ГОСТ Р № 57580.3-2022 от 01.02.2023

PR.IP-7: Процессы защиты постоянно улучшаются 

8.1 Оперативнное планирование и контроль
Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований информационной безопасности, а также для реализации действий, определенных в Разделе 6, посредством:

Документированная информация должна быть доступна в объеме, необходимом для уверенности в том, что процессы выполняются в соответствии с планом.
Организация должна контролировать запланированные изменения и анализировать последствия непреднамеренных изменений, предпринимая действия по снижению любых неблагоприятных последствий, если это необходимо.
Организация должна обеспечить контроль предоставляемых извне, относящихся к системе менеджмента информационной безопасности, процессов, продуктов или услуг.

 8.1 Оперативное планирование и контроль
Организация должна планировать, реализовывать и контролировать процессы, необходимые для соответствия требованиям информационной безопасности и для осуществления действий, определенных в 6.1. Организация должна также реализовывать планы по достижению целей информационной безопасности, определенных в соответствии с 6.2.
Организация должна хранить документированную информацию в объеме, необходимом для обеспечения уверенности в том, что процессы были выполнены в соответствии с планами.
В организации необходимо управлять запланированными изменениями системы менеджмента информационной безопасности и анализировать последствия незапланированных изменений, принимая при необходимости меры по снижению любых неблагоприятных последствий.
Процессы организации, осуществляемые с использованием аутсорсинга, должны быть определены и проконтролированы.
Аутсорсинг — передача одним юридическим лицом (контрактором) другому юридическому лицу (субконтрактору) работ или услуг и принятие их к выполнению этим другим юридическим лицом (субконтрактором) на основании договора (см. Решение Совета Евразийской экономической комиссии от 21 декабря 2016 г. № 143 «О Концепции создания евразийской сети промышленной кооперации и субконтрактации»). 

 10.2 Постоянное улучшение 
Организация должна постоянно улучшать приемлемость, адекватность и результативность системы менеджмента информационной безопасности. 

 9.3 Проверка со стороны руководства 
Высшее руководство должно проводить проверку системы менеджмента информационной безопасности через запланированные интервалы времени в целях обеспечения уверенности в сохраняющейся ее приемлемости, адекватности и результативности. 
Проверка со стороны руководства должна включать рассмотрение: 
а) состояния выполнения решений по результатам предыдущих проверок со стороны руководства; 
b) изменений внешних и внутренних факторов, касающихся системы менеджмента информационной безопасности; 
с) отзывов о результатах деятельности по обеспечению информационной безопасности, включая тенденции: 
1) в выявлении несоответствий и применении корректирующих действий; 
2) результатах мониторинга и оценки защищенности; 
3) результатах аудита; 
4) достижении целей информационной безопасности; 
d) отзывов от заинтересованных сторон; 
е) результатов оценки рисков информационной безопасности и статуса выполнения плана обработки рисков информационной безопасности; 
f) возможностей для постоянного улучшения системы менеджмента информационной безопасности. 
Результаты проверки со стороны руководства должны включать решения, относящиеся к возможностям постоянного улучшения и к необходимости внесения любых изменений в систему менеджмента информационной безопасности организации. 
Организация должна хранить документированную информацию в качестве свидетельства результатов проверок со стороны руководства 

A.18.2.2 Соответствие политикам и стандартам безопасности 
Мера обеспечения информационной безопасности: Руководители, в пределах своей зоны ответственности, должны регулярно проверять соответствие процессов и процедур обработки информации соответствующим политикам безопасности, стандартам и другим требованиям безопасности 

8.1 Operational planning and control
The organization shall plan, implement and control the processes needed to meet information security requirements, and to implement the actions determined in Clause 6, by:

Documented information shall be available to the extent necessary to have confidence that the processes have been carried out as planned.
The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects, as necessary.
The organization shall ensure that externally provided processes, products or services that are relevant to the information security management system are controlled.

Топ-менеджмент, операционные руководители, ответственные за ключевые функции организации, совместно с представителями ИТ и ИБ 
участвуют в определении недопустимых событий / ключевых рисков КБ

Руководители, в пределах своей зоны ответственности, должны регулярно проверять соответствие процессов и процедур обработки информации соответствующим политикам ИБ, стандартам и любым другим требованиям безопасности.

Руководство должно определять, каким образом проверять соответствие требованиям ИБ, определенным в политиках, стандартах и других применимых нормативных актах. Необходимо рассмотреть возможность применения инструментов автоматизированного анализа и формирования отчетности для обеспечения эффективных регулярных проверок.

Если в результате проверки обнаружено несоответствие, руководству следует:

Результаты проверок и корректирующих действий, выполненных руководством, должны быть зафиксированы, а эти записи должны быть сохранены. Руководство должно сообщить о результатах лицам, проводящим независимые проверки (см. 18.2.1), когда проводится независимая проверка в области их ответственности.

Применение систем оперативного мониторинга описано в 12.4.