logo
Методология "Волга-27001"
Методология по созданию системы управления информационной безопасностью для организации любого уровня.
Поиск
Вход
Регистрация
logo
Методология "Волга-27001"  Методология по созданию системы управления информационной безопасностью для организации любого уровня.
Подписаться
16.12.2024 10:42
logo Методология "Волга-27001"

Рекомендации по применению. Система управления информационной безопасностью. Общие положения (часть 12)

Процесс ‎обеспечения‏ ‎информационной ‎безопасности

Руководству ‎организации ‎следует ‎определять‏ ‎цели ‎обеспечения‏ ‎информационной‏ ‎безопасности ‎с ‎учётом‏ ‎всех ‎действующих‏ ‎нормативно-правовых ‎актов, ‎результатов ‎анализа‏ ‎внутренней‏ ‎и ‎внешней‏ ‎среды, ‎а‏ ‎также ‎ориентируясь ‎на ‎стратегические ‎бизнес-цели‏ ‎компании‏ ‎или ‎задачи‏ ‎государственного ‎учреждения.‏ ‎Руководство ‎также ‎должно ‎создавать ‎необходимые‏ ‎условия‏ ‎для‏ ‎реализации ‎данных‏ ‎целей. ‎Стратегия‏ ‎информационной ‎безопасности‏ ‎планирует‏ ‎методологию ‎внедрения‏ ‎непрерывного ‎процесса ‎управления ‎информационной ‎безопасностью.‏ ‎Эта ‎стратегия‏ ‎реализуется‏ ‎посредством ‎концепции ‎информационной‏ ‎безопасности ‎и‏ ‎организационной ‎структуры ‎управления ‎информационной‏ ‎безопасностью.‏ ‎В ‎дальнейшем‏ ‎для ‎каждой‏ ‎фазы ‎жизненного ‎цикла ‎будут ‎описаны‏ ‎соответствующие‏ ‎управленческие ‎шаги.

Планирование‏ ‎процесса

Определение ‎границ‏ ‎(рамок)

Обеспечение ‎информационной ‎безопасности ‎представляет ‎собой‏ ‎не‏ ‎самостоятельную‏ ‎цель, ‎а‏ ‎средство ‎для‏ ‎достижения ‎стратегических‏ ‎целей‏ ‎компании ‎и‏ ‎надёжного ‎выполнения ‎её ‎бизнес-процессов ‎или‏ ‎функциональных ‎задач.‏ ‎Для‏ ‎этого ‎руководству ‎организации‏ ‎необходимо ‎провести‏ ‎всесторонний ‎анализ ‎соответствующих ‎нормативно-правовых‏ ‎актов,‏ ‎сформулировать ‎и‏ ‎документально ‎закрепить‏ ‎цели ‎информационной ‎безопасности, ‎а ‎также‏ ‎разработать‏ ‎комплексную ‎стратегию‏ ‎их ‎достижения,‏ ‎и ‎реализовать ‎её ‎в ‎форме‏ ‎концепции‏ ‎(набора‏ ‎документов).

Процесс ‎определения‏ ‎нормативных ‎границ‏ ‎включает ‎в‏ ‎себя‏ ‎углублённый ‎анализ‏ ‎внешней ‎и ‎внутренней ‎среды ‎компании,‏ ‎выявление ‎и‏ ‎оценку‏ ‎требований ‎всех ‎заинтересованных‏ ‎сторон ‎—‏ ‎как ‎внутренних, ‎так ‎и‏ ‎внешних‏ ‎субъектов, ‎чьи‏ ‎интересы ‎связаны‏ ‎с ‎деятельностью ‎компании. ‎Данный ‎анализ‏ ‎призван‏ ‎учесть ‎их‏ ‎потребности ‎в‏ ‎области ‎информационной ‎безопасности, ‎потребности ‎к‏ ‎СУИБ,‏ ‎а‏ ‎также ‎законодательные‏ ‎и ‎регуляторные‏ ‎требования.

