Что является активом для организации в смиб

Что является активом для организации в смиб

ГОСТ Р ИСО/МЭК 27000-2012

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология. Методы и средства обеспечения безопасности

СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Общий обзор и терминология

Information technology. Security techniques. Information security management systems. Overview and vocabulary

Дата введения 2013-12-01

Предисловие

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

6 ПЕРЕИЗДАНИЕ. Январь 2019 г.

Введение

Международные стандарты системы менеджмента представляют модель для налаживания и функционирования системы менеджмента. Эта модель включает в себя функции, по которым эксперты достигли согласия на основании международного опыта, накопленного в этой области. Подкомитет SC 27 Совместного технического комитета ISO/IEC JTC 1 имеет в своем составе комиссию экспертов, которая работает в области создания системы международных стандартов по информационной безопасности, известной как семейство стандартов системы менеджмента информационной безопасности (СМИБ).

При использовании семейства стандартов СМИБ организации могут реализовывать и совершенствовать систему управления защитой информации и подготовиться к независимой оценке их СМИБ, применяемой для защиты информации, такой как финансовая информация, интеллектуальная собственность, информация о персонале, а также информация, доверенная клиентами или третьей стороной.

Заменен на ISO/IEC 27000:2018.

Заменен на ISO/IEC 27001:2013.

Заменен на ISO/IEC 27002:2013.

— ISO/IEC 27003, Information security management system implementation guidance (Руководство no реализации системы менеджмента информационной безопасности);

Заменен на ISO/IEC 27005:2018.

Заменен на ISO/IEC 27006:2015.

— ISO/IEC 27007, Guidelines for information security management systems auditing (Руководство для аудитора СМИБ);

— ISO/IEC 27011, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 (Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002).

Международные стандарты, не имеющие этого общего названия:

Заменен на ISO/IEC 27799:2016.

— ISO/IEC 27000:2009 представляет обзор систем менеджмента информационной безопасности, которые составляют семейство стандартов СМИБ, а также дает определения терминов.

Семейство стандартов СМИБ содержит стандарты, которые:

— определяют требования к СМИБ и к сертификации таких систем;

— включают в себя специальные руководящие принципы для СМИБ;

— руководят проведением оценки соответствия СМИБ.

Глоссарий терминов и определений, приведенный в настоящем стандарте:

— охватывает термины и определения, в большинстве случаев используемые в семействе стандартов СМИБ;

— не охватывает все термины и определения, применяемые в семействе стандартов СМИБ;

— не ограничивает семейство стандартов СМИБ в определении терминов для их использования.

Стандарты, регулирующие только реализацию средств управления, в отличие от стандартов, регулирующих все меры и средства контроля и управления, содержащиеся в стандарте ИСО/МЭК 27002, исключены из семейства стандартов СМИБ.

Настоящий стандарт обновляется с более высокой частотой, чем обычно обновляются стандарты ИСО/МЭК, для того чтобы отразить состояние изменений семейства стандартов СМИБ.

1 Область применения

Настоящий стандарт содержит:

— обзор семейства стандартов СМИБ;

— введение в систему менеджмента информационной безопасности (СМИБ);

— термины и определения для использования в семействе стандартов СМИБ.

Настоящий стандарт применим ко всем типам организаций (например, коммерческие предприятия, правительственные учреждения, некоммерческие организации).

2 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями.

Атака (attack) (2.4) определена как «попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа к активу (2.3) или его несанкционированного использования».

Актив определен как «что-либо, что имеет ценность для организации».

Если термин актив заменить его определением, определение термина атака будет выглядеть как «попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа или несанкционированного использования чего-либо, что имеет ценность для организации».

2.1 контроль доступа (access control): Обеспечение того, чтобы доступ к активам (2.3) был санкционирован и ограничен в соответствии с требованиями коммерческой тайны и безопасности.

2.2 подотчетность (accountability): Ответственность субъекта за его действия и решения.

2.3 актив (asset): Что-либо, что имеет ценность для организации.

— материальные активы, например компьютер;

— люди и их квалификация, навыки и опыт;

— нематериальные активы, такие как репутация и имидж.

