close

Вход

Забыли?

вход по аккаунту

код для вставкиСкачать
Приложение 1
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ГЛАВА 1
ОБЛАСТЬ ПРИМЕНЕНИЯ
1. Методические рекомендации по обеспечению информационной
безопасности (далее – методические рекомендации) разработаны
в соответствии с СТБ ISO/IEC 27001-2011 «Информационные технологии.
Методы
обеспечения
безопасности.
Система
менеджмента
информационной безопасности. Требования» (далее – СТБ 27001)
и СТБ ISO/IEC 27002-2012 «Информационные технологии. Методы
обеспечения безопасности. Кодекс практики для менеджмента
информационной безопасности» (далее – СТБ 27002) и определяют
минимально необходимый перечень требований по созданию и внедрению
системы менеджмента информационной безопасности в организации
(далее – СМИБ).
Перечень требований по созданию и внедрению СМИБ может быть
расширен либо обоснованно сокращен с учетом особенностей
деятельности конкретной организации.
2. Настоящие
методические
рекомендации
предназначены
для использования организациями при разработке локальных
нормативных правовых актов, определяющих выбранные правовые,
организационные либо технические меры (мероприятия) по обеспечению
информационной безопасности.
ГЛАВА 2
ЭТАПЫ ВНЕДРЕНИЯ СМИБ
3. На предварительном этапе (до внедрения СМИБ) необходимо
определить должностных лиц, ответственных за проведение мероприятий
по планированию и дальнейшему внедрению СМИБ в организации.
4. Для
эффективного
функционирования
СМИБ
следует
использовать непрерывный циклический процесс, который включает
в себя следующие этапы:
разработка (планирование);
внедрение (реализация плана);
проверка (анализ эффективности и работоспособности внедренных мер);
совершенствование (устранение обнаруженных недостатков).
2
ГЛАВА 3
РАЗРАБОТКА (ПЛАНИРОВАНИЕ) СМИБ
5. На этапе разработки (планирования) необходимо провести
следующие мероприятия:
5.1. определить (задокументировать) главные и вспомогательные
процессы основной деятельности организации;
5.2. определить внутренние и внешние аспекты, оказывающие
влияние (ограничение) на достижение результата внедрения СМИБ;
5.3. определить заинтересованные стороны, а также их требования
к основной деятельности организации (договорные обязательства;
требования законодательства, локальных нормативных правовых актов);
5.4. определить область применения СМИБ, учитывая внутренние
и внешние аспекты, оказывающие влияние (ограничение) на достижение
результата внедрения СМИБ организации, требования заинтересованных
сторон, а также существующие внешние связи и интерфейсы с другими
организациями;
5.5. определить физические и логические границы области действия
(применения) СМИБ;
5.6. определить цели внедрения СМИБ, совместимые со стратегией
(концепцией) развития организации, и обеспечить интеграцию требований
СМИБ с процессами деятельности организации;
5.7. разработать политику информационной безопасности;
5.8. провести инвентаризацию (выявление и учет) активов
организации:
аппаратных средств, физических устройств;
программного обеспечения (прикладного и системного);
средств обработки информации, информационных систем и сетей
(далее – СОИИСС);
информации (сведений), обрабатываемой в СОИИСС;
потоков информации и средств коммуникации;
должностных лиц и их обязанностей в сфере информационной
безопасности;
применяемых в организации средств управления информационной
безопасности (технических средств и организационных мер);
5.9. определить должностные лица, ответственные за эксплуатацию
и установление правил использования активов (далее, если не определено
иное, – владельцы активов);
5.10. провести
классификацию
(категорирование)
активов
организации, учитывая их значимость и критичность для основной
деятельности организации;
5.11. определить (разработать) методологию оценки рисков
нарушения информационной безопасности (методика управления
рисками, критерии оценки рисков);
3
5.12. оценить риски нарушения информационной безопасности
в соответствии с выбранной (разработанной) методологией;
5.13. разработать
план
обработки
рисков
нарушения
информационной безопасности (дополнительные меры (мероприятия)
безопасности
или
предложения
по
совершенствованию
уже
применяемых).
