2014-02-09
293
Реализация и эксплуатация СМЗИ
Организация должна сделать следующее.
a) Разработать план обработки рисков, в котором были бы предусмотрены необходимые мероприятия по менеджменту, ресурсы, ответственность и приоритеты для менеджмента рисками.
b) Реализовать план обработки рисков для того, чтобы достичь определенных целей управления, в том числе финансирования, распределения ролей и ответственности.
c) Реализовать средства управления рисками, выбранные в п. 4.2.1g), с целью достичь целей управления.
d) Определить, как измерять эффективность выбранных средств управления или группы средств управления, а также определить, как эти измерения предстоит использовать для оценки эффективности управления так, чтобы выдать сравнимые и воспроизводимые результаты (см. п.4.2.3c)).
ПРИМЕЧАНИЕ: Измерение результативности средств управления позволяет менеджерам и персоналу определять, насколько хорошо средства управления достигают запланированных целей управления.
e) Осуществлять подготовку и программы повышения осведомленности персонала (см. п.5.2.2).
|
|
|
f) Осуществлять менеджмент эксплуатации СМЗИ.
g) Управлять ресурсами для СМЗИ (см. п.5.2).
h) Внедрить процедуры управления и другие средства, способные дать возможность быстрого обнаружения события в системе защиты информации и реакции на инциденты в системе защиты информации (см. п.4.2.3a)).
Организация должна сделать следующее.
a) Выполнять процедуры постоянного контроля и анализа для того, чтобы:
1) быстро обнаруживать ошибки в результатах обработки;
2) быстро выявлять предпринимаемые и успешные нарушения защиты и инциденты;
3) дать руководству возможность определять, осуществляются ли виды деятельности по защите, назначенные людям или осуществляемые информационной технологией, как ожидалось;
4) помогать обнаруживать события в системе защиты информации и тем самым предотвращать инциденты в системе защиты информации путем использования индикаторов; и
5) определять, были ли действия, предпринятые для устранения проблемы с нарушением защиты, результативными.
b) Предпринимать регулярный анализ эффективности СМЗИ (включая соответствие политике и целям СМЗИ, а также анализ средств управления защитой), принимая во внимание результаты аудитов защиты, инциденты, результаты измерений результативности, предложения и обратную реакцию всех заинтересованных сторон.
c) Измерять эффективность средств управления для того, чтобы проверить, что требования защиты были удовлетворены.
d) Анализировать оценки риска через запланированные интервалы, анализировать остаточные риски и определенные приемлемые уровни риска, принимая во внимание следующие изменения:
|
|
|
1) организация;
2) технология;
3) деловые цели и процессы;
4) выявленные угрозы;
5) результативность реализованных средств управления; и
6) внешние события, такие как изменения в законодательной или нормативно-правовой среде, измененные договорные обязательства, а также изменения в социальном климате.
e) Проводить внутренние аудиты СМЗИ через запланированные интервалы (см. раздел 6).
ПРИМЕЧАНИЕ: Внутренние аудиты, иногда называемые аудиты, проводимые первой стороной, проводятся организацией, или от ее имени, самой организацией для внутренних целей.
f) Регулярно осуществлять анализ СМЗИ со стороны руководства, с целью гарантировать, что область применения остается адекватной, и выявляются улучшения в процессе СМЗИ (см. п.7.1).
g) Обновлять планы защиты для того, чтобы учесть данные, полученные в ходе деятельности по постоянному контролю и анализу.
h) Записывать действия и события, которые могли оказать негативное влияние на результативность или качество работы СМЗИ (см. п.4.3.3).