Источник

ГОСТ Р ИСО/МЭК 27000-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

3.6 Критические факторы успеха СМИБ

Для успешной реализации СМИБ, позволяющей организации достичь своих деловых целей, имеет значение большое количество факторов. Примеры критических факторов успеха включают в себя следующие:

— политика информационной безопасности, цели и действия, ориентированные на достижение целей;

— методика и структура для разработки, реализации, контроля, поддержания и улучшения информационной безопасности, которые соответствуют корпоративной культуре;

— видимая поддержка и обязательства со стороны всех уровней управления, особенно высшего руководства;

— понимание требований информационной защиты активов, достигаемое через применение менеджмента рисков информационной безопасности (см. стандарт ИСО/МЭК 27005);

— эффективное информирование об информационной безопасности, обучение и образовательная программа, доводящая до сведения всех служащих и других причастных сторон их обязательства по информационной безопасности, сформулированные в политике информационной безопасности, стандартах и т.д., а также их мотивирование к соответствующим действиям;

— эффективный процесс менеджмента инцидентов информационной безопасности;

— эффективный управленческий подход непрерывности бизнеса;

— система измерения, которая используется для оценки управления информационной безопасностью, и предложения по улучшению, поступающие по цепочке обратной связи.

СМИБ увеличивает вероятность того, что организация будет последовательно достигать решающих факторов успеха, необходимых для защиты ее информационных активов.

Источник

Определение активов при внедрении и сертификации СМИБ (в авторской редакции)

«Стандарты и качество» Июнь 2015

Рассмотрим кратко современные проблемы идентификации активов и внешней оценки (сертификации) систем менеджмента информационной безопасности (СМИБ) в соответствии с требованиями ГОСТ Р ИСО/МЭК 270011 и СТО Газпром серии 4.22. При реализации только требований СТО Газпром серии 4.2 возможны упущения в процессе анализа рисков информационной безопасности (ИБ), фрагментарное выявление и оценка части активов — только объектов защиты (ОЗ), а впоследствии — при выборе адекватного перечня мер (средств) обеспечения ИБ

Методика определения активов при внедрении и сертификации СМИБ в соответствии с требованиями ГОСТ Р ИСО/МЭК 27001-2006 и СТО Газпром серии 4.2

И.И. Лившиц, к.т.н., ведущий инженер ООО «Газинформсервис»

Информационная безопасность (ИБ); система менеджмента информационной безопасности (СМИБ); система обеспечения информационной безопасности (СОИБ); объект защиты (ОЗ); аудит; цикл PDCA; менеджмент рисков.

Information Security (IT-Security); Information Security Management System(ISMS); Information securityproviding system(ISPS); object of protection(ObP); audit;PDCA cycle;risk management.

В данной публикации кратко рассмотрены современные проблемы при идентификации активов и сертификации систем менеджмента информационной безопасности (СМИБ) в соответствии с требованиями стандартов ГОСТ Р ИСО/МЭК серии 27001 и отраслевых стандартов Системы обеспечения информационной безопасности СТО Газпром серии 4.2 (СОИБ). Предложен подход к формированию моделей и методов выявления, идентификации и классификацииугроз нарушения информационной безопасности (ИБ) для защищаемых активов различного вида. Основное внимание обращено на сложности при совмещении требований двух различных систем стандартизации (ГОСТ Р ИСО/МЭК и СОИБ), которые могут вызвать затруднения при идентификации и оценке активов СМИБ, а также в процессах планирования и успешного проведения сертификационного аудита.

This issue covers briefly the current problemsof asset identification andcertification ofthe information security management systems(ISMS) in accordancewith the requirements ofGOST R ISO/IEC27001seriesof standardsand industryinformation security providing systemSTO Gazpromseries4.2(ISPS). Proposed approach providingdevelopment ofmodels andmethods for detection, identification and classification ofthreats tobreachinformation security (IS) fordifferent typesassets.Focuses on thedifficulties inreconcilingthe requirementsof two different systemsfor Standardization (ISMS andISPS), which can cause difficultiesin the identificationand evaluationof assetsISMS, as well as in the planning andsuccessfulcertification audit.

