходи безпеки чи ні;

  • обґрунтування для виключень заходів безпеки, наданих у додатку А;

  1. розробити план оброблення ризиків інформаційної безпеки; та

  2. отримати від власників ризиків підтвердження плану оброблення ризиків інформаційної без­пеки та згоду на залишкові ризики інформаційної безпеки.

Організація повинна зберігати задокументовану інформацію щодо процесу оброблення ризиків інформаційної безпеки.

Примітка. Процес оцінювання та оброблення ризиків інформаційної безпеки в цьому стандарті відповідає принципам та загальним настановам, зазначеним в ISO 31000 [5].

  1. Цілі інформаційної безпеки та планування їх досягнення

Організація повинна встановити цілі інформаційної безпеки для відповідних функцій та рівнів. Цілі інформаційної безпеки мають:

  1. відповідати політиці інформаційної безпеки;

  2. бути вимірюваними (якщо доцільно);

  3. враховувати вимоги до інформаційної безпеки, які застосовують, а також результати оці­нювання ризиків та оброблення ризиків;

  4. бути розповсюдженими; та

  5. оновлюватися, за потреби.

Організація повинна зберігати документовану інформацію щодо цілей інформаційної безпеки. Під час планування дій для досягнення цілей інформаційної безпеки організація повинна визначити: f) що треба зробити;

д) які ресурси будуть потрібні;

  1. хто буде відповідальним;

  2. коли процес буде завершено; та j) як результати будуть оцінювати.

  1. ПІДТРИМКА

    1. Ресурси

Організація повинна визначити й забезпечувати наявність ресурсів, потрібних для розроблення, впровадження, підтримання й постійного вдосконалення системи управління інформаційною безпекою

  1. Компетенція

Організація повинна:

  1. визначити рівень необхідної компетентності персоналу, який виконує роботи, що впливають на результативність інформаційної безпеки;

  2. гарантувати, що цей персонал має компетенцію на основі відповідного навчання, тренінгів або досвіду;

  3. за можливості, забезпечувати виконання певних дій для досягнення необхідної компетенції та оцінювати ефективність таких дій; і

  4. зберігати відповідну документовану інформацію як доказ компетентності.

Примітка. Можливі дії можуть охоплювати, наприклад: проведення тренінгів, наставництво або перепризначення наяв­них працівників, або наймання на роботу чи за контрактом компетентних осіб.

  1. Обізнаність

Персонал, який виконує функції під наглядом організації, повинен бути обізнаним в:

  1. політиці інформаційної безпеки;

  2. його вкладі в ефективність системи управління інформаційною безпекою, враховуючи пе­реваги від вдосконалення результативності інформаційної безпеки; та

  3. розумінні невідповідності вимогам системи управління інформаційною безпекою.

  1. Комунікація

Організація повинна визначити потребу у внутрішніх та зовнішніх комунікаціях з питань сис­теми управління інформаційною безпекою, включаючи:

  1. з яких питань спілкуватися;

  2. коли спілкуватися;

  3. з ким спілкуватися;

  4. хто повинен спілкуватися; та

  5. процеси, за допомогою яких комунікація повинна відбуватися.

  1. Документована інформація

    1. Загальні положення

Система управління інформаційною безпекою організації повинна включати:

  1. документовану інформацію, визначену цим стандартом; і

  2. документовану інформацію, визначену організацією як необхідну для ефективності систе­ми управління інформаційною безпекою.

Примітка. Обсяги документованої інформації для системи управління інформаційною безпекою можуть бути різними для різних організацій залежно від:

  1. розміру організації й типу її діяльності, процесів, продуктів і послуг;

  2. складності процесів та їх взаємодії; і

  3. компетенції персоналу.

  1. Створення та оновлення

У разі створення й оновлення документованої інформації організація повинна гарантувати відповідну:

  1. ідентифікацію та опис (наприклад, назву, дату, автора чи посилальний номер);

  2. формат (наприклад, мову, версію програмного забезпечення, графіки) та носії (наприклад, папір, електронні); та

  3. перегляд і затвердження для відповідності й адекватності.

