2015-06-28
262
Деятельность по обеспечению информационной безопасности Организации должна быть реализована в виде систематических непрерывных процессов, которые должны включать:
- идентификацию защищаемых активов информационной системы;
- определение ролей и ответственностей персонала в отношении защищаемых информационных активов Организации;
- идентификацию угроз и уязвимостей;
- мониторинг текущего состояния и контроль деятельности, ролей и регламентов персонала;
- обработку инцидентов информационной безопасности, включая оперативное реагирование на выявленные инциденты информационной безопасности и деятельность в целях минимизации ущерба;
- оценку уровней рисков для каждого идентифицированного защищаемого информационного актива с учетом ценности соответствующего актива и результатов обработки инцидентов информационной безопасности;
- обработку рисков для защищаемых информационных активов; оценка состояния информационной безопасности информационной системы для выявления сигналов опасности при реализации основных целей;
|
|
|
- управление информационной безопасностью информационной системы (управление службами и процессами по обеспечению информационной безопасностью).
Идентификация защищаемых активов информационной системы, а также его угроз и уязвимостей, должна осуществляться на этапе создания информационного актива. Должно обеспечиваться документирование процессов и поддержание актуальности выходных форм.
Определение ролей и ответственностей персонала в отношении защищаемых информационных активов осуществляется руководителями подразделений. АИБ структурных подразделений (подразделений, АС) производится распределение прав и полномочий персонала на основе решений руководителя подразделения и документирование полномочий в установленных формах.
Мониторинг текущего состояния и контроль деятельности, ролей и регламентов персонала осуществляется персоналом безопасности Организации в виде сбора и анализа результатов работы систем защиты информации, защиты от воздействия вредоносного кода, сбора и анализа информации АИБ систем и подразделений, плановых проверок состояния информационной безопасности структурных подразделений (подразделений, АС), целевых, внеплановых и выборочных проверок, анализа документации и выходных форм процессов. По результатам мониторинга проводится обработка инцидентов информационной безопасности, включая оперативное реагирование на выявленные инциденты информационной безопасности, а также планируются и проводятся мероприятия в целях минимизации ущерба.
|
|
|
Уровень риска оценивается с учетом временной модели информационной безопасности информационных систем Организации, приведенной в Частной политике, а также на основе классификатора потенциальных угроз безопасности для информационных активов Организации.
На основе результатов мониторинга и оценки уровней рисков для информационных активов производится оценка состояния информационной безопасности Организации в виде проведения самооценки (аудита) на соответствие требованиям стандартов по информационной безопасности. По результатам оценки формируются и документируются показатели по каждой группе требований стандарта информационной безопасности, определяется уровень зрелости организации.
Результатами приведенных процессов по обеспечению информационной безопасностью являются:
- документированность процессов обеспечения информационной безопасности (планы, регламенты, отчеты, руководящие и функционально технологические документы, утвержденные формы учета и регистрации, служебные записки об инцидентах, аналитические справки, акты и протоколы проверок);
- реализация дополнительных механизмов (средств) обеспечения информационной безопасности и (или) реконфигурации (совершенствования) существующих;
- своевременное принятие руководством адекватных решений при выявлении опасности для основной деятельности Организации.
