Управление организацией играет очень важную роль на всех этапах жизненного цикла СУИБ: от разработки до ее постоянного совершенствования.
В связи с этим стандарты ISO / IEC 27001 и ГОСТ Р ИСО / МЭК 27001 вводят следующие требования [14, 21]. Руководство должно продемонстрировать свою поддержку в разработке, внедрении, обслуживании, мониторинге, анализе и совершенствовании СУИБ посредством:
- разработки и утверждения политики СУИБ;
- обеспечения разработки целей и планов СУИБ;
- определения функций и обязанностей в области информационной безопасности;
- информирования сотрудников организации о важности достижения цепей ОИБ и их соответствии требованиям политики организации, их ответственности перед законом и необходимости постоянного совершенствования в реализации защитных мер;
- предоставления необходимых и достаточных ресурсов для внедрения, обслуживания, мониторинга, анализа, поддержки и совершенствования СУИБ;
- установления критериев принятия рисков ИБ и уровней их приемлемости;
- обеспечения проведения внутренних аудитов СУИБ;
- проведения анализа СУИБ;
Кроме того, при поддержке руководства организация должна обеспечить необходимую квалификацию персонала, на который возложены обязанности по выполнению задач в рамках СУИБ, посредством следующих мер:
- определение необходимого уровня знаний и навыков для персонала, выполняющего работу, влияющую на СУИБ;
- организация обучения персонала или другие меры (например, наем компетентного персонала) для удовлетворения этих потребностей;
- оценка эффективности принятых мер;
- ведение записей об образовании, квалификации, опыте работников.
Организация должна также обеспечить, чтобы все соответствующие сотрудники понимали важность деятельности в области ОИБ и их роль в достижении целей СУИБ.
Если отойти от формальных требований стандартов и подумать о том, кто, кроме высшего руководства организации, обладает достаточными полномочиями для принятия перечисленных решений и выполнения перечисленных действий, то можно сделать вывод, что только высшее руководство способно осуществлять эту деятельность, которая так необходима для полноценной жизни СУИБ. Только в этом случае есть уверенность в том, что для СУИБ будут предоставлены все необходимые ресурсы, все управленческие решения также будут приниматься своевременно и с учетом стратегических целей бизнеса организации.
Бывают случаи, когда проекты по построению СУИБ инициируются руководителями подразделений ИБ. Затем им нужно потратить немало времени, чтобы донести до высшего руководства организации все преимущества построения СУИБ, а также очертить круг задач, которые необходимо решить в ходе ее строительства и эксплуатации.
Кроме того, на всех этапах жизненного цикла СУИБ потребуется постоянная работа высшего руководства и принятие дополнительных управленческих решений. Введение СУИБ должно быть одобрено руководством организации, например, соответствующим приказом организации. Для регулярного анализа эффективности СУИБ руководство должно принимать необходимые решения по совершенствованию или модификации процессов управления ИБ.
В рамках этого процесса результаты и вопросы функционирования СУИБ представляются руководству организации, статистика процессов управления ИБ, запросы заинтересованных сторон на внесение изменений в СУИБ и т.д. На основе результатов этого процесса руководство организации регулярно принимает решения по всем аспектам СУИБ, требующим совершенствования.
Ценность этих результатов заключается в том, что все решения, принимаемые руководством, согласуются с общей бизнес-стратегией организации. Это очень важно, поскольку, как отмечалось выше, само определение СУИБ подчеркивает, что СУИБ является частью общей системы управления организацией, и все решения, принимаемые в рамках СУИБ, должны учитывать цели и задачи бизнеса организации.