Определение ‎нормативно-правовых‏ ‎рамок‏ ‎является ‎ключевым‏ ‎исходным ‎этапом ‎для ‎дальнейшего ‎всестороннего‏ ‎анализа ‎и‏ ‎стратегического‏ ‎управления ‎информационной ‎безопасностью‏ ‎компании. ‎Данный‏ ‎процесс ‎позволяет ‎выявить ‎пробелы‏ ‎в‏ ‎защищаемой ‎информации,‏ ‎необходимой ‎для‏ ‎корректной ‎оценки ‎роли ‎информационной ‎безопасности‏ ‎для‏ ‎достижения ‎стратегических‏ ‎целей ‎компании.‏ ‎Кроме ‎того, ‎это ‎даёт ‎возможность‏ ‎провести‏ ‎первичное‏ ‎комплексное ‎самообследование‏ ‎(самоконтроль), ‎поскольку‏ ‎при ‎сборе‏ ‎сведений‏ ‎о ‎нормативно-правовых‏ ‎актах ‎уже ‎становится ‎очевидным, ‎где‏ ‎могут ‎возникать‏ ‎потенциальные‏ ‎противоречия ‎и ‎конфликты‏ ‎интересов, ‎а‏ ‎также ‎где, ‎возможно, ‎требуется‏ ‎принятие‏ ‎дополнительных ‎организационно-технических‏ ‎мер, ‎чтобы‏ ‎защитить ‎действительно ‎важную ‎информацию.

Таким ‎образом,‏ ‎определение‏ ‎нормативно-правовых ‎рамок‏ ‎является ‎важной‏ ‎основой ‎для ‎дальнейшей ‎разработки ‎и‏ ‎реализации‏ ‎комплексной‏ ‎системы ‎управления‏ ‎информационной ‎безопасностью‏ ‎в ‎соответствии‏ ‎со‏ ‎стратегическими ‎приоритетами‏ ‎компании ‎и ‎действующим ‎законодательством.

Формулирование ‎целей‏ ‎в ‎области‏ ‎информационной‏ ‎безопасности

Тщательная ‎постановка ‎целей‏ ‎информационной ‎безопасности‏ ‎является ‎краеугольным ‎камнем ‎при‏ ‎инициации‏ ‎любого ‎процесса‏ ‎её ‎обеспечения.‏ ‎Упущение ‎этого ‎ключевого ‎исходного ‎этапа‏ ‎сопряжено‏ ‎с ‎серьёзными‏ ‎рисками, ‎заключающимися‏ ‎в ‎разработке ‎стратегий ‎и ‎концепции‏ ‎информационной‏ ‎безопасности,‏ ‎не ‎отражающих‏ ‎действительных ‎требований‏ ‎и ‎приоритетов‏ ‎компании.

Концептуальное‏ ‎определение ‎и‏ ‎формулирование ‎целевых ‎ориентиров ‎информационной ‎безопасности‏ ‎на ‎начальном‏ ‎этапе‏ ‎имеет ‎принципиальное ‎значение,‏ ‎поскольку ‎позволяет‏ ‎обеспечить ‎точное ‎соответствие ‎и‏ ‎направленность‏ ‎последующих ‎мероприятий‏ ‎и ‎решений‏ ‎в ‎сфере ‎информационной ‎безопасности ‎реальным‏ ‎нуждам‏ ‎и ‎стратегическим‏ ‎задачам ‎компании.‏ ‎Отсутствие ‎такой ‎фундаментальной ‎основы ‎чревато‏ ‎опасностью‏ ‎игнорирования‏ ‎или ‎недооценки‏ ‎критически ‎важных‏ ‎аспектов ‎обеспечения‏ ‎информационной‏ ‎безопасности ‎в‏ ‎компании.

