ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

4.1 Понимание внутренних и внешних факторов деятельности организации
В организации должны быть определены внешние и внутренние факторы, имеющие отношение к деятельности организации и оказывающие влияние на ее способность достигать ожидаемого(ых) результата(ов) от системы менеджмента информационной безопасности.

Примечание — Определение этих факторов относится к установлению внутреннего и внешнего контекста организации, рассматриваемого в ИСО 31000:2009 (подраздел 5.3). 

4.2 Понимание потребностей и ожиданий заинтересованных сторон
Организация должна определить:
a) заинтересованные стороны, имеющие отношение к системе менеджмента информационной безопасности;
b) требования этих заинтересованных сторон к информационной безопасности.

Примечание — Требования заинтересованных сторон могут включать правовые и нормативные требования и договорные обязательства. 

4.3 Определение области действия системы менеджмента информационной безопасности 
Для установления области действия системы менеджмента информационной безопасности организация должна определить применимость системы менеджмента информационной безопасности и ее границы. 
При определении области действия системы менеджмента информационной безопасности необходимо учитывать: 
a) внутренние и внешние факторы, указанные в 4.1; 
b) требования, приведенные в 4.2; 
c) порядок взаимодействия и зависимости между деятельностью данной организации и деятельностью других организаций. 
Область действия системы менеджмента информационной безопасности должна быть доступна в виде документированной информации. 

5.1 Лидерство и приверженность 
Высшее руководство организации должно демонстрировать свое лидерство и приверженность в отношении системы менеджмента информационной безопасности: 
а) установлением политики и целей информационной безопасности, совместимых со стратегическим направлением развития организации; 
b) интеграцией требований системы менеджмента информационной безопасности в процессы организации; 
с) доступностью ресурсов, необходимых для системы менеджмента информационной безопасности; 
d) декларированием важности обеспечения эффективного менеджмента информационной безопасностью и соответствия требованиям системы менеджмента информационной безопасности; 
е) достижением системой менеджмента информационной безопасности ожидаемых результатов; 
f) направляя и поддерживая лиц, способствующих повышению результативности системы менеджмента информационной безопасности; 
g) постоянным улучшением системы менеджмента информационной безопасности; 
h) поддержкой других руководителей в реализации их ведущих ролей в рамках зон их ответственности. 

5.2 Политика
Высшее руководство организации должно установить политику информационной безопасности, которая: 
а) соответствует целям деятельности организации; 
b) содержит цели информационной безопасности (см. 6.2) или обеспечивает основу для их установления; 
с) содержит обязательство соответствовать применимым требованиям, относящимся к информационной безопасности; 
d) содержит обязательство постоянно улучшать систему менеджмента информационной безопасности.
 Политика информационной безопасности должна быть: 
е) доступна в виде документированной информации; 
f) доведена до сведения работников организации;
g) доступна заинтересованным сторонам. 

5.3 Роли, обязанности и полномочия в организации
Высшее руководство организации должно обеспечить назначение обязанностей и полномочий для ролей, имеющих отношение к обеспечению информационной безопасности, и доведение этих обязанностей и полномочий до всех заинтересованных сторон.
Высшее руководство должно назначать обязанности и полномочия:
а) для обеспечения уверенности в соответствии системы менеджмента информационной безопасности организации требованиям настоящего стандарта;
b) представления отчетности о функционировании системы менеджмента информационной безопасности высшему руководству.

Примечание — Высшее руководство также может устанавливать обязанности и полномочия для представления отчетности о функционировании системы менеджмента информационной безопасности в рамках организации. 

6.1.1 Общие положения 
При планировании системы менеджмента информационной безопасности организация должна учитывать факторы, указанные в 4.1, и требования, приведенные в 4.2, а также определять подлежащие рассмотрению риски информационной безопасности и возможности организации для: 
а) обеспечения уверенности в том, что система менеджмента информационной безопасности способна достичь намеченных результатов; 
b) предотвращения или уменьшения нежелательных последствий (Например, реализации рисков информационной безопасности);  
с) обеспечения постоянного улучшения (Например, уровня информационной безопасности). 
Организация должна планировать: 
d) действия по рассмотрению данных рисков и возможностей; 
е) каким образом: 
1) интегрировать и внедрять эти действия в процессы системы менеджмента информационной безопасности; 
2) оценивать результативность этих действий. 

