Реестр требований безопасности

Применимые к организации требования законодательной и нормативной базы, требования бизнеса, а также требования, вытекающие из контрактных обязательств организации, оформляются в виде реестра требований безопасности.

 

__________________________________________

Идентификация требований безопасности:

  • Идентифицируются:

    • законодательные и нормативные требования;

    • контрактные обязательства;

    • требования бизнеса.

  • Цель:

    • идентификация юридических, репутационных, финансовых и бизнес-рисков, связанных с нарушением обязательных требований.

_____________________________________

 

Реестр требований безопасности используется для оценки и контроля следующих рисков:

  • юридических рисков, возникающих при нарушении организацией требований действующего законодательства и нормативной базы в области информационной безопасности;

  • юридических, репутационных и финансовых рисков, связанных с невыполнением организацией контрактных обязательств;

  • бизнес-рисков, связанных с невыполнением требований бизнеса к обеспечению информационной безопасности, нарушение которых может повлечь причинение ущерба организации и затруднить достижение целей бизнеса.

Ответственность за формирование и поддержание в актуальном состоянии реестра требований информационной безопасности несет менеджер информационной безопасности. Актуализация и контроль выполнения требований осуществляется в ходе проведения плановых аудитов. При этом по каждому требованию в реестре проставляется отметка о выполнении, например, следующим образом:

  • Y (Yes) – выполнено;

  • QY (Quote Yes) – частично выполнено;

  • N (No) – не выполнено;

  • ? – проверка не проводилась.

В графе «Примечания» даются пояснения относительно выбранной отметки о выполнении/невыполнении требования.

Для каждого требования безопасности могут также указываться информационные активы, на которые это требование распространяется, и категория требования (конфиденциальность, целостность, доступность, аутентичность, неотказуемость).

Далее мы подробнее расcмотрим различные категории требований безопасности.