6. К внутренним аспектам, оказывающим влияние (ограничение)
на достижение результата внедрения СМИБ, могут быть отнесены:
руководство организации;
организационная структура;
функции и обязанности;
политика, цели и стратегии их достижения;
возможности, исходя из ресурсов и знаний (например, капитал,
время, люди, процессы, системы и технологии);
взаимосвязи с внутренними заинтересованными сторонами,
их восприятие и ценности;
деятельность организации;
информационные системы, информационные потоки и процессы
принятия решений (как официальные, так и неофициальные);
стандарты, методологии, принятые организацией;
форма и объем договорных отношений.
7. К внешним аспектам могут быть отнесены:
социальная, культурная, политическая, правовая, финансовая,
технологическая, экономическая, естественная и рыночная среда
на международном, национальном или локальном уровне;
основные факторы и тенденции, влияющие на цели деятельности
организации и взаимосвязи с внешними заинтересованными сторонами,
их восприятие и ценности.
8. Область применения СМИБ должна быть оформлена
документально. Целесообразно указать область применения СМИБ
с
использованием
структурной
и
(или)
логической
схемы
информационной системы организации (части информационной системы),
на которую будет распространять свое действие СМИБ. В структурную
схему, как правило, включают аппаратные элементы, в том числе
и те, которые выполняют функции защиты информации, а также линии
электросвязи. В логической схеме показывают информационные системы
и направления внешних и внутренних потоков данных, а также
спецификации используемых технологий и протоколов.
9. При определении целей внедрения СМИБ необходимо учитывать
ожидаемые выгоды для деятельности организации и сделать названную систему
менеджмента частью процесса управления и функционирования организацией.
10. Политика информационной безопасности, как правило, включает
следующие положения:
систематизированное изложение целей, процессов информационной
4
безопасности в организации (основа для построения системы управления
информационной безопасностью);
перечень требований информационной безопасности (в общем виде)
и обязательства по их выполнению;
организационную структуру СМИБ;
обязательства по постоянному совершенствованию СМИБ;
направления информационной безопасности, которым организация
уделяет внимание;
ссылки на локальные нормативные правовые акты, в том числе
стандарты, регламенты, инструкции.
11. При классификации информационных активов необходимо
определить возможные последствия от нарушения конфиденциальности,
целостности и доступности активов для основной деятельности
организации.
12. Результаты выполнения подпунктов 5.8 – 5.10 пункта 5 настоящих
методических рекомендаций целесообразно объединить в перечень (опись,
реестр) активов организации, определив наиболее критичные для основной
и вспомогательной деятельности организации, а также указать для каждого
актива его владельца и наиболее уязвимые категории безопасности
(конфиденциальность, целостность, доступность).
ГЛАВА 4
ВНЕДРЕНИЕ СМИБ
13. Этап внедрения заключается в выполнении всех планов,
связанных с построением и совершенствованием СМИБ, определенных
на предыдущем этапе, а также на этапе совершенствования,
если не требуется планирования соответствующих улучшений.
14. На
данном
этапе
выбираются
средства
управления,
соответствующие рискам нарушения информационной безопасности,
оцененным на предыдущем этапе. Необходимо применять защитные меры,
правильность работы которых может быть проверена. При этом следует
оценивать эффективность реализации и правильность функционирования
средств управления.
ГЛАВА 5
ПРОВЕРКА СМИБ
15. Этап проверки необходим для возможности убедиться, что СМИБ
функционирует надлежащим образом, а также учитывает внутренние
и внешние по отношению к организации аспекты (события).
16. Анализ эффективности и работоспособности СМИБ в целом
необходимо проводить при изменении любых условий, оказывающих
влияние на функционирование организации либо СМИБ, но не реже одного
5
раза в год.
17. На этапе проверки также следует регулярно осуществлять
контроль информационной безопасности и используемых средств
управления.
ГЛАВА 6
СОВЕРШЕНСТВОВАНИЕ СМИБ
18. Процесс совершенствования СМИБ включает деятельность
по принятию решений о ее модернизации на основании результатов этапа
проверки.
19. Деятельность
по
совершенствованию
СМИБ
должна
осуществляться в рамках этапа реализации, а в случае необходимости –
планирования (например, при обнаружении новой угрозы следует
провести оценку рисков на этапе планирования).
