ГОСТ Р ИСО/МЭК 30121-2017

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

КОНЦЕПЦИЯ УПРАВЛЕНИЯ РИСКАМИ, СВЯЗАННЫМИ С ПРОВЕДЕНИЕМ СУДЕБНОЙ ЭКСПЕРТИЗЫ СВИДЕТЕЛЬСТВ, ПРЕДСТАВЛЕННЫХ В ЦИФРОВОЙ ФОРМЕ

Information technology. Governance of digital forensic risk framework

ОКС 35.080

Дата введения 2018-09-01

Предисловие

1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 10 октября 2017 г. N 1382-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 30121:2015* "Информационные технологии. Концепция управления рисками, связанными с проведением судебной экспертизы свидетельств, представленных в цифровой форме" (ISO/IEC 30121:2015 "Information technology - Governance of digital forensic risk framework", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

ИСО/МЭК 30121 разработан подкомитетом ПК 40 "Управление информационными технологиями и услугами ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Январь 2019 г.

7 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. ИСО и МЭК не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Организации разных типов сталкиваются с внутренними и внешними факторами и воздействием, которые могут привести к возникновению ситуаций, требующих проведения судебной экспертизы и получения свидетельств, представленных в цифровой форме, с использованием информационных технологий (ИТ) и связанных с ними информационных систем (ИС). Необходимость проведения судебной экспертизы может возникнуть в результате неизвестных, внеплановых или непредвиденных событий либо в процессе запланированного разбирательства против сотрудников, конкурентов или поставщиков услуг. Значимость риска, связанного с проведением судебной экспертизы, зависит от уровня риска и отношения к нему организации. Отношение организации к риску будет отражаться в критерии риска. Поскольку свидетельства, представленные в цифровой форме, как правило, будут получены и представлены суду, организациям следует заблаговременно готовиться к подобным ситуациям.

Настоящий стандарт описывает последовательную стратегическую подготовку организации к судебной экспертизе свидетельств, представленных в цифровой форме. Готовность организации к судебной экспертизе означает, что в ней проведена соответствующая и релевантная стратегическая подготовка к событиям, которые могут привести к судебному расследованию. Оно может быть вызвано неизбежными нарушениями безопасности, мошенничеством и угрозой репутации. Во всех случаях использование ИТ должно стратегически максимизировать эффективность поиска свидетельств, их доступность, а также оптимизировать связанные с этим затраты.

Руководящий орган должен отвечать за выработку стратегического направления во всех важных для организации областях. Руководящий орган должен следовать принципам лучших практик, которые обеспечивают общее руководство по вопросам достоверности и соответствия. Эти принципы могут содержаться в юридических предписаниях, стандартах, требованиях соблюдения общественных и культурных норм. В настоящем стандарте в качестве лучших практик управления ИТ (раздел 4) используются принципы ИСО/МЭК 38500.

Эти принципы должны быть реализованы. Задачи управления включают в себя оценку предложений и планов, отслеживание их выполнения и соответствия требованиям, выработку стратегии и политик. Заинтересованные лица организации могут предоставить предписание для руководства, однако окончательную ответственность за риск несет руководящий орган. Концепция управления рисками, связанными с проведением судебной экспертизы свидетельств, представленных в цифровой форме, устанавливается ответственными за риск лицами путем выполнения действий, соответствующих стратегическому направлению развития организации. Следовательно, стратегической целью организации является реализация принципов и обеспечение надлежащей подготовки к проведению судебной экспертизы свидетельств, представленных в цифровой форме (раздел 5).

Стратегические процессы должны обеспечить направление действий для руководителей и топ-менеджеров в соответствии с выбранной концепцией. Стратегические процессы должны выбираться таким образом, чтобы обеспечить адекватную область действий и быть принципиально архивируемыми, открытыми, производительными и соответствующими критерию риска (раздел 6).

Для измерения соответствия целям, вытекающим из установленных принципов, используются ключевые показатели достижения целей (KGI), для измерения выполнения стратегических задач, вытекающих из стратегии, - ключевые показатели производительности (KPI), а расхождение между KGI и KPI отражает ключевой показатель бизнеса организации (KBI) (раздел 7).

Настоящий стандарт следует использовать вместе со словарем, приведенным в Руководстве ИСО 73:2009, с ИСО/МЭК ТО 38502 "Информационные технологии. Управление ИТ. Схема и модель", а также ИСО/МЭК 38500 "Информационные технологии. Управление ИТ в организации".

     1 Область применения

Настоящий стандарт описывает концепцию, помогающую руководящим органам организаций (включая владельцев, членов правления, директоров, партнеров, высшее руководство и т.д.), наилучшим образом заблаговременно подготовить организацию к проведению судебных экспертиз свидетельств, представленных в цифровой форме, до того, как они потребуются. Настоящий стандарт может быть применим при разработке стратегических процессов (и решений), связанных с хранением и доступностью данных, а также экономической эффективностью свидетельств, представленных в цифровой форме. Настоящий стандарт применим к организациям разных типов и размеров. Структура настоящего стандарта приведена в приложении А.

     2 Нормативные ссылки