ДСТУ ISO/IEC 30121:2016 Информационные технологии. Управление структурой цифровых судебно-экспертных рисков (ISO/IEC 30121:2015, IDT)
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
Інформаційні технології
КЕРУВАННЯ СТРУКТУРОЮ ЦИФРОВИХ
СУДОВО-ЕКСПЕРТНИХ РИЗИКІВ
ДСТУ ISO/IEC 30121:2016
(ISO/IEC 30121:2015, IDT)
Не є офіційним виданням.
Офіційне видання розповсюджує національний орган стандартизації
(ДП «УкрНДНЦ» http://uas.gov.ua)
ПЕРЕДМОВА
1 РОЗРОБЛЕНО: Державне підприємство «Український державний науково-дослідний інститут технологій товарно-грошового обігу, фінансових і фондових ринків «УКРЕЛЕКОН»», Технічний комітет стандартизації «Банківські та фінансові системи і технології» (ТК 105)
2 ПРИЙНЯТО ТА НАДАНО ЧИННОСТІ: наказ Державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» (ДП «УкрНДНЦ») від 27 грудня 2016 р. № 440 з 2017-10-01
3 Національний стандарт відповідає ISO/IEC 30121:2015 Information technology — Governance of digital forensic risk framework (Інформаційні технології. Керування структурою цифрових судово-експертних ризиків)
Ступінь відповідності — ідентичний (IDT)
Переклад з англійської (еn)
4 Цей стандарт розроблено згідно з правилами, установленими в національній стандартизації України 5 НА ЗАМІНУ ДСТУ ISO/IEC 30121:2015
ЗМІСТ
Національний вступ
Вступ до ISO/IEC 30121:2015
1 Сфера застосування
2 Нормативні посилання
3 Терміни та визначення понять
4 Принципи
4.1 Відповідальність
4.2 Стратегія
4.3 Надбання
4.4 Продуктивність
4.5 Відповідність
4.6 Поведінка людини
5 Структура
5.1 Мандат зацікавлених сторін
5.2 Запровадження
5.3 Оцінювання
5.4 Керування
5.5 Моніторинг
6 Процеси
6.1 Стратегія архівування
6.2 Стратегія відкриття
6.3 Стратегія виявлення
6.4 Стратегія цифрової експертної здатності
6.5 Стратегія відповідності ризиків
7 Метрика. Критерії
7.1 Загальні положення
7.2 Ключові показники мети
7.3 Ключові показники ефективності
7.4 Ключові бізнес-показники
Додаток А (довідковий) Огляд цього стандарту
Бібліографія
Додаток НА (довідковий) Перелік національних стандартів України, ідентичних з міжнародними стандартами, посилання на які є в цьому стандарті
НАЦІОНАЛЬНИЙ ВСТУП
Цей національний стандарт ДСТУ ISO/IEC 30121:2016 (ISO/IEC 30121:2015) «Інформаційні технології. Керування структурою цифрових судово-експертних ризиків», прийнятий методом перекладу, — ідентичний щодо ISO/IEC 30121:2015 «Information technology — Governance of digital forensic risk framework» (версія en).
Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 105 «Банківські та фінансові системи і технології».
Цей стандарт прийнято на заміну ДСТУ ISO/IEC 30121:2015, прийнятого методом підтвердження.
— цьому національному стандарті зазначено вимоги, які відповідають законодавству України.
До стандарту внесено такі редакційні зміни:
— слова «цей міжнародний стандарт» замінено на «цей стандарт»;
— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;
— вилучено «Передмову» до ISO/IEC 30121:2015 як таку, що безпосередньо не стосується технічного змісту цього стандарту;
— долучено довідковий додаток НА (Перелік національних стандартів України, ідентичних міжнародним стандартам, посилання на які є в цьому стандарті.
ВСТУП до ISO/IEC 30121:2015
Організації будь-якого типу стикаються як з внутрішніми, так і з зовнішніми чинниками та впливами, які можуть призвести до виникнення судових позовів і висунення вимог у сфері інформаційних технологій (IT) і відповідних інформаційних систем (ІС) щодо розкриття цифрових доказів. Наявний Судовий позов може бути результатом невизначеної, незапланованої чи несподіваної події, або це може статися в процесі запланованого розвитку подій чи дій стосовно співробітників, конкурентів або постачальників послуг. Буде ризик суттєвим чи ні, залежить від рівня ризику та його оцінки з боку організації. Ставлення організації до певного ризику буде відображено в її критеріях оцінювання ризиків. Оскільки майже напевно цифрові докази будуть виявлені та, отже, підлягатимуть юридичному дослідженню інформації, організації мають планувати й розвивати власний потенціал для опрацювання таких правових дій до їх виникнення.
