Применимые к организации требования законодательной и нормативной базы, требования бизнеса, а также требования, вытекающие из контрактных обязательств организации, оформляются в виде реестра требований безопасности.
__________________________________________
Идентификация требований безопасности:
- Идентифицируются:
- законодательные и нормативные требования;
- контрактные обязательства;
- требования бизнеса.
- Цель:
- идентификация юридических, репутационных, финансовых и бизнес-рисков, связанных с нарушением обязательных требований.
_____________________________________
Реестр требований безопасности используется для оценки и контроля следующих рисков:
- юридических рисков, возникающих при нарушении организацией требований действующего законодательства и нормативной базы в области информационной безопасности;
- юридических, репутационных и финансовых рисков, связанных с невыполнением организацией контрактных обязательств;
- бизнес-рисков, связанных с невыполнением требований бизнеса к обеспечению информационной безопасности, нарушение которых может повлечь причинение ущерба организации и затруднить достижение целей бизнеса.
Ответственность за формирование и поддержание в актуальном состоянии реестра требований информационной безопасности несет менеджер информационной безопасности. Актуализация и контроль выполнения требований осуществляется в ходе проведения плановых аудитов. При этом по каждому требованию в реестре проставляется отметка о выполнении, например, следующим образом:
- Y (Yes) – выполнено;
- QY (Quote Yes) – частично выполнено;
- N (No) – не выполнено;
- ? – проверка не проводилась.
В графе «Примечания» даются пояснения относительно выбранной отметки о выполнении/невыполнении требования.
Для каждого требования безопасности могут также указываться информационные активы, на которые это требование распространяется, и категория требования (конфиденциальность, целостность, доступность, аутентичность, неотказуемость).
Далее мы подробнее расcмотрим различные категории требований безопасности.
