Постоянный контроль и анализ СМЗИ

Реализация и эксплуатация СМЗИ

Организация должна сделать следующее.

a) Разработать план обработки рисков, в котором были бы предусмотрены необходимые мероприятия по менеджменту, ресурсы, ответственность и приоритеты для менеджмента рисками.

b) Реализовать план обработки рисков для того, чтобы достичь определенных целей управления, в том числе финансирования, распределения ролей и ответственности.

c) Реализовать средства управления рисками, выбранные в п. 4.2.1g), с целью достичь целей управления.

d) Определить, как измерять эффективность выбранных средств управления или группы средств управления, а также определить, как эти измерения предстоит использовать для оценки эффективности управления так, чтобы выдать сравнимые и воспроизводимые результаты (см. п.4.2.3c)).

ПРИМЕЧАНИЕ: Измерение результативности средств управления позволяет менеджерам и персоналу определять, насколько хорошо средства управления достигают запланированных целей управления.

e) Осуществлять подготовку и программы повышения осведомленности персонала (см. п.5.2.2).

f) Осуществлять менеджмент эксплуатации СМЗИ.

g) Управлять ресурсами для СМЗИ (см. п.5.2).

h) Внедрить процедуры управления и другие средства, способные дать возможность быстрого обнаружения события в системе защиты информации и реакции на инциденты в системе защиты информации (см. п.4.2.3a)).

Организация должна сделать следующее.

a) Выполнять процедуры постоянного контроля и анализа для того, чтобы:

1) быстро обнаруживать ошибки в результатах обработки;

2) быстро выявлять предпринимаемые и успешные нарушения защиты и инциденты;

3) дать руководству возможность определять, осуществляются ли виды деятельности по защите, назначенные людям или осуществляемые информационной технологией, как ожидалось;

4) помогать обнаруживать события в системе защиты информации и тем самым предотвращать инциденты в системе защиты информации путем использования индикаторов; и

5) определять, были ли действия, предпринятые для устранения проблемы с нарушением защиты, результативными.

b) Предпринимать регулярный анализ эффективности СМЗИ (включая соответствие политике и целям СМЗИ, а также анализ средств управления защитой), принимая во внимание результаты аудитов защиты, инциденты, результаты измерений результативности, предложения и обратную реакцию всех заинтересованных сторон.

c) Измерять эффективность средств управления для того, чтобы проверить, что требования защиты были удовлетворены.

d) Анализировать оценки риска через запланированные интервалы, анализировать остаточные риски и определенные приемлемые уровни риска, принимая во внимание следующие изменения:

1) организация;

2) технология;

3) деловые цели и процессы;

4) выявленные угрозы;

5) результативность реализованных средств управления; и

6) внешние события, такие как изменения в законодательной или нормативно-правовой среде, измененные договорные обязательства, а также изменения в социальном климате.

e) Проводить внутренние аудиты СМЗИ через запланированные интервалы (см. раздел 6).

ПРИМЕЧАНИЕ: Внутренние аудиты, иногда называемые аудиты, проводимые первой стороной, проводятся организацией, или от ее имени, самой организацией для внутренних целей.

f) Регулярно осуществлять анализ СМЗИ со стороны руководства, с целью гарантировать, что область применения остается адекватной, и выявляются улучшения в процессе СМЗИ (см. п.7.1).

g) Обновлять планы защиты для того, чтобы учесть данные, полученные в ходе деятельности по постоянному контролю и анализу.

h) Записывать действия и события, которые могли оказать негативное влияние на результативность или качество работы СМЗИ (см. п.4.3.3).