10. Улучшение (4-й этап «РDСА»)
Этап улучшения СУИБ обеспечивают следующие мероприятия:
– корректирующие действия;
– постоянное улучшение.
Корректирующие действия
При появлении несоответствия организация должна:
– реагировать на несоответствие и в зависимости от обстоятельств принять меры по его управлению и исправлению или проработать последствие;
– оценить необходимость принятия действий для устранения причин несоответствия с целью предотвращения его повторения или появления в другом месте, для этого:
• изучить несоответствие;
• определить причину несоответствия;
• определить, существуют ли подобные несоответствия или потенциальные возможности их возникновения;
– реализовать любые необходимые корректирующие действия;
– проанализировать результативность выполненных корректирующих действий;
– при необходимости внести изменения в СУИБ.
Корректирующие действия должны быть адекватными последствиям выявленных несоответствий. Организация должна сохранять документированную информацию как свидетельства о:
– характере несоответствий;
– любых корректирующих действиях;
– результатах корректирующих действий.
Постоянное улучшение
Организация должна постоянно улучшать пригодность, адекватность и результативность СУИБ.
3. Свод правил управления ИБ
(стандарт ISO/IEC 27002:2013)
В 2000 году первая часть британского национального стандарта BS 7799—1 «Практические правила управления ИБ» была принята в качестве международного стандарта ISO/IEC 17799 «ИТ. Практические правила управления ИБ». В 2005 году на его основе был разработан новый международный стандарт ISO/IЕС 27002 «ИТ. Meтоды защиты. Свод норм и правил управления ИБ», который был опубликован в июле 2007 года. Последнее обновление стандарта состоялось 25 сентября 2013 года.
Стандарт предлагает рекомендации и основные принципы введения, реализации, поддержки и улучшения СУИБ в организации. Он может служить практическим руководством по разработке стандартов безопасности организации, для эффективной практики УИБ организаций и способствует укреплению доверия в отношениях между организациями.
Стандарт состоит из 14 разделов, посвященных мерам безопасности, которые все вместе содержат, в целом, 34 основные категории безопасности и 114 мер защиты:
1) политика ИБ (1);
2) организация ИБ (2);
3) безопасность, связанная с персоналом (3):
4) управление активами (3);
5) управление доступом (4);
6) криптография (1);
7) физическая и экологическая безопасность (2);
8) безопасность операций (7);
9) безопасность связи (2);
10) приобретение, разработка и поддержка ИС (3);
11)