  1. Контроль документованої інформації

Задокументована інформація, визначена системою управління інформаційною безпекою та цим стандартом має контролювати для гарантії того, що:

  1. вона доступна й придатна для використання, де і коли вона потрібна; і

  2. її належним чином захищено (наприклад, від втрати конфіденційності, помилкового вико­ристання або втрати цілісності).

Для контролю документованої інформації організація повинна виконувати такі дії відповідним чином:

  1. розподіл, доступ, повернення та використання;

  2. збереження та консервування, зокрема й консервування чіткості/розбірливості;

  3. контроль змін (наприклад, контроль версій); та

  4. утримування й розташування.

Документована інформація від зовнішнього джерела, визначена організацією як необхідна для планування та функціонування системи управління інформаційною безпекою, має бути ідентифі­кована відповідних чином і контрольована.

Примітка. Доступ означає рішення стосовно дозволу лише на перегляд документованої інформації чи дозволу та по­вноважень на перегляд і зміну документованої інформації тощо.

  1. ФУНКЦІОНУВАННЯ

    1. Робоче планування й контроль

Організація повинна планувати, впроваджувати й контролювати процеси, необхідні для вико­нання вимог інформаційної безпеки, а також впроваджувати дії, визначені в 6.1. Організація також повинна впроваджувати плани для досягнення цілей інформаційної безпеки, визначених в 6.2.

Організація повинна зберігати документовану інформацію в обсязі, необхідному для впевне­ності, що процес виконується як було заплановано.

Організація повинна контролювати заплановані зміни та переглядати наслідки непередбаче­них змін, застосовуючи дії для усунення будь-яких шкідливих дій, за потреби.

Організація повинна гарантувати, що процеси, віддані на аутсорсинг, визначені й контрольовані.

  1. Оцінювання ризиків інформаційної безпеки

Організація повинна виконувати оцінювання ризиків через заплановані інтервали або коли за­пропоновані чи відбуваються суттєві зміни з урахуванням критеріїв, визначених в 6.1.2 а).

Організація повинна зберігати задокументовану інформацію стосовно результатів оцінюван­ня ризиків інформаційної безпеки.

  1. Оброблення ризиків інформаційної безпеки

Організація повинна впровадити план оброблення ризиків інформаційної безпеки.

Організація повинна зберігати задокументовану інформацію стосовно результатів оброблен­ня ризиків інформаційної безпеки.

  1. ОЦІНЮВАННЯ РЕЗУЛЬТАТИВНОСТІ

    1. Моніторинг, вимірювання, аналіз та оцінювання

Організація повинна оцінювати результативність інформаційної безпеки та ефективність сис­теми управління інформаційною безпекою.

Організація повинна визначити:

  1. що саме потрібно моніторити й вимірювати, включаючи процеси інформаційної безпеки та заходи безпеки;

  2. методи моніторингу, вимірювань, аналізу та оцінювання, які може бути застосовано для га­рантії обґрунтованих результатів;

Примітка. Обрані методи, які надають порівняні та відтворювані результати, можна розглядати як обґрунтовані.

  1. коли моніторинг та вимірювання потрібно виконувати;

  2. хто повинен виконувати моніторинг та вимірювання;

  3. коли результати моніторингу та вимірювань потрібно аналізувати й оцінювати; та

  4. хто повинен аналізувати й оцінювати ці результати.

Організація повинна зберігати відповідну задокументовану інформацію як доказ результатів моніторингу та вимірювань.

  1. Внутрішній аудит

Організація повинна проводити внутрішні аудити через заплановані інтервали часу для за­безпечення того, що інформація чи система управління інформаційною безпекою:

  1. відповідають

  1. власним вимогам організації для її системи управління інформаційною безпекою; та

  2. вимогам цього стандарту;

  1. ефективно впроваджена та підтримується.