Следовательно, ‎исходя ‎из ‎фундаментальных ‎целей‏ ‎компании ‎и‏ ‎определённых‏ ‎границ, ‎необходимо ‎в‏ ‎первую ‎очередь‏ ‎сформулировать ‎общие ‎цели ‎информационной‏ ‎безопасности‏ ‎и ‎выработать‏ ‎стратегические ‎ориентиры‏ ‎относительно ‎путей ‎и ‎способов ‎реализации‏ ‎данных‏ ‎целей ‎в‏ ‎области ‎информационной‏ ‎безопасности. ‎При ‎разработке ‎стратегии ‎информационной‏ ‎безопасности‏ ‎должны‏ ‎быть ‎приняты‏ ‎во ‎внимание‏ ‎как ‎минимум‏ ‎следующие‏ ‎ключевые ‎направления:

  • цели‏ ‎и ‎задачи ‎компании ‎либо ‎обязанности‏ ‎государственного ‎учреждения;
  • законодательные‏ ‎требования‏ ‎и ‎нормативные ‎акты;
  • требования‏ ‎клиентов ‎и‏ ‎существующие ‎договоры ‎(соглашения);
  • внутренняя ‎структура‏ ‎и‏ ‎анализ ‎среды;
  • имеющиеся‏ ‎бизнес-процессы ‎и‏ ‎задачи;
  • глобальные ‎угрозы ‎для ‎бизнеса, ‎связанные‏ ‎с‏ ‎рисками ‎информационной‏ ‎безопасности ‎(анализы‏ ‎результатов ‎аудитов ‎и ‎оценок ‎рисков).

Основные‏ ‎положения‏ ‎стратегии‏ ‎безопасности ‎изложены‏ ‎в ‎Политике‏ ‎информационной ‎безопасности.‏ ‎Она‏ ‎должна ‎содержать‏ ‎как ‎минимум ‎утверждения ‎по ‎следующим‏ ‎вопросам:

  • значимость ‎информационной‏ ‎безопасности‏ ‎и ‎важность ‎защищаемой‏ ‎информации, ‎бизнес-процессов‏ ‎и ‎ИТ-инфраструктуры ‎для ‎выполнения‏ ‎компанией‏ ‎своих ‎задач;
  • взаимосвязь‏ ‎целей ‎информационной‏ ‎безопасности ‎с ‎бизнес-целями ‎или ‎задачами‏ ‎компании;
  • цели‏ ‎безопасности ‎и‏ ‎ключевые ‎элементы‏ ‎стратегии ‎безопасности ‎для ‎бизнес-процессов ‎и‏ ‎используемых‏ ‎ИТ-систем;
  • гарантия‏ ‎того, ‎что‏ ‎руководство ‎компании‏ ‎будет ‎обеспечивать‏ ‎реализацию‏ ‎Политики ‎информационной‏ ‎безопасности, ‎а ‎также ‎ключевые ‎положения‏ ‎относительно ‎контроля‏ ‎эффективности;
  • описание‏ ‎организационной ‎структуры, ‎которая‏ ‎была ‎создана‏ ‎(должна ‎быть ‎создана) ‎для‏ ‎реализации‏ ‎процесса ‎обеспечения‏ ‎информационной ‎безопасности.

Дополнительно‏ ‎в ‎стратегии ‎информационной ‎безопасности ‎могут‏ ‎быть‏ ‎включены ‎следующие‏ ‎ключевые ‎элементы:

  • целесообразно‏ ‎провести ‎анализ ‎наиболее ‎значимых ‎угроз‏ ‎для‏ ‎критических‏ ‎бизнес-процессов ‎компании,‏ ‎а ‎также‏ ‎рассмотреть ‎ключевые‏ ‎нормативно-правовые‏ ‎требования ‎и‏ ‎другие ‎важные ‎регуляторные ‎рамки ‎(например,‏ ‎положения ‎договоров‏ ‎и‏ ‎соглашений);
  • определение ‎основных ‎задач‏ ‎и ‎зон‏ ‎ответственности ‎в ‎процессе ‎управления‏ ‎информационной‏ ‎безопасностью. ‎В‏ ‎частности, ‎следует‏ ‎детально ‎проработать ‎роли ‎и ‎функциональные‏ ‎обязанности‏ ‎ИБ-менеджмента, ‎ИБ-ответственного,‏ ‎рядовых ‎сотрудников‏ ‎и ‎ИТ-подразделения, ‎опираясь ‎на ‎настоящие‏ ‎рекомендации.‏ ‎Кроме‏ ‎того, ‎необходимо‏ ‎определить ‎должностных‏ ‎лиц, ‎которые‏ ‎будут‏ ‎выступать ‎в‏ ‎качестве ‎точек ‎входа ‎по ‎вопросам‏ ‎информационной ‎безопасности;
  • разработка‏ ‎комплексной‏ ‎программы ‎по ‎повышению‏ ‎осведомлённости ‎и‏ ‎обучению ‎персонала ‎в ‎области‏ ‎информационной‏ ‎безопасности. ‎Данный‏ ‎элемент ‎стратегии‏ ‎должен ‎основываться ‎на ‎современных ‎образовательных‏ ‎методиках‏ ‎и ‎передовом‏ ‎опыте;

