ДСТУ ISO/IEC 30121:2016 Інформаційні технології. Керування структурою цифрових судово-експертних ризиків (ISO/IEC 30121:2015, IDT)

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технології
КЕРУВАННЯ СТРУКТУРОЮ ЦИФРОВИХ
СУДОВО-ЕКСПЕРТНИХ РИЗИКІВ

ДСТУ ISO/IEC 30121:2016
(ISO/IEC 30121:2015, IDT)

Відповідає офіційному тексту

З питань придбання офіційного видання звертайтесь
до національного органу стандартизації
(ДП «УкрНДНЦ» http://uas.org.ua)

ПЕРЕДМОВА

1 РОЗРОБЛЕНО: Державне підприємство «Український державний науково-дослідний інститут технологій товарно-грошового обігу, фінансових і фондових ринків «УКРЕЛЕКОН»», Технічний комітет стандартизації «Банківські та фінансові системи і технології» (ТК 105)

2 ПРИЙНЯТО ТА НАДАНО ЧИННОСТІ: наказ Державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» (ДП «УкрНДНЦ») від 27 грудня 2016 р. № 440 з 2017-10-01

3 Національний стандарт відповідає ISO/IEC 30121:2015 Information technology — Governance of digital forensic risk framework (Інформаційні технології. Керування структурою цифрових судово-експертних ризиків)

Ступінь відповідності — ідентичний (IDT)

Переклад з англійської (еn)

4 Цей стандарт розроблено згідно з правилами, установленими в національній стандартизації України 5 НА ЗАМІНУ ДСТУ ISO/IEC 30121:2015

ЗМІСТ

Національний вступ

Вступ до ISO/IEC 30121:2015

1 Сфера застосування

2 Нормативні посилання

3 Терміни та визначення понять

4 Принципи

4.1 Відповідальність

4.2 Стратегія

4.3 Надбання

4.4 Продуктивність

4.5 Відповідність

4.6 Поведінка людини

5 Структура

5.1 Мандат зацікавлених сторін

5.2 Запровадження

5.3 Оцінювання

5.4 Керування

5.5 Моніторинг

6 Процеси

6.1 Стратегія архівування

6.2 Стратегія відкриття

6.3 Стратегія виявлення

6.4 Стратегія цифрової експертної здатності

6.5 Стратегія відповідності ризиків

7 Метрика. Критерії

7.1 Загальні положення

7.2 Ключові показники мети

7.3 Ключові показники ефективності

7.4 Ключові бізнес-показники

Додаток А (довідковий) Огляд цього стандарту

Бібліографія

Додаток НА (довідковий) Перелік національних стандартів України, ідентичних з міжнародними стандартами, посилання на які є в цьому стандарті

НАЦІОНАЛЬНИЙ ВСТУП

Цей національний стандарт ДСТУ ISO/IEC 30121:2016 (ISO/IEC 30121:2015) «Інформаційні технології. Керування структурою цифрових судово-експертних ризиків», прийнятий методом перекладу, — ідентичний щодо ISO/IEC 30121:2015 «Information technology — Governance of digital forensic risk framework» (версія en).

Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 105 «Банківські та фінансові системи і технології».

Цей стандарт прийнято на заміну ДСТУ ISO/IEC 30121:2015, прийнятого методом підтвердження.

— цьому національному стандарті зазначено вимоги, які відповідають законодавству України.

До стандарту внесено такі редакційні зміни:

— слова «цей міжнародний стандарт» замінено на «цей стандарт»;

— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;

— вилучено «Передмову» до ISO/IEC 30121:2015 як таку, що безпосередньо не стосується технічного змісту цього стандарту;

— долучено довідковий додаток НА (Перелік національних стандартів України, ідентичних міжнародним стандартам, посилання на які є в цьому стандарті.