Організація повинна:

  1. планувати, розробляти, впроваджувати та підтримувати програму(-и) аудиту, зокрема й частоту, методи, відповідальності, заплановані вимоги та звітність. Програма(-и) аудиту повинна(-і) враховувати аналіз важливості процесів, що їх розглядають, і результати попередніх аудитів;

  2. визначити критерії аудиту та сферу застосування для кожного аудиту;

  3. призначити аудиторів і виконати аудити, які гарантують об'єктивність і неупередженість процесу аудиту;

  4. гарантувати, що результати аудиту буде доведено до відповідного керівництва; та

д) зберігати документовану інформацію як доказ програми аудиту та результатів аудиту.

Скачать бесплатно
Предыдущий документ
Следующий документ
Предыдущая страница
Следующая страница


Нормативні акти про охорону праці Основні законодавчі акти Будівельні норми і правила (ДБН, СНиП) Стандарти (ГОСТ, ДСТУ) Санітарні норми і правила Пожежна безпека (НАПБ) Інструкції з охорони праці Реестр НПАОП 2020-2021 - Нормативно-правові акти з охорони праці

ГОСТ 19906-74 Нитрит натрия технический. Технические условия ДБН В.1.1.7-2002 Захист від пожежі. Пожежна безпека об'єктів будівництва. ДСТУ 4306:2004 Олія пальмова Довідника кваліфікаційних характеристик професій працівників Закон України "Про пенсійне забезпечення" ГОСТ Р 52495-2005 Социальное обслуживание населения. Термины и определения ГОСТ 24705-2004 Основные нормы взаимозаменяемости. Резьба метрическая. Основные размеры ДБН В.2.2-9-2009 Громадські будинки та споруди основні положення ДСП 173-96 Державні санітарні правила планування та забудови населених пунктів ГОСТ 27.002-89 Надежность в технике. Основные понятия. Термины и определения
СанПиН 2.1.1.012-99 Санитарные правила и нормы по проектированию строительства объектов хранения легкового индивидуального автотранспорта в г.Санкт-Петербурге СТОРІНКА: 2 ДСТУ 2834-94 Прокат тонколистовой из углеродистой стали качественной и обыкновенного качества общего назначения. Технические условия. СТОРІНКА: 3 ГОСТ 12.2.072-98 Роботы промышленные роботизированные технологические комплексы требования безопасности и методы испытаний СТОРІНКА: 3 ВСН 185-85 Расчет на прочность обвязочных трубопроводов СТОРІНКА: 2 РД И 34-38-058-91 РДИ 34-38-058-91 Типовая технологическая инструкция. Трансформаторы напряжением 110-1150 кВ, мощностью 80 МВ А и более. Капитальный ремонт СТОРІНКА: 2 ГОСТ 8419-75 Подшипники роликовые конические четырехрядные. Основные размеры СТОРІНКА: 3 ДСТУ 2856.6-94 Сплави цинкові. Методи визначення заліза / Сплавы цинковые. Методы определения железа СТОРІНКА: 3 ДНАОП 0.00-1.10-57 Правила будови і безпечної експлуатації парових котлів і повітряних резервуарів паровозів промислових підприємств СТОРІНКА: 3 НПАОП 0.00-1.08-94 Правила устройства и безопасной эксплуатации паровых и водогрейных котлов (1998) СТОРІНКА: 5 ГОСТ Р 51263-99 Полистиролбетон. Технические условия СТОРІНКА: 3
Смотрите также
ДБН Б.2.2-5:2011 Благоустрій територійДБН В.2.2-11-2002 Предприятия бытового обслуживания основные положения Методические рекомендации по технико-экономическому обоснованию строительства обходных и кольцевых автомобильных дорог и вводов в городаПІ 1.5.20-378-2005 Примірна інструкція з охорони праці під час виконання робіт по нанесенню лакофарбових матеріалів в камерах для пневматичного розпилювання