ГЛАВА 7
ТРЕБОВАНИЯ, ПРЕДЪЯВЛЯЕМЫЕ К СМИБ
20. С
учетом
особенностей
деятельности
организации
для обеспечения эффективного функционирования СМИБ необходимо
реализовать:
20.1. требования к локальным нормативным правовым актам,
направленные на управление информационной безопасностью и ее
документальное закрепление, а также обеспечение участия руководителей
организации в решении вопросов информационной безопасности;
20.2. требования к организации информационной безопасности,
отражающие общие требования к организационной структуре
и разграничению полномочий по обеспечению информационной
безопасности;
20.3. требования к управлению активами, позволяющие обеспечить
их безопасность;
20.4. требования, связанные с персоналом, обеспечивающие
понимание персоналом своих функций и обязанностей, а также
снижающие вероятность возникновения угроз информационной
безопасности;
20.5. требования к физической защите, позволяющие предотвратить
несанкционированный
физический
доступ,
повреждение
и воздействие на информационные активы;
20.6. требования к функционированию и контролю доступа
к СОИИСС, позволяющие обеспечить правильную и безопасную работу
СОИИСС;
20.7. требования к разработке, внедрению и обслуживанию
информационных систем, позволяющие обеспечивать информационную
6
безопасность информационных систем при разработке, внедрении
и обслуживании;
20.8. требования к управлению инцидентами информационной
безопасности, позволяющие обеспечить оперативность оповещения
о событиях, связанных с нарушениями информационной безопасности,
а также своевременность реагирования на них;
20.9. требования к информационной безопасности при управлении
непрерывностью основных процессов организации, направленные
на противодействие прерыванию основных процессов организации,
а также обеспечение своевременного их возобновления после прерывания;
20.10. требования законодательства в области информации,
информатизации и защиты информации, других правовых актов, а также
договоров и соглашений, стороной которых является организация.
21. Результаты реализации требований отражаются в Положении
о применимости.
В Положении о применимости по каждому требованию
должно быть указано, каким образом реализовано требование, а также
приведены ссылки на документы, подтверждающие реализацию
этих требований (положения, инструкции, договоры, соглашения,
протоколы, акты и другое).
22. Если по каким-либо причинам требование не может быть
реализовано в организации, то в Положении о применимости приводится
соответствующее обоснование.
23. При создании СМИБ организация может руководствоваться
полным перечнем требований к мерам информационной безопасности,
определенным в приложении А к СТБ 27001, а также рекомендациями
СТБ 27002 по реализации этих требований.
ГЛАВА 8
ТРЕБОВАНИЯ К ЛОКАЛЬНЫМ НОРМАТИВНЫМ ПРАВОВЫМ
АКТАМ ОРГАНИЗАЦИИ
24. Локальные
нормативные
правовые
акты
организации,
определяющие направления информационной безопасности (система
менеджмента информационной безопасности, политика информационной
безопасности и другое), утверждаются руководителем организации либо
уполномоченным им лицом и доводятся до сведения сотрудников, имеющих
отношение к информационным активам, а также сторонних организаций,
с которыми осуществляется взаимодействие с использованием активов.
25. Локальные нормативные правовые акты, определяющие
направления информационной безопасности, подлежат периодическому
пересмотру (но не реже одного раз в год), а также в случае изменения
существенных характеристик безопасности (принятие нормативных
правовых актов, изменение организационной структуры, проявление
7
внешних и внутренних угроз и другое).
ГЛАВА 9
ТРЕБОВАНИЯ К ОРГАНИЗАЦИИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
26. Для координации действий по обеспечению информационной
безопасности руководителем организации назначается должностное лицо.
27. В целях организации информационной безопасности:
27.1. определяется
порядок
получения
разрешения
на использование новых средств обработки информации в организации;
27.2. определяются условия конфиденциальности или разрабатывается
соглашение о неразглашении, отражающие потребности организации
в обеспечении информационной безопасности;
27.2. вырабатывается необходимая процедура и поддерживается
взаимодействие с органами, в компетенцию которых входят вопросы
противодействия нарушениям безопасности информации;
27.3. вырабатывается процедура взаимодействия со специалистами
иных
организаций
в
области
информационной
безопасности
(при необходимости).
28. Порядок
организации
и
управления
информационной
безопасностью, а также ее реализации подлежит периодическому
контролю (проверке, аудиту) (но не реже одного раза в год), а также
в случае изменения существенных характеристик безопасности (принятие
нормативных правовых актов, изменение организационной структуры,
проявление внешних и внутренних угроз и другое).