Проблема внедрения результативной СМИБ в соответствии с требованиями стандартов ГОСТ Р серии 27001 [1 – 2] является достаточно известной. Требования к проведению аудитов систем менеджмента (СМ) изложены в известном стандарте [3]. В ряде источников (www.snti.ru/snips_sto51.htm, s3r.ru/2010/10/standarty/Gazprom, txcom.ru/gazpro) доступны стандарты СОИБ [4 – 9], которые в своей основе содержат и ряд требований указанных стандартов [1 – 2]. Объективно существуют различия в требованиях СОИБ, которые могут препятствовать успешному внедрению СМИБ (например, различия в понятиях «актив» и «объект защиты») и проведению успешной независимой оценки (сертификации) по требованиям базового «сертификационного» стандарта [1]. В том случае, когда высший менеджмент организации принимает решение о подготовке существующей СМИБ к сертификационному аудиту, представляется необходимым проанализировать требования СОИБ и принять решение о комплексе мероприятий, которые следует предпринять для целей обеспечения соответствия требованиям [1]. Для реализации управляемых условий данного процесса предлагается методика идентификации и оценки активов, прошедшая практическую апробацию.

Учет различий при выявлении и оценке активов (объектов защиты) СМИБ

Для ряда организаций вполне естественно принимать «как есть» отраслевые требования, а внедрение дополнительных стандартов требует отдельного решения высшего менеджмента. Это обстоятельство не является экстраординарным, т.к., во-первых, изложено в преамбуле почти всех международных стандартов (ISO) и их российских переводов ГОСТ Р, во-вторых, является функцией формирования добавочной стоимости и, в-третьих, подтверждается мировой статистикой сертификации ISO [10, 11]. Соответственно, в случае принятия такого решения – о внедрении конкретного национального или международного стандарта, организация вынуждена выполнять сопоставление (“mapping”) своих процессов, реализованных изначально только лишь под требования конкретных отраслевых требований. При этом возможны упущения (неполнота) при выполнении анализа рисков нарушения ИБ и недостаточно полное изучение уязвимостей процессов переработки информации вАС.Ситуация может иметь более серьезные последствия, если конкретная отраслевая система (в частности, СОИБ), создавалась изначально на базе зарубежных стандартов (например, BS серии 7799), но по ряду причин не актуализировалась при изменении соответствующих стандартов или применимых законов (регламентов). В частности, стандарт СОИБ [4] содержит ссылку на отмененный Федеральный закон N 1-ФЗ «Об электронной цифровой подписи» (см. http://base.garant.ru/), а стандарт СОИБ [7] содержит ссылку на отмененный стандарт BS 7799:3-2006 (см. http://www.standards.ru/document/3858996.aspx) – на дату подготовки публикации.

В тоже время существуют методики [15], основанные на стандартах ISO [1 – 2], которые учитывают основные требования по управлению рисками ИБ, достаточно подробно описывая практическую реализацию требований как базового «сертифицирующего» стандарта [1], так и целевого стандарта по управлению рисками ИБ [2]. Применение данной методики [15] способствует получению численных оценок рисков ИБ и, в целом, возможно, успешной сертификации СМИБ на соответствие стандарту [1].

Для целей данной публикации будут рассмотрены два основных фундаментальных различия, которые, по мнению автора, могут иметь критичные последствия для целей создания и успешной сертификации СМИБ на соответствие требованиям стандарта [1]. Эти несоответствия могут привести к «консервации» замысла создания СОИБ и потери важного преимущества любой успешно внедренной СМ – адекватное обеспечение выполнение целей бизнеса [12 – 14]. Второе негативное последствие выявленных различий, имеющее измеримое значение – дополнительные издержки при приведении СМИБ к уровню, достаточному для адекватного выполнения требований стандарта [1]. Отметим, что в практике создания СМИБ представляется важным сконцентрировать экспертные усилия на целях формирования достоверных моделей и методов обеспечения внутреннего аудита и эффективного «мониторинга» состояния объектов, находящихся под воздействием угроз ИБ.

Различие 1. Идентификация (классификация) активов

Для анализа первого различия рассмотрим требования стандарта [1] в части управления активами и требования стандарта [8] по классификации объектов защиты. Известно определение: «активы (asset): все, что имеет ценность для организации» (п. 3.1 [1]). Дополнительно рассмотрим Приложение «В» стандарта [2]: «для установления ценности активов организация должна определить все свои активы на соответствующем уровне детализации». При этом дается пояснение о том, что могут различаться два вида активов: «основные активы, включающие бизнес-процессы, бизнес-деятельность и информацию и вспомогательные (поддерживающие) активы, от которых зависят основные составные части области применения всех типов, включающие аппаратные средства, программное обеспечение, сеть, персонал, место функционирования организации и структуру организации».

