ГОСТ Р ИСО/МЭК 30121-2017 Информационные технологии (ИТ). Концепция управления рисками, связанными с проведением судебной экспертизы свидетельств, представленных в цифровой форме
Введение
Организации разных типов сталкиваются с внутренними и внешними факторами и воздействием, которые могут привести к возникновению ситуаций, требующих проведения судебной экспертизы и получения свидетельств, представленных в цифровой форме, с использованием информационных технологий (ИТ) и связанных с ними информационных систем (ИС). Необходимость проведения судебной экспертизы может возникнуть в результате неизвестных, внеплановых или непредвиденных событий либо в процессе запланированного разбирательства против сотрудников, конкурентов или поставщиков услуг. Значимость риска, связанного с проведением судебной экспертизы, зависит от уровня риска и отношения к нему организации. Отношение организации к риску будет отражаться в критерии риска. Поскольку свидетельства, представленные в цифровой форме, как правило, будут получены и представлены суду, организациям следует заблаговременно готовиться к подобным ситуациям.
Настоящий стандарт описывает последовательную стратегическую подготовку организации к судебной экспертизе свидетельств, представленных в цифровой форме. Готовность организации к судебной экспертизе означает, что в ней проведена соответствующая и релевантная стратегическая подготовка к событиям, которые могут привести к судебному расследованию. Оно может быть вызвано неизбежными нарушениями безопасности, мошенничеством и угрозой репутации. Во всех случаях использование ИТ должно стратегически максимизировать эффективность поиска свидетельств, их доступность, а также оптимизировать связанные с этим затраты.
Руководящий орган должен отвечать за выработку стратегического направления во всех важных для организации областях. Руководящий орган должен следовать принципам лучших практик, которые обеспечивают общее руководство по вопросам достоверности и соответствия. Эти принципы могут содержаться в юридических предписаниях, стандартах, требованиях соблюдения общественных и культурных норм. В настоящем стандарте в качестве лучших практик управления ИТ (раздел 4) используются принципы ИСО/МЭК 38500.
Эти принципы должны быть реализованы. Задачи управления включают в себя оценку предложений и планов, отслеживание их выполнения и соответствия требованиям, выработку стратегии и политик. Заинтересованные лица организации могут предоставить предписание для руководства, однако окончательную ответственность за риск несет руководящий орган. Концепция управления рисками, связанными с проведением судебной экспертизы свидетельств, представленных в цифровой форме, устанавливается ответственными за риск лицами путем выполнения действий, соответствующих стратегическому направлению развития организации. Следовательно, стратегической целью организации является реализация принципов и обеспечение надлежащей подготовки к проведению судебной экспертизы свидетельств, представленных в цифровой форме (раздел 5).
Стратегические процессы должны обеспечить направление действий для руководителей и топ-менеджеров в соответствии с выбранной концепцией. Стратегические процессы должны выбираться таким образом, чтобы обеспечить адекватную область действий и быть принципиально архивируемыми, открытыми, производительными и соответствующими критерию риска (раздел 6).
Для измерения соответствия целям, вытекающим из установленных принципов, используются ключевые показатели достижения целей (KGI), для измерения выполнения стратегических задач, вытекающих из стратегии, - ключевые показатели производительности (KPI), а расхождение между KGI и KPI отражает ключевой показатель бизнеса организации (KBI) (раздел 7).
Настоящий стандарт следует использовать вместе со словарем, приведенным в Руководстве ИСО 73:2009, с ИСО/МЭК ТО 38502 "Информационные технологии. Управление ИТ. Схема и модель", а также ИСО/МЭК 38500 "Информационные технологии. Управление ИТ в организации".