Данный ‎подход‏ ‎позволит ‎сформировать ‎теоретически ‎обоснованную, ‎системную‏ ‎основу‏ ‎для‏ ‎эффективной ‎разработки‏ ‎и ‎внедрения‏ ‎стратегии ‎информационной‏ ‎безопасности‏ ‎компании.

Определение ‎адекватного‏ ‎уровня ‎обеспечения ‎информационной ‎безопасности ‎в‏ ‎выбранной ‎области‏ ‎применения

Для‏ ‎более ‎чёткого ‎определения‏ ‎целей ‎обеспечения‏ ‎информационной ‎безопасности ‎целесообразно ‎систематизировать‏ ‎требуемые‏ ‎уровни ‎защищённости‏ ‎отдельных, ‎наиболее‏ ‎значимых ‎бизнес-процессов ‎или ‎функциональных ‎областей‏ ‎компании‏ ‎в ‎разрезе‏ ‎ключевых ‎принципов‏ ‎информационной ‎безопасности ‎(конфиденциальности, ‎целостности, ‎доступности).‏ ‎Данный‏ ‎подход‏ ‎позволит ‎сформировать‏ ‎более ‎обоснованную‏ ‎основу ‎для‏ ‎последующей‏ ‎детальной ‎разработки‏ ‎концепции ‎информационной ‎безопасности.

Такая ‎детализация ‎ожидаемых‏ ‎показателей ‎информационной‏ ‎безопасности‏ ‎для ‎приоритетных ‎сфер‏ ‎деятельности ‎компании‏ ‎обеспечит ‎более ‎чёткое ‎понимание‏ ‎стратегических‏ ‎целей ‎информационной‏ ‎безопасности ‎всеми‏ ‎заинтересованными ‎сторонами. ‎Это, ‎в ‎свою‏ ‎очередь,‏ ‎повысит ‎эффективность‏ ‎процесса ‎формулирования‏ ‎комплексной ‎концепции ‎информационной ‎безопасности ‎и‏ ‎последующей‏ ‎её‏ ‎реализации.

Уровень ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎в ‎выбранной‏ ‎области‏ ‎применения ‎должен‏ ‎соответствовать ‎уровню, ‎который ‎компания ‎желает‏ ‎достигнуть ‎за‏ ‎период‏ ‎не ‎более ‎трёх‏ ‎лет ‎(стратегический‏ ‎цикл). ‎Этот ‎уровень ‎определяется‏ ‎в‏ ‎баллах ‎и‏ ‎он ‎обязательно‏ ‎декларируется ‎в ‎Политике ‎по ‎информационной‏ ‎безопасности‏ ‎компании.

Уровень ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎в ‎выбранной ‎области ‎применения ‎(уровень‏ ‎ОИБВОП)‏ ‎может‏ ‎быть ‎распространён‏ ‎на ‎всю‏ ‎организацию ‎в‏ ‎целом‏ ‎либо ‎на‏ ‎какой-то ‎конкретный ‎объект ‎информатизации, ‎информационную‏ ‎систему, ‎бизнес-процесс‏ ‎(в‏ ‎настоящих ‎рекомендациях ‎—‏ ‎информационный ‎комплекс).‏ ‎Информационный ‎комплекс ‎должен ‎быть‏ ‎документально‏ ‎зафиксирован ‎руководством‏ ‎компании, ‎особенно‏ ‎на ‎начальном ‎этапе ‎построения ‎СУИБ.‏ ‎Всё‏ ‎это ‎официально‏ ‎провозглашается ‎руководством‏ ‎компании ‎в ‎Политике ‎по ‎информационной‏ ‎безопасности‏ ‎организации.