В фазе «План» цикла PDCA (п. 4.2.1 [1]) указано, что организация должна, например, «определить область и границы действия СМИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий». В Приложении А([1]) даны примеры реализации конкретных мер (средств) обеспечения ИБ (“controls”) в части касающейся управления активами, например: «Инвентаризация активов: «Опись всех важных активов организации должна быть составлена и актуализирована (A.7.1.1)».

В свою очередь, в требованиях СОИБ [8] по классификации объектов защиты (ОЗ) приводятся иные термины и определения (Раздел 3), где ОЗ трактуется в терминах [4];

Согласно [4] под термином ОЗ понимают информационные активы, технические и программные средства их обработки, передачи, хранения (п. 3.3.3 [4]). Этот перечень ОЗ является закрытым, объективно явно меньшим, чем дефиниция активов [2], представленная выше. Соответственно, одним из критичных рисков при сертификации может являться объективно явная неполнота идентифицированных и принятых к защите ОЗ в СОИБ, в частности, в [8] никак не учтены активы по следующим категориям – персонал, место расположения (объекты) и структура организации. Необходимо обратить внимание, что предложенный подход в системе СОИБ Газпром вносит существенные сложности в текущий процесс поддержания и обеспечения ИБ, в частности, в области управления инцидентами ИБ и рисками ИБ. Например, и стандарт ГОСТ Р ИСО/МЭК 18044-2007 оперирует примерами инцидентов ИБ, связанных с персоналом, и новейший международный стандарт ISO серии 27040 [16] по обеспечению безопасности хранящихся данных принимает во внимание важнейшую роль персонала (внутреннего, внешнего) в обеспечении требуемого уровня ИБ на объектах инфраструктуры.

В стандарте [8] определены правила идентификации ОЗ идолжны быть определены собственник, владелец и пользователи конкретного ОЗ (п. 5.6. [8]), каждый из них должен быть отнесён только к одному из следующих типов (п. 5.8 [8]):

В стандарте [8] перечислены правила определения критичности ОЗ и согласно им определяется критичность ОЗ (п. 6.7. [8]) и далее, на основании полученного уровня критичности, ОЗ относят к одной из групп (п. 7.1. [8]):

В Разделе 8 стандарта [8] приведены правила учёта ОЗ. Основными задачами учёта ОЗ являются сбор, обработка и систематизация данных об ОЗ. Отмечается, что должна выполняться обязательная регистрация фактов создания, приобретения, передачи, дублирования, снятия с эксплуатации и уничтожения ОЗ. Таким образом, можно сделать предварительный вывод по 1-му различию – для разработки и успешной сертификации СМИБ по требованиям [1], только выполнения требований, предъявляемыхСОИБ, объективно недостаточно, т.к. учитывается крайне ограниченное множество сущностей, объективно являющихся критичными активами для бизнеса.

Различие 2. Оценка рисков ИБ

Для анализа 2-го различия рассмотрим требования [1, 2] в части управления рисками ИБ и требования СОИБ [7] по анализу и оценке рисков. Основные определения, необходимые для анализа 2-го различия, приведены в [1] (п.п. 3.7 – 3.15). Основные требования по управления рисками ИБ удобно рассмотреть по фазам цикла PDCA, аналогично Различию 1: в фазе «План» (п. 4.2.1 [1]), фазе «Делай» (п. 4.2.2 [1]), в фазе «Проверяй» (п. 4.2.3 [1]), соответственно. В Приложении А ([1]) даны примеры реализации конкретных мер (средств) обеспечения ИБ (“controls”) в части касающейся менеджмента рисков, например: «Проверка всех кандидатов на постоянную работу, подрядчиков и пользователей сторонней организации должна быть проведена в соответствии с законами, инструкциями и правилами этики, с учетом требований бизнеса, характера информации, к которой будет осуществлен их доступ, и предполагаемых рисков» (А. 8.1.2.).

