Общие положения
Требования к документации
Поддержка в рабочем состоянии и улучшение СМЗИ
Организация должна регулярно делать следующее.
a) Внедрять разработанные улучшения в СМЗИ.
b) Осуществлять надлежащие корректирующие и предупреждающие действия в соответствии с п.8.2 и п.8.3. Применять свой опыт и опыт защиты других организаций.
c) Сообщать обо всех действиях и улучшениях всем заинтересованным сторонам с уровнем детальности, соответствующим обстоятельствам и значимости, согласовывать дальнейшие действия.
d) Гарантировать, что улучшения достигают предполагаемых целей.
В документах должны быть отражены и прослеживаться решения руководства и политики безопасности, а также должна быть возможность воспроизведения результатов.
Необходимо иметь возможность демонстрации взаимосвязи выбранных средств управления, результатов процесса оценки рисков, обработки рисков, политики и целей СМЗИ.
Документация СМЗИ должна включать следующее:
|
|
a) документированное заявление о политике (см. п.4.2.1b)) и целях СМЗИ;
b) область приложения СМЗИ (см. п.4.2.1a));
c) процедуры и средства управления в поддержку СМЗИ;
d) описание методологии оценки рисков (см. п.4.2.1c));
e) отчет об оценке рисков (см. пп.4.2.1c)— 4.2.1g));
f) план обработки рисков (см. п.4.2.2b));
g) документированные процедуры, необходимые организации для того, чтобы гарантировать результативное планирование, работу и управление ее процессами защиты информации, а также для того, чтобы описать, как измерять эффективность средств управления (см. п.4.2.3c));
h) записи, требуемые этим международным стандартом (см. п.4.3.3); и
i) Заявление о применимости.
ПРИМЕЧАНИЕ 1: Там, где в этом международном стандарте встречается термин «документированная процедура», он означает, что процедура создана, документально подтверждена, реализована и поддерживается в рабочем состоянии.
ПРИМЕЧАНИЕ 2: Объем документации по СМЗИ может различаться от организации к организации, по следующим причинам:
- размер организации и тип ее деятельности; и
- область приложения и сложность требований защиты и системы, менеджмент которой осуществляется.
ПРИМЕЧАНИЕ 3: Документы и записи могут быть в любой форме или на любом носителе информации.
Документы, требуемые СМЗИ, должны быть защищены и должны управляться. Документированная процедура должна быть создана для определения действий руководства, необходимых для следующего:
a) утверждать документы на адекватность перед введением их в действие;
b) при необходимости анализировать и обновлять документы, а также повторно утверждать документы;
|
|
c) гарантировать, что указаны изменения и текущий статус редакции документов;
d) гарантировать, что имеющие отношение к делу версии применимых документов доступны в местах использования;
e) гарантировать, что документы остаются разборчивыми и легко идентифицируемыми;
f) гарантировать, что документы доступны тем, кому они нужны, и что они перемещаются, хранятся, и, в конце концов, уничтожаются в соответствии с процедурами, применимыми к их классификации;
g) гарантировать, что документы внешнего происхождения идентифицированы;
h) гарантировать, что распространение документов контролируется;
i) предотвращать неумышленное использование устаревших документов; и
j) применять подходящую идентификацию к ним, если они сохраняются для какой-либо цели.