29. В случае предоставления сторонним организациям доступа
к информации (к средствам ее обработки) либо использования
информационных услуг таких организаций определяются возможные
риски и принимаются соответствующие меры безопасности (например,
заключается соглашение, которое должно содержать правила доступа
к процессам обработки, передачи информации или к управлению
информацией или средствами обработки информации организации).
ГЛАВА 10
ТРЕБОВАНИЯ К УПРАВЛЕНИЮ АКТИВАМИ
30. Определяются
информационные
активы
организации,
составляется опись (реестр) активов, которая поддерживается
в актуальном состоянии.
31. Назначаются лица, ответственные за активы организации,
которые определяют правильность классификации активов и применения
соответствующих ограничений доступа.
32. Определяются
документально
и
реализуются
правила
8
использования активов.
33. Информация классифицируется с точки зрения значимости,
конфиденциальности и критичности для основной деятельности
организации.
34. В соответствии со схемой классификации, принятой
организацией, разрабатывается и реализуется порядок обращения
с информацией.
ГЛАВА 11
ТРЕБОВАНИЯ, СВЯЗАННЫЕ С ПЕРСОНАЛОМ
35. В локальных нормативных правовых актах определяются
функции и обязанности в сфере обеспечения информационной
безопасности персонала, а также представителей сторонних организаций.
36. Проверка персонала, представителей сторонних организаций
(при необходимости) проводится в соответствии с инструкциями
и правилами этики.
37. С персоналом, а также с представителями сторонних организаций
подписывается соглашение (возможно отражение соответствующих
положений в договоре) об их ответственности за нарушения в сфере
обеспечения безопасности информации.
38. Персонал, а также представители сторонних организаций
(при
необходимости)
проходят
соответствующее
обучение
и переподготовку в целях получения информации о новых требованиях,
правилах, процедурах в области обеспечения безопасности информации
в организации.
39. По окончании действия контракта (договора) все активы,
находящиеся у соответствующего лица, возвращаются, а также
аннулируются или уточняются права доступа к информации и средствам
обработки информации.
ГЛАВА 12
ТРЕБОВАНИЯ К ФИЗИЧЕСКОЙ ЗАЩИТЕ
40. Для защиты зон, которые содержат информацию и средства
обработки информации, используются периметры безопасности
(охраняемые зоны).
41. В целях исключения несанкционированного доступа персонала
и посторонних лиц определяется порядок защиты охраняемых зон.
42. Разрабатывается и применяется порядок осуществления
физической защиты помещений (с техническими средствами)
и технических средств, в том числе от внешних и чрезвычайных ситуаций
природного и техногенного характера (пожар, наводнение, общественные
беспорядки и другое).
9
43. Разрабатываются и выполняются требования к физической
защите и рекомендации по выполнению работ в охраняемых зонах.
44. Доступ к средствам обработки информации ограничивается
для посторонних лиц (например, изолирование помещений (объектов),
определение списка лиц, допущенных в помещения (на объекты)).
45. В
случаях
нарушения
функционирования
системы
энергоснабжения и других вспомогательных (коммунальных) служб
обеспечивается бесперебойная работа оборудования.
46. Силовые и коммуникационные кабельные сети, по которым
передается информация или оказываются услуги, защищаются
от несанкционированного доступа и повреждений (в том числе путем
резервирования).
47. Техническое обслуживание оборудования проводится регулярно
в соответствии с эксплуатационной документацией.
48. Определяется процедура выноса из помещений организации
оборудования, носителей информации и программного обеспечения.
ГЛАВА 13
ТРЕБОВАНИЯ К ФУНКЦИОНИРОВАНИЮ СРЕДСТВ ОБРАБОТКИ
ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ СИСТЕМ И СЕТЕЙ
49. Процедуры эксплуатации СОИИСС оформляются документально
и при изменении характеристик и условий эксплуатации СОИИСС
постоянно обновляются, а также являются доступными пользователям
(в части, их касающейся) для изучения.
50. Изменения в конфигурациях СОИИСС контролируются
и фиксируются в эксплуатационной документации (локальные
нормативные правовые акты, журналы регистрации изменения
конфигураций).