Цей стандарт стосується коректного стратегічного підготовлення до цифрового дослідження будь-якої організації. Ступінь судово-експертної готовності гарантує, що організація зробила відповідну й адекватну стратегічну підготовку для приймання потенційних позовів доказової природи. Дії можуть виникнути в результаті ймовірних порушень безпеки, випадків шахрайства та захисту репутації. У будь-якій ситуації IT мають бути стратегічно розгорнуті для забезпечення максимальної ефективності наявної доказової бази, її доступності та ефективності витрат.
Відповідальність органу керування полягає в забезпеченні стратегічного напрямку в усіх питаннях, що мають відношення до організації. Органу керування надають принципи передової практики, які забезпечують загальне керівництво з питань достовірності та відповідності. Ці принципи можуть походити з юридичних мандатів, стандартів або соціальних і культурних вимог. У цьому стандарті принципи походять з ISO/IEC 38500 як настанови для передової практики в керуванні IT (розділ 4).
Принципи потребують практичного впровадження. Завдання керування полягають в оцінюванні пропозицій і планів, здійсненні моніторингу ефективності та відповідності, а також у керуванні стратегією та політикою. Зацікавлені сторони організації можуть надати мандат на керування, і орган керування несе всю повноту ризиків. Структуру керування цифровими судово-експертними ризиками встановлюють власники ризику, які вдаються до відповідних заходів забезпечення стратегічного напрямку організації. Таким чином, стратегічна призначеність полягає в практичній реалізації принципів і забезпеченні належної підготовки цифрового розслідування (розділ 5).
Для забезпечення доставки стратегічних напрямків керівникам і топ-менеджерам Структура вимагає стратегічних процесів. Ці стратегічні процеси вибирають для забезпечення адекватного
охоплення й відповідності загалом критеріям архівування, виявлення, дослідження інформації, технічної здатності й критеріям оцінки ризиків (розділ 6).
Отримані із зазначених принципів цілі є вимірними завдяки ключовим показникам мети (КПМ), а стратегічні завдання, отримані зі стратегій, — вимірними за ключовими показниками ефективності (КПЕ). Варіювання між вимірами КПМ та КПЕ є ключовим бізнес-показником ефективності окремої організації (КБП) (розділ 7).
Цей стандарт треба використовувати разом із словником, який розміщено в ISO Guide 73:2009; ISO/IEC 35802 «Інформаційна технологія. Управління структурою та моделлю ІТ», а також ISO/IEC 38500 «Інформаційна технологія. Керування ІТ для організацій».
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
Керування структурою цифрових судово-експертних ризиків
INFORMATION TECHNOLOGY
Governance of digital forensic risk framework
Чинний від 2017-10-01
1 СФЕРА ЗАСТОСУВАННЯ
Цей стандарт встановлює структуру для керівних органів організацій (зокрема й для власників, членів правління, директорів, партнерів, керівників вищої ланки тощо), щоб якнайкраще підготувати організацію для цифрових досліджень до їх виникнення. Цей стандарт поширюється на розроблення стратегічних процесів і рішень, пов’язаних зі збереженням, наявністю, доступністю та економічною ефективністю розкриття цифрових доказів. Цей стандарт придатний для застосування до організацій всіх типів і розмірів.
2 НОРМАТИВНІ ПОСИЛАННЯ
Наведені нижче нормативні документи необхідні для застосування цього стандарту. У разі датованих посилань застосовують тільки наведені видання. У разі недатованих посилань потрібно користуватись останнім виданням нормативних документів (разом зі змінами).
ISO/IEC 38500:2008 Corporate Governance of Information Technology
ISO Guide 73:2009 Risk management — Vocabulary.
НАЦІОНАЛЬНЕ ПОЯСНЕННЯ
ISO/IEC 38500 Інформаційні технології. Керування IT для організацій
ISO Guide 73:2009 Керування ризиками. Словник.
Полная версия документа доступна в тарифе «ВСЕ ВКЛЮЧЕНО».