ГОСТ Р 57551-2017/ISO/TR 18128:2014 Информация и документация. Оценка рисков для документных процессов и систем

     5.4 Документные системы

При оценке воздействия риска на системы, используемые для создания документов и/или контроля над ними, следует принять во внимание архитектуру таких систем, вопросы обеспечения поддержки, жизнеспособности, непрерывности функционирования, интероперабельности и безопасности. Используемые организацией системы с течением времени сменяются в зависимости от экономических обстоятельств, перемен в характере деятельности и кадровом составе, а также в связи с изменениями размера и структуры организации. Критически важно, чтобы высшее руководство было надлежащим образом информировано о риске для документных систем и приняло на себя ответственность за предпринимаемые организацией меры реагирования.

Примечание 1 - В рамках настоящего подраздела термин "системы" следует понимать как "документные системы" в смысле определения, данного в 3.2.1.

Примечание 2 - Специалисты по управлению документами при проведении идентификации связанных с документными системами рисков в организациях, внедривших у себя меры и средства контроля и управления, предусмотренные стандартом системы менеджмента информационной безопасности ИСО/МЭК 27001, должны принять во внимание возможность снижения рисков в некоторых областях благодаря этим мерам. В не внедривших ИСО/МЭК 27001 организациях, этот стандарт может быть использован как источник для выбора действий по смягчению риска из числа перечисленных в нем мер. Приложение C содержит таблицу, устанавливающую соответствие между относящимися к документным системам областями неопределенности и мерами контроля и управления, описанными в ИСО/МЭК 27001.

5.4.1 Области неопределенности: архитектура систем

Архитектура и конфигурация систем имеют ключевое значение для создания документов и обеспечения их долговечности. Данная область пересекается с идентификацией рисков для документных процессов. Адекватная документация по конфигурации системы является основой для решения вопросов, связанных как с другими областями риска на системном уровне, так и с процессами в системе.

Примечание - О документных процессах в системах см. 5.5.

Исходя из современного опыта, идентификация связанных с архитектурой систем рисков, особенно в контексте электронных документов, включает в себя следующее:

a) определение того, что является документом в системе, с тем чтобы система адекватно своим целям создавала документы и управляла ими;

Пример - В транзакционной базе данных следует выявить все необходимые элементы документа и обеспечить управление ими, с тем чтобы сведения о транзакции могли быть извлечены или воссозданы.

b) адекватное выявление требований в отношении сроков хранения;

Пример - В элементах (метаданных) документов должны быть указаны сами сроки хранения и события-"триггеры", запускающие отсчет сроков хранения и выполнение действий по уничтожению документов либо их передаче на архивное хранение.

c) выявление и документирование всех необходимых документных процессов, которыми должна управлять система;

d) эффективность архитектуры документных систем, соответствующая потребностям сотрудников организации и используемым организацией технологиям;

e) управление степенью зависимости от поддержки со стороны производителя системы;

f) доступ к документации производителя системы.

5.4.2 Области неопределенности: техническое обслуживание и поддержка

Техническое обслуживание документных систем в первую очередь относится к тем аспектам технологической платформы и поддержки систем, на которые влияют структурные изменения в организации, внедрение новых систем, изменения технологий, а также компетентность и надежность технической поддержки.

Области неопределенности включают в себя следующее:

a) изменения в деятельности и деловых системах, влияющие на документные системы;

b) уровень квалификации системных администраторов и понимание ими требований к управлению документами в системах;

c) надежность поставщиков систем и их способность обеспечить техническое обслуживание систем и их постоянное соответствие текущему уровню развития технологий;

d) адекватность документации по процедурам оперативного технического обслуживания;

e) адекватность технической документации на системы;

f) адекватность документированных процедур резервного копирования и восстановления для документных систем;

g) адекватность процесса восстановления с резервных копий.

5.4.3 Области неопределенности: жизнестойкость и непрерывность функционирования

Жизнестойкость документных систем зависит от отслеживания перемен во внешнем и внутреннем контексте организации, с тем чтобы эти системы обновлялись, реагируя на изменяющиеся потребности.