51. Для снижения возможности несанкционированного доступа
обязанности и сферы ответственности при эксплуатации СОИИСС
разграничиваются (например, между системными администраторами
и администраторами безопасности).
52. Функциональные характеристики производительности СОИИСС
контролируются, регулируются и прогнозируются.
53. Для внесения изменений в СОИИСС (принятие новых,
модернизация старых версий программного обеспечения и другие
изменения) разрабатываются критерии, а также проводится тестирование
этих изменений (при возможности его проведения).
54. Реализуются
меры
по
обнаружению,
предотвращению
проникновения
вредоносного
кода
и
восстановлению
после
его проникновения, а также устанавливаются процедуры по оповещению
персонала о таких инцидентах безопасности в части, его касающейся.
55. При использовании мобильного кода определяется и реализуется
10
политика его использования, а использование неавторизованного
мобильного кода блокируется.
56. Устанавливаются и реализуются процедуры резервного
копирования информации и программного обеспечения, а также порядок
обращения с резервными копиями (хранение, восстановление из резервных
копий, физическая защита и другое).
57. В целях обеспечения безопасности СОИИСС реализуются
процедуры управления и контроля информационных сетей, в том числе
при передаче через нее информации.
58. Определяются меры безопасного использования сетевых услуг
(сетевых сервисов), например: аутентификация, идентификация,
шифрование, процедуры использования сетевых услуг (сетевых сервисов).
59. Для управления носителями информации, в том числе съемными,
разрабатываются и реализуются процедуры (обращение с носителями
информации, их хранение, передача сторонним лицам, утилизация и другое).
60. С
учетом
обеспечения
информационной
безопасности
устанавливаются процедуры обработки и хранения информации, в том числе
технологической.
61. Разрабатываются
и
реализуются
процедуры
обмена
информацией, в том числе со сторонними организациями, а также
внедряются меры контроля, обеспечивающие защиту обмена информацией
при использовании всех типов связи.
62. Разрабатываются и реализуются процедуры ведения, хранения
в течение определенного периода времени журналов аудита,
регистрирующих (как минимум) действия пользователей, в том числе
администраторов, нештатные ситуации, события информационной
безопасности.
63. Реализуется процедура контроля и анализа использования
средств обработки информации.
64. Средства регистрации (аудита) и информация журналов
регистрации (аудита) защищаются от несанкционированного доступа.
65. Время синхронизируется с единым источником для всех СОИИСС.
ГЛАВА 14
ТРЕБОВАНИЯ К КОНТРОЛЮ ДОСТУПА К СОИИСС
66. Процедуры контроля доступа документируются и учитывают
аспекты информационной безопасности.
67. Формализуется процедура предоставления и отмены доступа
пользователей ко всем информационным системам и услугам (ресурсам),
а также ограничивается и контролируется предоставление и использование прав
доступа. Права доступа подлежат периодическому пересмотру, а также в случае
изменения существенных характеристик безопасности (принятие нормативных
правовых актов, изменение организационной структуры, проявление внешних
11
и внутренних угроз и другое).
68. Формализуются и контролируются процессы выработки и смены
паролей, предоставления их пользователям.
69. Средства обработки информации, оставленные без присмотра,
защищаются от несанкционированного доступа (правила «чистого стола»,
«чистого экрана» и другое).
70. При осуществлении контроля сетевого доступа:
70.1. пользователям предоставляется доступ только к тем услугам
(сервисам, ресурсам), к которым они допущены;
70.2. для удаленных пользователей применяются соответствующие
методы аутентификации;
70.3. автоматическая идентификация оборудования рассматривается
как
средство
аутентификации
соединений,
осуществляемых
с определенных мест и с определенным оборудованием;
70.4. физический и логический доступ к интерфейсам средств
обработки информации (портам конфигурации и диагностики)
ограничивается и контролируется;
70.5. в информационных сетях применяются (при необходимости)
принципы разделения групп информационных услуг (сервисов, ресурсов),
пользователей и информационных систем (например, разделение
на отдельные логические сетевые домены: внутренняя и внешняя
информационная сеть организации). Разделение проводится с учетом
классификации
информации,
хранимой
или
обрабатываемой
в информационных сетях, а также эксплуатационного влияния внедряемых
для разделения средств;
70.6. подключение пользователей к совместно используемым сетям,
особенно к выходящим за пределы территории организации,
ограничивается в соответствии с процедурами доступа;
70.7. внедряются средства управления и контроля маршрутизации
в информационной сети для исключения возможного нарушения правил
контроля доступа.
