Основные требования пунктов 4–10 стандарта ISO/IEC 27001:2022 | Объяснение обязательных пунктов I...

Основные требования ISO 27001:2022, разделы 4–10 | Объяснение обязательных положений ISO 27001 2022 #iso27001 #grc #isms #cybersecurity

Раздел 4: Контекст организации
СУИБ должна документировать свои функции.

Почему ваша компания вообще хранит информационные активы и для чего вы их используете?

Аудитор может дать точную оценку эффективности вашей СУИБ только после того, как поймёт её цели. Компании, которая управляет именами клиентов в гостевом реестре, нужна совершенно иная СУИБ, чем фирме, собирающей номера социального страхования для налоговых служб.

Чтобы соответствовать требованиям Раздела 4, документируйте деятельность вашей организации, потребности клиентов и область применения вашей СУИБ.

Раздел 5: Руководство
Для эффективной СУИБ она должна пользоваться полной поддержкой высшего руководства.

Аудиторам ISO 27001 необходимо знать, что высшее руководство чувствует ответственность за успех СМИБ. Также крайне важно, чтобы они чувствовали себя связанными ею и не считали, что их руководящие должности ставят их выше политик СМИБ.

Если высшее руководство не участвует напрямую, следует назначить ответственных руководителей для мониторинга, тестирования и улучшения процессов информационной безопасности. Не должно быть никаких сомнений относительно того, кто отвечает за каждый аспект СМИБ.

Раздел 6: Планирование
Раздел 6 посвящен управлению рисками. Документация должна отражать:

Как вы выявляете и анализируете каждый риск информационной безопасности;

Ваш процесс выбора способа реагирования на каждый риск;

Каким образом ваша команда стремится к предотвращению, допустимости и снижению рисков.

Раздел 6 также посвящен возможностям. Помимо снижения рисков, одним из требований ISO 27001 является постановка целей для вашей СМИБ и разработка планов их достижения. Чтобы соответствовать требованиям Раздела 6, необходимо определить, что является залогом успеха вашей СМИБ.

Раздел 7: Поддержка
Достижение уровня сложности, требуемого ISO 27001 от СМИБ, требует значительной поддержки. Раздел 7 предполагает создание плана обеспечения постоянной доступности ресурсов поддержки.

Главным среди этих ресурсов является человеческий опыт. Всякий раз, когда ваша организация работает с данными клиентов, рядом должен быть человек, понимающий, как работает СМИБ в соответствующем контексте.

В Разделе 7 также подробно изложено одно из важнейших требований ISO 27001: система связи. Сотрудники, ответственные за информационную безопасность, должны иметь выделенные, постоянно открытые каналы связи для обсуждения вопросов внедрения и улучшения политик СМИБ.

Раздел 8: Эксплуатация
Раздел 6 посвящен оценке и анализу рисков. Раздел 8 развивает эти требования, описывая, как осуществляется оценка рисков.

Чтобы выполнить требования Раздела 8, опирайтесь на работу, изложенную в Разделах 6 и 7. Документация Раздела 8 объединяет элементы, изложенные в Разделах 6 и 7, в последовательный, комплексный план.

Раздел 9: Оценка эффективности
Последние два раздела, 9 и 10, представляют собой согласованный набор. Они требуют от вас документировать, как вы планируете постоянно совершенствовать СМИБ вашей организации.

Раздел 9 посвящен мониторингу. Для начала вам необходимо документировать, как вы измеряете эффективность вашей СМИБ и как убедиться в надежности результатов. Здесь часто упоминаются такие процессы, как тестирование на проникновение.

Вам также потребуется план проведения внутренних аудитов, чтобы гарантировать соответствие требованиям ISO 27001 после завершения сертификационного аудита.

Раздел 10: Постоянное совершенствование
Раздел 10 посвящен контролю ущерба. Как вы реагируете, обнаружив несоответствие в вашей системе СМИБ (определяемое как любое несоблюдение установленных политик СМИБ)?

Несоответствие может быть результатом простой человеческой ошибки. Также оно может быть вызвано попыткой злоумышленника постороннего украсть данные из вашей системы. Для эффективного предотвращения рисков необходим последовательный план действий в случае возникновения отклонений.

Как укрепить систему после устранения проблемы, чтобы она не повторилась? Сертифицируемая система СМИБ должна постоянно развиваться и совершенствоваться.