6.1.2 Оценка рисков информационной безопасности 
Организация должна определить и внедрить процесс оценки рисков информационной безопасности, который позволяет: 
а) устанавливать и поддерживать критерии рисков информационной безопасности, включая: 
1) критерии принятия рисков информационной безопасности; 
2) критерии для проведения оценки рисков информационной безопасности; 
b) обеспечивать уверенность в том, что повторные оценки рисков информационной безопасности дают непротиворечивые, достоверные и сопоставимые результаты; 
с) идентифицировать риски информационной безопасности, т. е.: 
1) применять процесс оценки рисков информационной безопасности для идентификации рисков, связанных с нарушением конфиденциальности, целостности и доступности информации в рамках области действия системы менеджмента информационной безопасности; 
2) идентифицировать владельцев рисков информационной безопасности; 
d) проводить анализ рисков информационной безопасности, т. е.: 
1) оценивать потенциальные последствия, которые могут произойти в результате реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 с) 1); 
2) оценивать реальную вероятность реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 с) 1); 
3) определять уровни рисков информационной безопасности; 
е) оценивать риски информационной безопасности, т. е.: 
1) сравнивать результаты анализа рисков информационной безопасности с критериями рисков, установленными в соответствии с 6.1.2 а); 
2) определять приоритетность обработки проанализированных рисков информационной безопасности. 
Организация должна хранить документированную информацию о процессе оценки рисков информационной безопасности. 

6.1.3 Обработка рисков информационной безопасности
Организация должна определить и применять процесс обработки рисков информационной безопасности:
а) для выбора подходящих вариантов обработки рисков информационной безопасности, учитывая результаты оценки рисков информационной безопасности;
b) определения всех мер и средств информационной безопасности, необходимых для реализации выбранного(ых) варианта(ов) обработки рисков информационной безопасности.
Примечание — При необходимости организация может разрабатывать меры обеспечения информационной безопасности или взять их из любого источника;
с) сравнения мер и средств информационной безопасности, определенных в соответствии с 6.1.3 Ь), с указанными в приложении А для проверки того, что никакие необходимые меры обеспечения информационной безопасности не были упущены.
Примечание 1 — Приложение А содержит базовый перечень мер и средств информационной безопасности и целей их применения. Пользователям настоящего стандарта следует обращаться к приложению А для обеспечения уверенности в том, что никакие необходимые меры обеспечения информационной безопасности не были упущены.
Примечание 2 — Цели применения мер и средств информационной безопасности неявным образом включены в выбранные меры обеспечения информационной безопасности. Приведенные в приложении А меры обеспечения информационной безопасности и цели их применения не являются исчерпывающими, и организация может рассматривать необходимость дополнительных мер и средств информационной безопасности и целей их применения;
d) подготовки ведомости применимости мер и средств информационной безопасности, которая содержит (Пункт 6.1.3 d) приведен с учетом технической правки к ISO/IEC 27001:2013.)

е) разработки плана обработки рисков информационной безопасности;
f) согласования и (или) утверждения плана обработки рисков информационной безопасности и принятия остаточных рисков информационной безопасности владельцами рисков.
Организация должна хранить документированную информацию о процессе обработки рисков информационной безопасности.

Примечание — Процесс оценки и обработки рисков информационной безопасности в настоящем стандарте согласуется с принципами и общими рекомендациями, представленными в ИСО 31000. 

6.2 Цели информационной безопасности и планы по их достижению
В организации должны быть установлены цели обеспечения информационной безопасности применительно к соответствующим функциям и уровням управления организацией. 
 Цели информационной безопасности должны: 
а) быть согласованы с политикой информационной безопасности; 
b) быть измеримыми (если это практически возможно); 
с) учитывать применимые требования информационной безопасности и результаты оценки и обработки рисков информационной безопасности; 
d) быть доведены до сведения всех заинтересованных сторон; 
е) обновляться по мере необходимости. 
Организация должна хранить документированную информацию о целях информационной безопасности. 
При планировании способов достижения своих целей информационной безопасности организация должна определить: 
f) что должно быть сделано; 
д) какие ресурсы потребуются; 
h) кто будет нести ответственность; 
i) когда планируемое мероприятие будет завершено; 
j) как будут оцениваться результаты. 

7.1 Ресурсы 
Организация должна определить и обеспечить наличие ресурсов, необходимых для создания, внедрения, поддержки и постоянного улучшения системы менеджмента информационной безопасности. 

7.2 Квалификация
Организация должна:
а) определить необходимую квалификацию для лиц(а), выполняющих(его) работу под ее контролем, которая влияет на обеспечение ее информационной безопасности;
b) убедиться, что квалификация этих лиц базируется на их приемлемом образовании, профессиональной подготовке (стажировке) или опыте работы;
с) при необходимости принимать меры по получению необходимой квалификации и проводить оценивание результативности принятых мер;
d) сохранять соответствующую документированную информацию в качестве свидетельств наличия необходимой квалификации.

