5.1.1. В рамках подготовки к проведению самооценки ИБ рекомендуется выполнить:
- формирование группы для проведения самооценки из числа сотрудников подразделения ИБ организации БС РФ;
- определение руководителя проверяющей группы;
- формирование плана проведения самооценки ИБ;
- установление ролей и обязанностей для выполнения и использования результатов самооценки ИБ;
- определение формы отчета с результатами самооценки ИБ.
5.1.2. При определении размера и состава группы для проведения самооценки ИБ (проверяющей группы) должна учитываться компетентность проверяющей группы, в основе которой лежит уровень квалификации ее участников. Если участники проверяющей группы не обладают необходимыми знаниями и опытом по специальным вопросам, то в группу включают технических экспертов. Технические эксперты должны работать под руководством участников проверяющей группы.
5.1.3. Если при рассмотрении результатов работы технического эксперта проверяющей группой выявляются существенные несоответствия между заключением эксперта и информацией (документами) проверяемого подразделения либо проверяющая группа считает, что выводы эксперта необоснованны, то проверяющей группе рекомендуется провести дополнительные процедуры, обеспечивающие проверку обоснованности заключения эксперта, или назначить другого эксперта.
5.1.4. Заключение технического эксперта рекомендуется включать в рабочие документы проверяющей группы. Если в исключительном случае технический эксперт дает устные разъяснения, то такие разъяснения должны быть отражены проверяющей группой в ее рабочих документах.
5.1.5. Использование работы технического эксперта при проведении самооценок ИБ не снимает ответственности за заключение с членов проверяющей группы.
5.1.6. В план проведения самооценки ИБ как минимум рекомендуется включать следующую информацию:
- цель самооценки ИБ;
- объекты и деятельность, подвергающиеся самооценке ИБ;
- даты и продолжительность проведения самооценки ИБ;
- распределение ролей среди членов проверяющей группы, связанных с анализом документов, проведением самооценки на месте и подготовкой и рассылкой отчета с результатами самооценки;
- порядок и сроки выполнения мероприятий по анализу документов;
- порядок и сроки выполнения мероприятий по проведению самооценки ИБ на месте;
- порядок и сроки выполнения мероприятий по подготовке и рассылке отчета с результатами самооценки ИБ.
Рекомендуется согласовать план проведения самооценки со всеми заинтересованными сторонами, а также утвердить его ответственным за процесс самооценки ИБ (из числа представителей высшего руководства организации БС РФ).
5.1.7. Члены проверяющей группы должны подготовить рабочие документы, необходимые для регистрации результатов самооценки ИБ. Рабочие документы должны храниться по крайней мере до окончания самооценки ИБ. Документы, содержащие конфиденциальную или частную информацию, должны храниться с соблюдением соответствующих требований безопасности.
В приложении А представлена рекомендуемая форма листов для сбора свидетельств самооценки ИБ. В листах должна отражаться информация, которая получена проверяющими при проведении самооценки ИБ с помощью различных методов получения свидетельства самооценки ИБ (при опросе, наблюдении за деятельностью и анализе выявленных нормативных документов).
5.1.8. Руководство организации БС РФ должно установить и обеспечить ресурсы для поддержки самооценки ИБ, включая определение лиц, ответственных за все аспекты самооценки ИБ, и соответствующую финансовую и инфраструктурную поддержку для обеспечения необходимых функций самооценки ИБ, таких, как сбор, анализ, хранение, сообщение и распределение данных.
5.1.9. Руководству организации БС РФ рекомендуется установить ответственного за процесс самооценки ИБ (из числа представителей высшего руководства), а также утвердить регламент проведения самооценки, в котором определить:
- порядок формирования, сбора и хранения свидетельств самооценки;
- периодичность проведения самооценки ИБ;
- порядок хранения и распространения результатов самооценки ИБ.
5.1.10. Для ответственного за процесс самооценки ИБ рекомендуется определить следующие обязанности:
- взаимодействовать с руководителями проверяемых подразделений для содействия самооценке ИБ;