ВСТУП до ISO/IEC 30121:2015

Організації будь-якого типу стикаються як з внутрішніми, так і з зовнішніми чинниками та впливами, які можуть призвести до виникнення судових позовів і висунення вимог у сфері інформаційних технологій (IT) і відповідних інформаційних систем (ІС) щодо розкриття цифрових доказів. Наявний Судовий позов може бути результатом невизначеної, незапланованої чи несподіваної події, або це може статися в процесі запланованого розвитку подій чи дій стосовно співробітників, конкурентів або постачальників послуг. Буде ризик суттєвим чи ні, залежить від рівня ризику та його оцінки з боку організації. Ставлення організації до певного ризику буде відображено в її критеріях оцінювання ризиків. Оскільки майже напевно цифрові докази будуть виявлені та, отже, підлягатимуть юридичному дослідженню інформації, організації мають планувати й розвивати власний потенціал для опрацювання таких правових дій до їх виникнення.

Цей стандарт стосується коректного стратегічного підготовлення до цифрового дослідження будь-якої організації. Ступінь судово-експертної готовності гарантує, що організація зробила відповідну й адекватну стратегічну підготовку для приймання потенційних позовів доказової природи. Дії можуть виникнути в результаті ймовірних порушень безпеки, випадків шахрайства та захисту репутації. У будь-якій ситуації IT мають бути стратегічно розгорнуті для забезпечення максимальної ефективності наявної доказової бази, її доступності та ефективності витрат.

Відповідальність органу керування полягає в забезпеченні стратегічного напрямку в усіх питаннях, що мають відношення до організації. Органу керування надають принципи передової практики, які забезпечують загальне керівництво з питань достовірності та відповідності. Ці принципи можуть походити з юридичних мандатів, стандартів або соціальних і культурних вимог. У цьому стандарті принципи походять з ISO/IEC 38500 як настанови для передової практики в керуванні IT (розділ 4).

Принципи потребують практичного впровадження. Завдання керування полягають в оцінюванні пропозицій і планів, здійсненні моніторингу ефективності та відповідності, а також у керуванні стратегією та політикою. Зацікавлені сторони організації можуть надати мандат на керування, і орган керування несе всю повноту ризиків. Структуру керування цифровими судово-експертними ризиками встановлюють власники ризику, які вдаються до відповідних заходів забезпечення стратегічного напрямку організації. Таким чином, стратегічна призначеність полягає в практичній реалізації принципів і забезпеченні належної підготовки цифрового розслідування (розділ 5).

Для забезпечення доставки стратегічних напрямків керівникам і топ-менеджерам Структура вимагає стратегічних процесів. Ці стратегічні процеси вибирають для забезпечення адекватного

охоплення й відповідності загалом критеріям архівування, виявлення, дослідження інформації, технічної здатності й критеріям оцінки ризиків (розділ 6).

Отримані із зазначених принципів цілі є вимірними завдяки ключовим показникам мети (КПМ), а стратегічні завдання, отримані зі стратегій, — вимірними за ключовими показниками ефективності (КПЕ). Варіювання між вимірами КПМ та КПЕ є ключовим бізнес-показником ефективності окремої організації (КБП) (розділ 7).

Цей стандарт треба використовувати разом із словником, який розміщено в ISO Guide 73:2009; ISO/IEC 35802 «Інформаційна технологія. Управління структурою та моделлю ІТ», а також ISO/IEC 38500 «Інформаційна технологія. Керування ІТ для організацій».

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
Керування структурою цифрових судово-експертних ризиків

INFORMATION TECHNOLOGY
Governance of digital forensic risk framework

Чинний від 2017-10-01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт встановлює структуру для керівних органів організацій (зокрема й для власників, членів правління, директорів, партнерів, керівників вищої ланки тощо), щоб якнайкраще підготувати організацію для цифрових досліджень до їх виникнення. Цей стандарт поширюється на розроблення стратегічних процесів і рішень, пов’язаних зі збереженням, наявністю, доступністю та економічною ефективністю розкриття цифрових доказів. Цей стандарт придатний для застосування до організацій всіх типів і розмірів.

2 НОРМАТИВНІ ПОСИЛАННЯ

Наведені нижче нормативні документи необхідні для застосування цього стандарту. У разі датованих посилань застосовують тільки наведені видання. У разі недатованих посилань потрібно користуватись останнім виданням нормативних документів (разом зі змінами).

ISO/IEC 38500:2008 Corporate Governance of Information Technology

ISO Guide 73:2009 Risk management — Vocabulary.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC 38500 Інформаційні технології. Керування IT для організацій

ISO Guide 73:2009 Керування ризиками. Словник.