очний прогноз їх розвитку.
Оцінка впливу проблем на бізнес-цілі. Організація повинна адекватно оцінювати ступінь впливу виявлених проблем на її бізнес-цілі.
Адекватність захисних заходів. Організація повинна вибирати захисні заходи, адекватні моделям загроз і порушників, з урахуванням витрат на реалізацію таких заходів та обсягу можливих втрат від виконання погроз.
Ефективність захисних заходів. Організація повинна ефективно реалізовувати прийняті захисні заходи.
Використання досвіду при прийнятті та реалізації рішень. Організація повинна накопичувати, узагальнювати і використовувати як свій досвід, так і досвід інших організацій на всіх рівнях прийняття рішень та їх виконання.
Безперервність принципів безпечного функціонування. Організація повинна забезпечувати безперервність реалізації принципів безпечного функціонування.
Контрольованість захисних заходів. Організація повинна застосовувати лише ті захисні заходи, правильність роботи яких може бути перевірена, при цьому організація повинна регулярно оцінювати адекватність захисних заходів та ефективність їх реалізації з урахуванням впливу захисних заходів на бізнес-цілі організації.
Спеціальні принципи забезпечення інформаційної безпеки суспільства увазі:
Визначеність цілей. Функціональні цілі й цілі ІБ організації повинні бути явно визначені під внутрішньоорганізаційні документі. Невизначеність призводить до «розпливчастості» організаційної структури, ролей персоналу, політик ІБ і неможливості оцінки адекватності прийнятих захисних заходів.
Знання своїх клієнтів і службовців. Організація повинна володіти інформацією про своїх клієнтів, ретельно підбирати персонал (службовців), виробляти і підтримувати корпоративну етику, що створює сприятливу довірчу середовище для діяльності організації з управління активами.
Персоніфікація та адекватне розділення ролей і відповідальності.
Відповідальність посадових осіб організації за рішення, пов'язані з її активами, повинна персоніфіковуватися і здійснюватися переважно у формі поруки. Вона повинна бути адекватною ступеня впливу на цілі організації, фіксуватися в політиках, контролюватися і вдосконалюватися.
Адекватність ролей функцій і процедур та їх порівнянність з критеріями і системою оцінки. Ролі повинні адекватно відображати виконувані функції і процедури їх реалізації, прийняті в організації. При призначенні взаємопов'язаних ролей повинна враховуватися необхідна послідовність їх виконання. Роль повинна бути узгоджена з критеріями оцінки ефективності її виконання. Основний зміст і якість виконуваної ролі реально визначаються застосовуваної до неї системою оцінки.
Доступність послуг та сервісів. Організація повинна забезпечити доступність для своїх клієнтів і контрагентів послуг і сервісів у встановлені терміни, визначені відповідними договорами (угодами) та / або іншими документами.
Спостережуваність і оценіваемость забезпечення ІБ. Будь-які пропоновані захисні заходи повинні бути влаштовані так, щоб результат їх застосування був явно спостерігаємо (прозорий) і міг бути оцінений підрозділом організації, які мають відповідні повноваження.
В дани...