Определение‏ ‎области ‎применения

Определение‏ ‎области ‎применения‏ ‎СУИБ ‎является‏ ‎ключевым‏ ‎этапом ‎её‏ ‎внедрения. ‎Данная ‎область ‎может ‎охватывать‏ ‎весь ‎спектр‏ ‎деятельности‏ ‎компании ‎либо ‎фокусироваться‏ ‎на ‎отдельных‏ ‎бизнес-процессах, ‎функциональных ‎задачах ‎или‏ ‎организационных‏ ‎подразделениях.

Важным ‎критерием‏ ‎при ‎выборе‏ ‎области ‎применения ‎является ‎её ‎целостность‏ ‎и‏ ‎завершённость. ‎Необходимо,‏ ‎чтобы ‎все‏ ‎существенные ‎компоненты ‎и ‎этапы ‎рассматриваемых‏ ‎бизнес-процессов‏ ‎находились‏ ‎в ‎пределах‏ ‎выбранной ‎области,‏ ‎без ‎«выпадения»‏ ‎значимых‏ ‎частей ‎за‏ ‎её ‎границы.

Область ‎применения ‎СУИБ ‎включает‏ ‎в ‎себя‏ ‎не‏ ‎только ‎информационные ‎активы,‏ ‎но ‎и‏ ‎всю ‎сопутствующую ‎инфраструктуру, ‎организационные‏ ‎аспекты,‏ ‎финансовые ‎и‏ ‎кадровые ‎ресурсы.

Для‏ ‎начального ‎и ‎базового ‎уровней ‎ОИБВОП,‏ ‎рекомендуется‏ ‎выбирать ‎область,‏ ‎которая ‎охватывает‏ ‎всю ‎организацию. ‎В ‎то ‎же‏ ‎время‏ ‎при‏ ‎обеспечении ‎защиты‏ ‎ключевых ‎(критических)‏ ‎объектов ‎внимание‏ ‎сосредотачивается‏ ‎на ‎наиболее‏ ‎критичных ‎с ‎точки ‎зрения ‎бизнеса‏ ‎активах ‎(«корпоративных‏ ‎ценностях»)‏ ‎и ‎для ‎таких‏ ‎активов ‎уровень‏ ‎ОИБВОП ‎должен ‎быть ‎выше‏ ‎как‏ ‎минимум ‎на‏ ‎один ‎уровень.

Для‏ ‎соответствия ‎требованиям ‎законодательства ‎в ‎области‏ ‎информационной‏ ‎безопасности ‎следует‏ ‎выбирать ‎не‏ ‎менее ‎третьего ‎уровня ‎ОИБВОП.

До ‎третьего‏ ‎уровня‏ ‎ОИБВОП‏ ‎в ‎организации‏ ‎СУИБ ‎строиться,‏ ‎а ‎после‏ ‎третьего‏ ‎— ‎совершенствуется.

Создание‏ ‎организационной ‎структуры

Планирование ‎и ‎внедрение ‎процесса‏ ‎управления ‎информационной‏ ‎безопасностью‏ ‎предполагает ‎определение ‎организационной‏ ‎структуры ‎(например,‏ ‎подразделений) ‎и ‎установление ‎ролей,‏ ‎функций.‏ ‎Персональная ‎конфигурация‏ ‎зависит ‎от‏ ‎масштаба ‎конкретной ‎компании ‎и ‎имеющихся‏ ‎у‏ ‎неё ‎ресурсов,‏ ‎а ‎также‏ ‎выбранного ‎уровня ‎ОИБВОП. ‎Планирование ‎ресурсов‏ ‎для‏ ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎должно ‎осуществляться‏ ‎таким ‎образом,‏ ‎чтобы‏ ‎обеспечивалось ‎достижение‏ ‎реализации ‎выбранных ‎требований.

