ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности
6.1 Задачи, решаемые внутри организации
Цель: Осуществлять менеджмент информационной безопасности в рамках организации. Должна быть создана структура менеджмента для инициирования и контроля обеспечения информационной безопасности в организации. Высшее руководство должно утверждать политику информационной безопасности организации, назначать ответственных лиц в области политики информационной безопасности, а также координировать и анализировать внедрение информационной безопасности в организации. При необходимости следует предусмотреть наличие контактного лица, занимающегося вопросами информационной безопасности внутри организации, к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с отдельными внешними специалистами по безопасности или группами специалистов, включая соответствующие органы, чтобы находиться в курсе отраслевых тенденций, осуществлять мониторинг стандартов и методов оценки, и обеспечивать адекватные точки контакта при обработке инцидентов информационной безопасности. Следует поощрять многопрофильный подход к обеспечению информационной безопасности. |
6.1.1 Обязательства руководства по отношению к информационной безопасности
Мера и средство контроля и управления
Руководству следует активно поддерживать безопасность в организации с помощью четкого управления, видимого распределения обязанностей, определенных назначений и признания обязанностей в отношении информационной безопасности.
Рекомендация по реализации
Руководству следует:
a) обеспечивать уверенность в том, что цели информационной безопасности определены, соответствуют требованиям организации и включены в соответствующие процессы;
b) формулировать, анализировать и утверждать политику информационной безопасности;
c) анализировать эффективность реализации политики информационной безопасности;
d) обеспечивать четкое управление и очевидную поддержку менеджмента в отношении инициатив, связанных с безопасностью;
e) обеспечивать ресурсы, необходимые для информационной безопасности;
f) утверждать определенные роли и ответственности в отношении информационной безопасности в рамках организации;
g) инициировать планы и программы для поддержки осведомленности об информационной безопасности;
h) обеспечивать уверенность в том, что реализация мер и средств контроля и управления информационной безопасности скоординирована в рамках организации (см. 6.1.2).
Руководству следует определять потребность в консультациях с внутренними или внешними специалистами по информационной безопасности, а также анализировать и координировать результаты консультаций в рамках организации.
В зависимости от величины организации такие обязанности могут выполняться специальным административным совещанием или существующим органом управления, например советом директоров.
Дополнительная информация
Дополнительная информация содержится в ИСО/МЭК 13335-1 [3].
6.1.2 Координация вопросов информационной безопасности
Мера и средство контроля и управления
Деятельность, связанная с информационной безопасностью, должна быть скоординирована представителями различных подразделений организации с соответствующими ролями и должностными обязанностями.
Рекомендация по реализации
Как правило, координация проблем информационной безопасности должна включать в себя сотрудничество и участие менеджеров, пользователей, администраторов, разработчиков прикладных программ, аудиторов и персонала, занимающегося безопасностью, а также специалистов в области страхования, правовых аспектов, кадровых ресурсов, ИТ или менеджмента риска.
Такая деятельность должна:
a) обеспечивать уверенность в том, что обеспечение безопасности осуществляется в соответствии с политикой информационной безопасности;
b) определять способ устранения несоответствия;