05. Свод правил управления ИБ (ISO/IEC 27002-2013). Часть 1

В 2000 году первая часть британского национального стандарта BS 7799-1 «Практические правила управления ИБ» была принята в качестве международного стандарта ISO/IEC 17799 «ИТ. Практические правила управления ИБ».

В 2005 году на его основе был разработан новый международный стандарт ISO/IЕС 27002 «ИТ. Meтоды защиты. Свод норм и правил управления ИБ», который был опубликован в июле 2007 года. Последнее обновление стандарта состоялось 25 сентября 2013 года.

Стандарт предлагает рекомендации и основные принципы введения, реализации, поддержки и улучшения СУИБ в организации. Он может служить практическим руководством по разработке стандартов безопасности организации, для эффективной практики УИБ организаций и способствует укреплению доверия в отношениях между организациями.

Стандарт состоит из 14 разделов, посвященных мерам безопасности, которые все вместе содержат, в целом, 34 основные категории безопасности и 114 мер защиты (в скобках - количество категорий):
  1) политика ИБ (1);
  2) организация ИБ (2);
  3) безопасность, связанная с персоналом (3):
  4) управление активами (3);
  5) управление доступом (4);
  6) криптография (1);
  7) физическая и экологическая безопасность (2);
  8) безопасность операций (7);
  9) безопасность связи (2);
10) приобретение, разработка и поддержка ИС (3);
11) взаимоотношения с поставщиками (2);
12) управление инцидентами ИБ (1);
13) аспекты ИБ при управлении непрерывностью бизнеса (2);
14) соответствие требованиям (2).

Каждая основная категория безопасности включает в себя:
- цель ИБ;
- меры достижения этой цели.

Описание мер ИБ структурируется таким образом:
- меры и средства ИБ;
- рекомендации по их реализации.

1. Политика ИБ

1.1. Руководящие положения для ИБ

Цель: Реализовать требования политики ИБ и обеспечить поддержку для ИБ в соответствии с требованиями бизнеса и действующим законодательством.

Политика ИБ предполагает следующие мероприятия:
- документирование;
- пересмотр.

Документирование

Меры и средства: политика ИБ документируется оформлением, утверждением, публикованием и доведением до персонала и внешних заинтересованных сторон.

Рекомендации по реализации: в лучшем случае, политика ИБ должна устанавливать ответственность руководства, а также излагать подход организации к УИБ.

Политика ИБ должна содержать требования:
- стратегии бизнеса;
- законодательства и договорных обязательств;
- защиты от существующих и потенциальных угроз ИБ.

Политика ИБ должна содержать положения по:
- определению ИБ, ее целей и принципов для руководства действиями по обеспечению ИБ;
- определению ответственности разных ролей с учетом специфики управления ИБ;
- изложения намерений руководства, поддерживающих цели и принципы ИБ в соответствии со стратегией и целями бизнеса;
- процессов управления изменениями и исключениями.

В худшем случае, политика ИБ должна поддерживаться специализированными политиками, направленными на внедрение управления ИБ и созданными специально для целевых групп внутри организации или выполнения конкретных задач.

Примерами таких задач могут быть:
- управление доступом;
- классификация активов;
- физическая и экологическая безопасность;
- следующие требования к пользователям:
  • использование активов;
  • чистый стол и чистый экран;
  • политика коммуникаций;
  • мобильные устройства и удалённая работа;
  • ограничения на установку ПО;
- передача информации;
- защита от вредоносного ПО;
- управление техническими уязвимостями;
- управление средствами криптографии;
- безопасность коммуникаций;
- защита персональных данных;
- взаимоотношения с поставщиками.

Эти политики должна быть доведены до сведения персонала в рамках всей организации и сторонних организаций в актуальной, доступной и понятной форме путем проведения инструктажей и тренингов. Если какие-либо политики ИБ должны применяться за пределами организации, в них не должна содержаться конфиденциальная информация. В качестве названий политик ИБ могут использоваться такие термины, как стандарт, руководство или правила.

Пересмотр

Меры и средства: политика ИБ должны быть пересмотрены через запланированные промежутки времени или в случае изменений с целью обеспечения ее постоянной пригодности, адекватности и эффективности.