Ключевые ‎аспекты ‎для‏ ‎определения ‎организационной‏ ‎структуры:

  • определение‏ ‎организационных ‎структур, ‎ролей,‏ ‎функций;
  • множественные ‎варианты‏ ‎организационной ‎структуры ‎управления ‎ИБ;
  • персональная‏ ‎конфигурация‏ ‎зависит ‎от‏ ‎масштаба, ‎ресурсов‏ ‎и ‎целевого ‎уровня ‎ОИБВОП;
  • планирование ‎ресурсов‏ ‎должно‏ ‎гарантировать ‎достижение‏ ‎согласованного ‎уровня‏ ‎ОИБВОП.

При ‎определении ‎роли ‎в ‎рамках‏ ‎системы‏ ‎управления‏ ‎информационной ‎безопасностью‏ ‎необходимо ‎руководствоваться‏ ‎следующими ‎базовыми‏ ‎принципами:

  • общая‏ ‎ответственность ‎за‏ ‎обеспечение ‎информационной ‎безопасности ‎компании ‎и‏ ‎её ‎организацию‏ ‎сохраняется‏ ‎на ‎уровне ‎высшего‏ ‎руководства ‎(согласно‏ ‎положениям ‎учредительных ‎документов);
  • обязательным ‎требованием‏ ‎является‏ ‎назначение ‎как‏ ‎минимум ‎одного‏ ‎лица, ‎на ‎которое ‎возлагается ‎задача‏ ‎по‏ ‎содействию ‎и‏ ‎координации ‎процессов‏ ‎обеспечения ‎информационной ‎безопасности, ‎зачастую ‎именуемого‏ ‎заместитель‏ ‎руководителя‏ ‎компании ‎по‏ ‎информационной ‎безопасности‏ ‎либо ‎директор‏ ‎по‏ ‎информационной ‎безопасности‏ ‎(в ‎настоящих ‎рекомендациях ‎— ‎уполномоченный‏ ‎по ‎информационной‏ ‎безопасности‏ ‎(УИБ));
  • обязательно ‎за ‎внедрение‏ ‎и ‎исполнение‏ ‎каждого ‎требования ‎назначается ‎ответственное‏ ‎должностное‏ ‎лицо ‎и‏ ‎при ‎необходимости,‏ ‎дополнительно ‎другие ‎лица. ‎При ‎этом‏ ‎ответственность‏ ‎за ‎внедрение‏ ‎и ‎исполнение‏ ‎требования ‎остаётся ‎только ‎на ‎первом‏ ‎определённом‏ ‎должностном‏ ‎лице, ‎имеющем‏ ‎права ‎и‏ ‎полномочия ‎по‏ ‎распределению‏ ‎ресурсов ‎и‏ ‎принятию ‎управленческих ‎решений;
  • каждый ‎в ‎компании‏ ‎в ‎равной‏ ‎степени‏ ‎несёт ‎ответственность ‎как‏ ‎за ‎выполнение‏ ‎своих ‎непосредственных ‎должностных ‎обязанностей,‏ ‎так‏ ‎и ‎за‏ ‎поддержание ‎надлежащего‏ ‎уровня ‎ОИБВОП, ‎уровня ‎защищённости ‎информационных‏ ‎активов,‏ ‎уровня ‎зрелости‏ ‎требований ‎на‏ ‎своём ‎рабочем ‎месте ‎и ‎в‏ ‎своём‏ ‎окружении;
  • для‏ ‎обеспечения ‎прямого‏ ‎канала ‎коммуникации‏ ‎с ‎высшим‏ ‎руководством‏ ‎компании ‎целесообразно‏ ‎организовывать ‎позицию ‎УИБ ‎на ‎уровне‏ ‎руководства ‎компании‏ ‎либо‏ ‎как ‎минимум ‎подчинить‏ ‎напрямую ‎высшему‏ ‎руководству ‎компании. ‎На ‎уровне‏ ‎руководства,‏ ‎ответственность ‎за‏ ‎задачи ‎информационной‏ ‎безопасности ‎должна ‎быть ‎чётко ‎закреплена‏ ‎за‏ ‎конкретным ‎подразделением‏ ‎(отдельным ‎выделенным‏ ‎специалистом), ‎которое ‎подчиняется ‎УИБ.

