Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 21827-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса

     7.1 РА01 - Управляет мерами безопасности

7.1.1 Область процесса

7.1.1.1 Краткое описание

Назначением области процесса "Управление мерами безопасности" является обеспечение того, что заданный уровень безопасности, интегрированный в проект системы, фактически достигнут разработанной в результате системой, находящейся в рабочем состоянии.


Рисунок 8 - Формат области процесса

     

7.1.1.2 Цели:

- правильные конфигурация и использование мер безопасности.

7.1.1.3 Перечень базовых практик

ВР.01.01 - Определяет обязанности и подотчетность по мерам безопасности и обеспечивает информирование о них каждого сотрудника организации.

BP.01.02 - Управляет конфигурацией мер безопасности системы.

ВР.01.03 - Управляет программами обеспечения осведомленности, подготовки и обучения для всех пользователей и администраторов.

ВР.01.04 - Управляет периодическим обслуживанием и администрированием служб безопасности и механизмов контроля.

7.1.1.4 Примечания к данной области процесса

В данной области процесса применяются действия, требуемые для управления и обслуживания механизмов контроля безопасности среды проектирования и автоматизированной системы. Далее эта область процесса способствует тому, чтобы уровень безопасности со временем не понизился. Управление мерами безопасности какого-либо нового устройства должно интегрироваться с уже имеющимися мерами безопасности.

7.1.2 Базовая практика 01.01 (ВР.01.01) - Определяет обязанности в области безопасности

Данная базовая практика определяет обязанности и подотчетность для мер безопасности и информирует о них каждого сотрудника организации.

7.1.2.1 Описание

Некоторые аспекты безопасности могут управляться в рамках обычной структуры менеджмента, в то время как для других требуется более специализированный менеджмент.

Процедуры должны обеспечивать подотчетность лиц с возложенными на них обязанностями и их полномочия на проведение каких-либо действий. Необходимо также обеспечить, чтобы любые принятые меры безопасности были понятны и применялись последовательно. Кроме того, они должны обеспечивать передачу информации о любой принятой структуре не только лицам в рамках самой структуры, но и всей организации.

7.1.2.2 Примеры результатов деятельности:

- схема структуры безопасности организации - определяет сотрудников организации, связанных с безопасностью, и их должность;

- документация с описанием функций, связанных с обеспечением безопасности - описывает каждую из должностей в организации, связанных с безопасностью, и связанные с ней обязанности;

- документация с описанием обязанностей по безопасности - подробно описывает каждую из обязанностей по безопасности, включая ожидаемые выходные данные и способ их анализа и использования;

- документация с подробным описанием подотчетности по безопасности - определяет лицо, подотчетное за связанные с безопасностью вопросы, гарантируя его ответственность за все риски;

- документация с подробным описанием полномочий в области безопасности - определяет, что разрешено делать каждому сотруднику организации.

7.1.2.3 Примечания