Примечание — Применяемые меры могут включать, например, проведение тренинга, наставничество или перераспределение обязанностей среди имеющихся работников, а также наем или привлечение к работам по контракту лиц, имеющих необходимую квалификацию. 

7.3 Осведомленность 
Лица, выполняющие работу под контролем организации, должны быть осведомлены: 
а) о политике информационной безопасности организации; 
b) их вкладе в обеспечение результативности системы менеджмента информационной безопасности, включая пользу от улучшения деятельности по обеспечению информационной безопасности; 
с) последствиях несоблюдения требований системы менеджмента информационной безопасности.

7.4 Взаимодействие 
В организации должна быть определена необходимость во взаимодействии внутри организации и с внешними сторонами по вопросам, имеющим отношение к системе менеджмента информационной безопасности, включая следующие: 
а) предмет взаимодействия; 
b) когда взаимодействовать; 
с) с кем взаимодействовать; 
d) кто должен взаимодействовать; 
е) процедуры осуществления взаимодействия. 

 7.5.1 Общие положения
Система менеджмента информационной безопасности организации должна включать:
а) документированную информацию, требуемую в соответствии с настоящим стандартом;
b) документированную информацию, определяемую организацией как необходимую для обеспечения результативности системы менеджмента информационной безопасности.

Примечание — Объем документированной информации, относящейся к системе менеджмента информационной безопасности, в разных организациях может быть различным, в зависимости: 
а) от размеров организации и вида ее деятельности, процессов, продуктов и услуг; 
b) сложности процессов и их взаимодействия; 
с) квалификации персонала. 

 7.5.2 Создание и обновление документированной информации 
При создании и обновлении документированной информации организация должна обеспечить надлежащие: 
а) идентификацию и описание (например, наименование, дата, автор или номер для ссылок); 
b) формат (например, язык, версия программного обеспечения, графика) и носитель информации (например, бумажный, электронный); 
с) проверку и подтверждение ее пригодности и адекватности. 

 7.5.3 Управление документированной информацией
Требуется осуществлять управление документированной информацией, необходимой для системы менеджмента информационной безопасности и указанной в настоящем стандарте, с целью обеспечения ее:
а) доступности и пригодности для использования, когда и где это необходимо;
b надлежащей защиты (например, от нарушения конфиденциальности, ненадлежащего использования или нарушения целостности).
Для управления документированной информацией организация должна осуществлять следующие (если это применимо) действия по отношению к ней:
с) распространение, обеспечение доступа, поиска и использования;
d) хранение и обеспечение сохранности, включая сохранение разборчивости;
е) управление изменениями (например, управление версиями);
f) архивное хранение и уничтожение.
Организация должна идентифицировать и управлять необходимой для осуществления планирования и функционирования системы менеджмента информационной безопасности документированной информацией из внешних источников.

Примечание — Доступ к документированной информации предполагает либо наличие полномочий только на ее просмотр, либо на просмотр и внесение изменений в документированную информацию, а также другие действия. 

 8.1 Оперативное планирование и контроль
Организация должна планировать, реализовывать и контролировать процессы, необходимые для соответствия требованиям информационной безопасности и для осуществления действий, определенных в 6.1. Организация должна также реализовывать планы по достижению целей информационной безопасности, определенных в соответствии с 6.2.
Организация должна хранить документированную информацию в объеме, необходимом для обеспечения уверенности в том, что процессы были выполнены в соответствии с планами.
В организации необходимо управлять запланированными изменениями системы менеджмента информационной безопасности и анализировать последствия незапланированных изменений, принимая при необходимости меры по снижению любых неблагоприятных последствий.
Процессы организации, осуществляемые с использованием аутсорсинга, должны быть определены и проконтролированы.
Аутсорсинг — передача одним юридическим лицом (контрактором) другому юридическому лицу (субконтрактору) работ или услуг и принятие их к выполнению этим другим юридическим лицом (субконтрактором) на основании договора (см. Решение Совета Евразийской экономической комиссии от 21 декабря 2016 г. № 143 «О Концепции создания евразийской сети промышленной кооперации и субконтрактации»). 

 8.2 Оценка рисков информационной безопасности 
Организация должна проводить оценку рисков информационной безопасности через запланированные интервалы времени или в случае предполагаемых или произошедших существенных изменений, учитывая критерии рисков информационной безопасности, установленные в соответствии с 6.1.2 а). 
Организация должна хранить документированную информацию о результатах проведенных оценок рисков информационной безопасности. 

 8.3 Обработка рисков информационной безопасности 
Организация должна реализовать план обработки рисков информационной безопасности. Организация должна хранить документированную информацию о результатах обработки рисков информационной безопасности. 