Для ‎каждого‏ ‎требования‏ ‎уровня‏ ‎ОИБВОП ‎должно‏ ‎быть ‎назначено‏ ‎одно ‎основное‏ ‎ответственное‏ ‎должностное ‎лицо‏ ‎из ‎числа ‎руководителей ‎соответствующих ‎подразделений‏ ‎(либо ‎отдельный‏ ‎сотрудник).‏ ‎Наряду ‎с ‎основным‏ ‎ответственным ‎лицом,‏ ‎могут ‎быть ‎определены ‎дополнительные‏ ‎ответственные‏ ‎сотрудники ‎из‏ ‎других ‎профильных‏ ‎подразделений ‎(сотрудников).

В ‎случае, ‎если ‎для‏ ‎реализации‏ ‎конкретного ‎требования‏ ‎первостепенное ‎значение‏ ‎имеет ‎ответственность ‎сотрудника ‎из ‎одного‏ ‎дополнительного‏ ‎подразделения‏ ‎либо ‎подразделений,‏ ‎то ‎данное‏ ‎подразделение ‎следует‏ ‎сделать‏ ‎основным ‎ответственным‏ ‎лицом ‎за ‎такое ‎требование, ‎а‏ ‎остальных ‎—‏ ‎дополнительные‏ ‎ответственные ‎лица.

Использование ‎единственного‏ ‎или ‎множественного‏ ‎числа ‎при ‎описании ‎ответственных‏ ‎должностных‏ ‎лиц ‎не‏ ‎влияет ‎на‏ ‎количество ‎сотрудников, ‎осуществляющих ‎соответствующие ‎обязанности.‏ ‎Одно‏ ‎должностное ‎лицо‏ ‎может ‎быть‏ ‎закреплено ‎за ‎одним ‎или ‎несколькими‏ ‎исполнителями‏ ‎в‏ ‎зависимости ‎от‏ ‎организационной ‎структуры‏ ‎и ‎распределения‏ ‎функциональных‏ ‎обязанностей.

Внимание! ‎Материал‏ ‎охраняется ‎авторским ‎правом ‎на ‎основании‏ ‎статьи ‎1259‏ ‎ГК‏ ‎РФ.

Третьи ‎лица ‎не‏ ‎вправе ‎использовать‏ ‎с ‎целью ‎создания ‎каких-либо‏ ‎средств‏ ‎обработки ‎представленной‏ ‎информации ‎и‏ ‎размещённых ‎на ‎данной ‎странице ‎результатов‏ ‎интеллектуальной‏ ‎деятельности ‎каким-либо‏ ‎образом ‎без‏ ‎письменного ‎согласия ‎ООО ‎«ЦифраБез». ‎Распространение‏ ‎настоящей‏ ‎информации‏ ‎возможно ‎только‏ ‎при ‎указании‏ ‎ссылки ‎на‏ ‎данную‏ ‎страницу.

Использование ‎результатов‏ ‎интеллектуальной ‎деятельности, ‎если ‎такое ‎использование‏ ‎осуществляется ‎без‏ ‎согласия‏ ‎ООО ‎«ЦифраБез», ‎является‏ ‎незаконным ‎и‏ ‎влечёт ‎ответственность, ‎установленную ‎действующим‏ ‎законодательством‏ ‎РФ.

#ИБ #27001 #волга-27001 #гост-27001 #смиб #суиб
Предыдущий Следующий
Все посты проекта
0 комментариев

Статистика

Контакты

Поделиться

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.
Добавить карту
0/2048
Отменить