71. При осуществлении контроля доступа к операционной системе:
71.1. доступ к операционной системе обеспечивается безопасной
процедурой входа (процедура входа в систему должна раскрывать
минимум информации о системе);
71.2. всем
пользователям
устанавливаются
уникальные
идентификаторы для персонального использования, а для аутентификации
выбираются соответствующие методы (строгость идентификации
и аутентификации пользователя должна соответствовать важности
информации, к которой будет предоставлен доступ);
71.3. использование системных утилит, которые могут преодолеть
средства контроля операционных систем и приложений, ограничивается
и строго контролируется;
71.4. обеспечивается завершение сеанса связи после определенного
12
периода бездействия, а также ограничивается время соединения (сеанса)
для обеспечения дополнительной безопасности.
72. Системы, обрабатывающие важную (критичную) информацию,
должны иметь выделенную (изолированную) среду.
73. Разрабатываются
и
реализуются
процедуры
(порядок)
использования переносных (мобильных) средств обработки информации.
74. В случае использования в организации работы в дистанционном
режиме разрабатываются и реализуются процедуры (порядок) выполнения
таких действий.
ГЛАВА 15
ТРЕБОВАНИЯ К РАЗРАБОТКЕ, ВНЕДРЕНИЮ И ОБСЛУЖИВАНИЮ
ИНФОРМАЦИОННЫХ СИСТЕМ
75. При создании новых информационных систем, а также
модернизации
существующих
детализируются
требования
информационной безопасности в проектной документации (техническое
задание на создание информационной системы, частное техническое
задание на создание системы безопасности (защиты информации), задание
по безопасности).
76. Разрабатывается
и
реализуется
процедура
установки
программного обеспечения.
77. Ограничивается доступ к исходным кодам программ.
78. Внесение изменений в программное обеспечение проверяется
с использованием формализованных процедур контроля изменений.
79. При внесении изменений в программное обеспечение проводится
анализ и тестирование критичных приложений для проверки отсутствия
негативного влияния на их работу и безопасность.
80. Предотвращаются (предупреждаются) возможности для утечки
информации.
81. Разработка программного обеспечения с привлечением
сторонних организаций проводится под постоянным контролем
и надзором организации.
82. Разрабатывается
процедура
получения
информации
о технических уязвимостях используемых информационных систем,
оценке опасности таких уязвимостей и принимаются меры
по устранению связанных с ними рисков.
ГЛАВА 16
ТРЕБОВАНИЯ К УПРАВЛЕНИЮ
ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
83. Обо всех случаях нарушения информационной безопасности
сообщается незамедлительно в соответствии с процедурой, принятой
13
в организации.
84. Разрабатываются процедуры, позволяющие обеспечить быстрое,
эффективное и последовательное реагирование на инциденты
информационной безопасности.
85. Определяются механизмы, позволяющие вести мониторинг
и регистрацию инцидентов информационной безопасности.
86. Определяются процедуры сбора и хранения информации
об инциденте информационной безопасности (для возможности
последующего расследования компетентными органами).
87. По
результатам
анализа
инцидентов
информационной
безопасности определяются меры по предотвращению (недопущению)
подобных инцидентов.
ГЛАВА 17
ТРЕБОВАНИЯ К ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПРИ УПРАВЛЕНИИ НЕПРЕРЫВНОСТЬЮ ОСНОВНЫХ ПРОЦЕССОВ
ОРГАНИЗАЦИИ
88. События, которые могут стать причиной прерывания основных
процессов организации, определяются и связываются с оценками
вероятности и степени воздействия таких прерываний (оценка рисков).
89. Разрабатываются планы для поддержки или восстановления
основных процессов организации, а также для обеспечения доступности
информации на требуемом уровне и в необходимые сроки после
прерывания или отказа.
90. Планы непрерывного функционирования основных процессов
организации подлежат периодическому пересмотру (но не реже одного раз
в год), а также в случае изменения существенных характеристик
безопасности (принятие нормативных правовых актов, изменение
организационной структуры, проявление внешних и внутренних угроз
и другое).
1/--страниц
Пожаловаться на содержимое документа