 9.1 Мониторинг, оценка защищенности, анализ и оценивание
Организация должна оценивать деятельность по обеспечению информационной безопасности, а также результативность системы менеджмента информационной безопасности.
Организация должна определить:
а) объекты мониторинга и оценки защищенности, включая процессы, меры обеспечения информационной безопасности;
b) методы проведения мониторинга, оценки защищенности, анализа и оценивания, обеспечивающие уверенность в достоверности результатов.
Примечание — Допустимыми признаются методы, дающие сопоставимые и воспроизводимые результаты;
с) когда проводить мониторинг и оценку защищенности; 
d) кто должен осуществлять мониторинг и оценку защищенности; 
е) когда анализировать результаты мониторинга и оценки защищенности; 
f) кто должен осуществлять анализ и оценивание этих результатов. 
Организация должна хранить соответствующую документированную информацию в качестве свидетельства результатов мониторинга и оценки защищенности. 

9.2 Внутренний аудит Организация должна проводить внутренние аудиты через запланированных интервалы времени, чтобы получать информацию о том, 
a) соответствует ли система менеджмента информационной безопасности 
1) собственным требованиям организации к ее системе менеджмента информационной безопасности; и 
2) требованиям Настоящего Международного Стандарта; 
b) что система менеджмента информационной безопасности результативно внедрена и функционирует. Организация должна: 
c) планировать, разрабатывать, выполнять и управлять программой(ами) аудитов, включая периодичность их проведения, методы, ответственность, требования к планированию и отчетности. Программа (ы) аудитов должна учитывать значимость проверяемых процессов и результаты предыдущих аудитов; 
d) определить критерии и область аудита для каждой проверки; 
e) выбирать аудиторов и проводить аудиты так, чтобы гарантировать объективность и беспристрастность процесса аудита; 
f) гарантировать, что результаты аудитов переданы на соответствующим руководителям, и 
g) сохранять документированную информацию как подтверждение программы аудита и его результатов.
f) обеспечивать предоставление результатов аудитов соответствующим руководителям организации; 
g) хранить документированную информацию в качестве свидетельств реализации программ(ы) аудита и результатов аудита. 

 9.3 Проверка со стороны руководства 
Высшее руководство должно проводить проверку системы менеджмента информационной безопасности через запланированные интервалы времени в целях обеспечения уверенности в сохраняющейся ее приемлемости, адекватности и результативности. 
Проверка со стороны руководства должна включать рассмотрение: 
а) состояния выполнения решений по результатам предыдущих проверок со стороны руководства; 
b) изменений внешних и внутренних факторов, касающихся системы менеджмента информационной безопасности; 
с) отзывов о результатах деятельности по обеспечению информационной безопасности, включая тенденции: 
1) в выявлении несоответствий и применении корректирующих действий; 
2) результатах мониторинга и оценки защищенности; 
3) результатах аудита; 
4) достижении целей информационной безопасности; 
d) отзывов от заинтересованных сторон; 
е) результатов оценки рисков информационной безопасности и статуса выполнения плана обработки рисков информационной безопасности; 
f) возможностей для постоянного улучшения системы менеджмента информационной безопасности. 
Результаты проверки со стороны руководства должны включать решения, относящиеся к возможностям постоянного улучшения и к необходимости внесения любых изменений в систему менеджмента информационной безопасности организации. 
Организация должна хранить документированную информацию в качестве свидетельства результатов проверок со стороны руководства 

 10.1 Несоответствие и корректирующие действия 
При появлении несоответствия организация должна: 
а) реагировать на несоответствие и, если применимо: 
1) предпринять необходимые действия, чтобы контролировать и устранить его; 
2) устранять последствия несоответствия; 
b) оценивать необходимость корректирующих действий по устранению причин несоответствия, чтобы избежать его повторения или появления в другом месте посредством: 
1) анализа несоответствия; 
2) определения причин появления несоответствия; 
3) определения наличия подобных несоответствий или потенциальных(ой) возможностей(и) их возникновения; с) выполнять необходимые корректирующие действия; 
d) анализировать результативность предпринятых корректирующих действий; 
е) вносить при необходимости изменения в систему менеджмента информационной безопасности. 
Корректирующие действия должны быть адекватны последствиям выявленных несоответствий. 
Организация должна хранить документированную информацию в качестве свидетельства: 
f) о характере несоответствий и любых последующих предпринимаемых действиях; 
g) результатах любых корректирующих действий. 

 10.2 Постоянное улучшение 
Организация должна постоянно улучшать приемлемость, адекватность и результативность системы менеджмента информационной безопасности.