ГОСТ Р ИСО/ТО 13569-2007 Финансовые услуги. Рекомендации по информационной безопасности (с Поправкой)

     6.4 Анализ

Одно или несколько должностных лиц организации должны быть назначены ответственными за программу обеспечения информационной безопасности. Установленные в программе практические приемы обеспечения информационной безопасности должны быть основанием для анализа и обновления программы, а при появлении новых угроз и уязвимостей - обеспечивать предоставление необходимых инвестиций для защитных мер. Программа должна включать в себя подробные процессы и процедуры, устанавливающие отчетность и ответственность за определение надежности программы обеспечения информационной безопасности и ее соответствие всем требованиям, и доклад об этом.

Все отчеты об анализе и мониторинге должны быть доступны руководству всех уровней, включая исполнительное руководство. Необходимо идентифицировать и документировать процедуры рассмотрения любых исключений из политики или отклонений от нее. Также должны существовать процедуры создания необходимых записей результатов аудита и записей о соответствии требованиям безопасности, а также мониторинга безопасности информации журналов аудита. Особое внимание следует уделить идентификации рисков для информации журналов аудита и требованиям, установленным для снижения этих рисков, гарантии адекватности защиты информационных активов.