В свою очередь, в требованиях СОИБ [7] по анализу и оценке рисков выполняются следующие основные процедуры (п. 4.4):идентификация, анализ и оценивание риска.Оценка рисков осуществляется дляАС, в состав которых входит хотя бы один ОЗ с максимальным уровнем критичности, определяемым в соответствии с (п. 4.8 [7]). Таким образом, объективно существует критичный риск для целей успешной сертификации СМИБ, при котором деятельность по оценке рисков в терминах только СОИБ может вообще не проводиться. Соответственно, деятельность, предусмотренная СОИБ [7], не будет осуществляться на «законных» основаниях, что может привести к ошибкам в процессах выявления, идентификации и классификации угроз нарушения ИБдляОЗ, а также к недостоверному анализу рисков нарушения ИБ и уязвимостейв процессах переработки информации в АС вустановленной области применения (“scope”). Особенно важно, что может наблюдаться «вложенность» критичных рисков – невыполнение оценки рисков (Различие 2) может быть прямым следствием исключения персонала из активов в СОИБ (Различие 1) и такая «вложенность» может привести, объективно, к значительным несоответствиям на внешнем сертификационном аудите СМИБ.В рамках работ по идентификации рисков необходимо выполнить идентификацию элементов риска, а именно ОЗ, угроз ОЗ и уязвимостей ОЗ(п. 5.1 [7]).В рамках работ по анализу рисков определяют (п. 6.1. [7]):

Оценка возможного ущерба производится по 3-уровневой качественной шкале (6.2.2 [7]):

Обратим внимание, что, как правило,при решении конкретных прикладных задачи значения критериев измеряются в пределах определенной шкалы и выражаются в установленных единицах. Известно, что качественные шкалы используют, например, для измерения различных психофизических величин, силы землетрясения, а также степени разрушения материала или конструкции (3.3.1 [14]). Соответственно, применение качественной шкалыдля целей оценки возможного ущерба ИБ представляется не вполне оправданным и методически уязвимым с позиции обеспечения достижения измеримых (!) целей – создание СМИБ, обеспечение постоянного повышения результативности СМИБ и успешная сертификация СМИБ на соответствие требованиям [1].

В стандарте [7] отмечается, что максимальная величина возможного ущерба характеризуется максимальным уровнем критичности ОЗ, средняя величина возможного ущерба – средним уровнем критичности ОЗ, минимальная величина возможного ущерба – минимальным уровнем критичности ОЗ. Объективно, существуют затруднения для определения уровня возможного ущерба для активов (в терминах стандартов ИСО), но не учтенных как ОЗ в системе СОИБ, например: персонал (собственный и посторонний), серверные помещения, помещения для проведения конфиденциальных переговоров и пр.

Следующим шагом оценки рисков является сравнение полученных величин риска с заранее определенной шкалой уровня риска – этап оценивания риска (п. 7.1 [7]). Должны быть идентифицированы уровни риска, которые являются приемлемыми (п. 7.4 [7]) и риски, не превышающие приемлемого уровня, должны быть приняты. Также должны приниматься риски, превышающие допустимый уровень, если для данных рисков отсутствует подходящий способ обработки. Все остальные риски должны обрабатываться (п. 7.5 [7]).Это положение создает существенное затруднение для подготовки СМИБ к сертификации, т.к. известное требование – выполнение анализа СМИБ со стороны руководства (стандарт [1], раздел 7) предусматривает явно принятие во внимание в качестве входной информации о: «уязвимостях или угрозах, которые не были адекватно рассмотрены в процессе предыдущей оценки риска» (п. 7.2. е[11]) и в системе СОИБ Газпром не выполняется в силу применяемой парадигмы формирования ОЗ.

Методика идентификации активов

Как уже отмечалось выше, существует ряд различий между системами СМИБ и СОИБ, одним из важнейших и принципиальных является различие в терминах «актив» ([1]) и «объект защиты» ([4]).Соответственно, необходимо предложить методический подход, который позволит мягко преобразовать существующую СОИБ к требованиям СМИБ и обеспечить результативное проведение различных аудитов, так и мониторинга состояния объектов, находящихся под воздействием угроз нарушения ИБ. Прежде всего, как было указано выше, необходимо преобразовать базовую систему ОЗ к требованиям идентификации всех групп активов СМИБ на соответствиестандарта [1]. Например, может быть предложена следующая классификация групп активов СМИБ (см. Табл. 1).

Таблица 1. Классификация групп активов СМИБ

Источник

ГОСТ Р ИСО/МЭК 27003-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

5.1 Роль руководства и его обязательства

Высшее руководство также участвует в анализе СМИБ со стороны руководства (см. 9.3) и содействует ее постоянному улучшению (см. 10.2).

