6.1.1 Политики информационной безопасности
Обзор
В подразделе 6.1 ИСО/МЭК 27001 говорится о планировании мероприятий по обработке всех типов рисков и возможностей, которые имеют отношение к СМИБ. Это ведет к оценке риска и планированию обработки риска.
ИСО/МЭК 27001 в процессе планирования подразделяет риски на две категории:
a) риски и возможности, относящиеся к ожидаемому(ым) результату(ам) СМИБ в целом;
b) риски ИБ, связанные с потерей конфиденциальности, целостности и доступности информации в рамках СМИБ.
Первая категория должна обрабатываться в соответствии с требованиями, определенными в ИСО/МЭК 27001, раздел 6 (общие положения). Риски, которые попадают в эту категорию, могут быть связаны с самой СМИБ, определением области действия СМИБ, обязательствами высшего руководства по обеспечению ИБ, ресурсами для эксплуатации СМИБ и т.д. Возможности, которые попадают в эту категорию, могут быть связаны с результатом(ами) СМИБ, коммерческой ценностью СМИБ, эффективностью рабочих процессов СМИБ и мерами обеспечения ИБ и т.д.
Вторая категория состоит из совокупности рисков, которые связаны с потерей конфиденциальности, целостности и доступности информации в рамках СМИБ. Эти риски должны обрабатываться в соответствии с 6.1.2 и 6.1.3.
Организации могут использовать разные методы для каждой категории.
Разделение требований по обработке рисков можно объяснить следующим образом:
- обеспечение поддержки совместимости с другими стандартами по системам менеджмента для тех организаций, в которых эти системы интегрированы для различных аспектов, таких как качество, окружающая среда и ИБ;
- требование к тому, чтобы организация определяла и применяла полные и подробные процессы для оценки и обработки рисков ИБ;
- подчеркивание, что управление рисками ИБ является ключевым элементом СМИБ.
В ИСО/МЭК 27001, пункт 6.1.1, приведены формулировки: "определить риски и возможности" и "обработать эти риски и возможности". Слово "определить" можно считать эквивалентным слову "оценивать", используемому в ИСО/МЭК 27001, пункт 6.1.2 (т.е. идентифицировать, анализировать и оценивать). Аналогично слово "обработать" можно считать эквивалентным слову "устранить", используемому в ИСО/МЭК 27001, пункт 6.1.3.
Необходимые мероприятия
При планировании СМИБ организация определяет риски и возможности, учитывая факторы, указанные в 4.1, и требования, указанные в 4.2.
Пояснение
При рассмотрении рисков и возможностей, относящихся к ожидаемому(ым) результату(ам) СМИБ, предполагается, что организация определяет их на основе внутренних и внешних факторов (см. 4.1) и требований заинтересованных сторон (см. 4.2). После чего организация осуществляет планирование своей СМИБ для того, чтобы:
a) обеспечить достижение ожидаемых результатов СМИБ, при этом риски ИБ должны быть известны владельцам рисков и обработаны до приемлемого уровня;
b) предотвратить или уменьшить нежелательные эффекты рисков, относящихся к ожидаемому(ым) результату(ам) СМИБ;
c) добиваться постоянного улучшения (см. 10.2), например, через соответствующие механизмы для выявления и исправления слабых мест в процессах управления или использования возможностей для улучшения ИБ.
Риски, относящиеся к перечислению а), могут быть связаны с непонятными процессами и обязанностями, плохой осведомленностью среди сотрудников, низкой вовлеченностью со стороны руководства и т.д. Риски, относящиеся к перечислению b), могут быть связаны с неэффективным управлением рисками или с плохой осведомленностью о них. Риски, относящиеся к перечислению c), могут быть связаны с неэффективным управлением документацией и процессами СМИБ.
Когда организация стремится использовать возможности в своей деятельности, эта деятельность затем влияет на контекст организации (см. ИСО/МЭК 27001, 4.1) или на потребности и ожидания заинтересованных сторон (см. ИСО/МЭК 27001, 4.2) и может изменить риски для организации. Примерами возможностей могут быть: сосредоточение своего бизнеса на некоторых областях продуктов или услуг, разработка маркетинговой стратегии для некоторых географических регионов или расширение деловых партнерских отношений с другими организациями.
Возможности также существуют в постоянном улучшении процессов и документации СМИБ, наряду с оценкой ожидаемых результатов, предоставляемых СМИБ. Например, рассмотрение относительно новой СМИБ часто приводит к выявлению возможностей для уточнения процессов путем уточнения интерфейсов, сокращения административных накладных расходов, устранения частей процессов, которые не являются экономически эффективными, путем уточнения документации и внедрения новых информационных технологий.
Планирование в этом разделе включает определение:
d) мероприятий по обработке рисков и возможностей;
e) способа:
1) интеграции и внедрения этих мероприятий в процессы СМИБ;