Роль и обязательства руководства очень важны для эффективности СМИБ.

Высшее руководство определяет (см. ИСО/МЭК 27000) лицо или группу лиц, которые направляют и контролируют формирование СМИБ на самом высоком уровне, т.е. высшее руководство несет ответственность за СМИБ. Это означает, что оно управляет СМИБ, как и другими областями организации, например распределением и мониторингом бюджета. Высшее руководство может делегировать полномочия в организации и предоставлять ресурсы для фактического выполнения деятельности, связанной с ИБ и СМИБ, но оно по-прежнему будет нести полную ответственность.

Высшее руководство также участвует в анализе со стороны руководства (см. 9.3) и содействует постоянному улучшению (см. 10.2).

Высшее руководство должно устанавливать свои роли и обязательства посредством следующего:

a) высшее руководство должно обеспечить установление политики ИБ и целей ИБ и их совместимость со стратегическим направлением деятельности организации;

b) высшее руководство должно обеспечивать интеграцию требований СМИБ и мер обеспечения ИБ в процессы организации. При этом интеграция должна быть адаптирована к конкретному контексту организации. Например, организация, назначившая владельцев процессов, может делегировать ответственность за выполнение применимых требований этим лицам или группам лиц. Поддержка высшего руководства также может быть необходима для преодоления организационного сопротивления изменениям в процессах и мерах обеспечения ИБ;

c) высшее руководство должно обеспечить доступность ресурсов для эффективной СМИБ. Ресурсы необходимы для создания СМИБ, ее внедрения, поддержания и улучшения, а также для осуществления мер обеспечения ИБ. Ресурсы, необходимые для СМИБ, включают:

4) техническую инфраструктуру.

Необходимые ресурсы зависят от контекста организации, ее размера, сложности структуры внутренних и внешних требований. Анализ со стороны руководства должен предоставлять информацию, которая указывает, являются ли ресурсы достаточными для организации;

d) высшее руководство должно сообщать о необходимости управления ИБ в собственной организации и необходимости соответствия требованиям СМИБ. Это может быть сделано путем предоставления практических примеров, иллюстрирующих фактические потребности в контексте организации, и путем информирования о требованиях ИБ;

e) высшее руководство должно обеспечить достижение СМИБ ожидаемого(ых) результата(ов) путем поддержки осуществления всех процессов управления ИБ и, в частности, путем запроса и анализа отчетов о состоянии и эффективности СМИБ (см. 5.3, перечисление b)). Такие отчеты могут быть получены на основе измерений (см. 6.2, перечисление b) и 9.1, перечисление a)), анализа со стороны руководства и отчетов об аудите. Высшее руководство также может устанавливать цели производительности для ключевых сотрудников, связанных со СМИБ;

f) высшее руководство должно направлять и поддерживать лиц в организации, непосредственно связанных с ИБ и СМИБ. Невыполнение этого требования может негативно повлиять на эффективность СМИБ. Обратная связь от высшего руководства может отражать то, как планируемая деятельность согласуется со стратегическими потребностями организации, а также определяет приоритеты различных мероприятий в СМИБ;

g) высшее руководство должно оценивать потребности в ресурсах в ходе анализа со стороны руководства и устанавливать цели для постоянного улучшения и мониторинга эффективности планируемых мероприятий;

h) высшее руководство должно оказывать поддержку лицам, которым назначены роли и обязанности, связанные с управлением ИБ, чтобы они были мотивированы и могли направлять и поддерживать деятельность по ИБ в своей области.

В тех случаях, когда организация, реализующая и эксплуатирующая СМИБ, является частью более крупной организации, роли и обязательства руководства могут быть улучшены путем взаимодействия с человеком или группой людей, которые контролируют и руководят более крупной организацией. Если они понимают, что задействовано во внедрении СМИБ, они могут оказать поддержку высшему руководству в рамках области действия СМИБ в обеспечении лидерства, а также продемонстрировать приверженность СМИБ. Например, если заинтересованные стороны, не входящие в область действия СМИБ, участвуют в принятии решений относительно целей ИБ и критериев риска и осведомлены о результатах, полученных СМИБ, их решения относительно распределения ресурсов могут быть приведены в соответствие с требованиями СМИБ.

Источник