Рекомендации по реализации: политика ИБ должна иметь владельца, который утвержден руководством в качестве ответственного за разработку, пересмотр и оценку. Пересмотр заключается в оценке возможностей по улучшению политики ИБ организации и подхода к УИБ в ответ на изменения организационной среды, обстоятельств бизнеса, правовых условий или технической среды.

При пересмотре политики ИБ следует учитывать результаты пересмотров методов управления, для чего должны существовать определенные процедуры, в том числе график или период пересмотра.

2. Организация ИБ

Организацию ИБ определяют следующие составляющие:
- внутренняя организация;
- мобильные устройства и удалённая работа.

2.1. Внутренняя организация

Цель: создать структуру управления для инициирования и управления внедрением и обеспечением ИБ в организации.

Внутренняя организация сферы ИБ предполагает следующие мероприятия:
- определение ответственности;
- разделение обязанностей;
- контакт с властями;
- контакт со специальными группами;
- ИБ в управлении проектом.

Определение ответственности

Меры и средства: все ответственности в поле ИБ должны быть определены и закреплены.

Рекомендации по реализации: закрепление ответственности должно соответствовать политике ИБ. Ответственности за защиту индивидуальных активов и осуществления процессов ИБ должны быть определены. Ответственности за действия по управлению рисками ИБ и, в частности, принятие остаточного риска должны быть определены.

Эти ответственности должны быть дополнительно детализированы, при необходимости, для специфических мест и средств обработки информации. Ответственные лица могут делегировать некоторые задачи безопасности другим. Впрочем они все равно несут за это ответственность, поэтому должны обеспечить правильное оформление такого делегирования. Сферы ответственности должны быть зафиксированы.

В частности, необходимо учесть следующее:
- активы и процессы ИБ должны быть идентифицированы и определены;
- личная ответственность за каждый актив и процесс ИБ должна быть обозначена и ее детали задокументированы;
- уровни авторизации должны быть определены и задокументированы;
- назначенные быть ответственными в сфере ИБ должны быть компетентными и в курсе всех событий в этой сфере;
- координация и контроль аспектов ИБ взаимотношений с поставщиками должны быть идентифицированы и задокументированы.

Многие организации назначают отдельного менеджера по ИБ, возлагая на него всю ответственность за разработку и внедрение ИБ и поддержку актуальности мер и средств ИБ. Одной из распространенных практик является назначение владельца каждого актива, отвечающего за его безопасность.

Разделение обязанностей

Меры и средства: противоречивые обязанности и зоны ответственности должны быть разделены для снижения возможностей несанкционированного изменения или неправильного использования активов организации.

Рекомендации по реализации: следует четко обозначить, что никто не может получить доступ к использованию и модификации активов без идентификации и аутентификации. Инициация события должна быть отделена от его авторизации. Возможность сговора должна быть учтена при выборе мер защиты.

В маленьких организациях сложно обеспечить разделение обязанностей, но принцип разделения должен быть применен настолько, насколько это возможно. Разделение обязанностей является методом снижения риска случайного или преднамеренного нанесения вреда активам организации.

Контакт с властями

Меры и средства: необходимые контакты с органами власти должны поддерживаться.

Рекомендации по реализации: в организациях должны применяться процедуры, определяющие, когда и с какими инстанциями (например правоохранительными, пожарными и надзорными органами) необходимо вступить в контакт, и каким образом следует своевременно сообщать о выявленных инцидентах ИБ, если есть подозрение о возможности нарушения закона.

Организациям, подвергающимся атаке через Интернет, может потребоваться привлечение сторонней организации (например интернет-провайдера или оператора телекоммуникаций) для принятия мер защиты от атаки.

Контакт со специальными группами

Меры и средства: должны поддерживаться надлежащие контакты со специальными группами или форумами специалистов в области ИБ, а также профессиональными ассоциациями.

Рекомендации по реализации. Членство в группах или форумах следует рассматривать как средство для:
- повышения знания о «передовом опыте» и достижений ИБ на современном уровне;
- обеспечения уверенности в том, что понимание проблем ИБ является современным и полным;
- получения раннего оповещения в виде предупреждений, информационных сообщений и патчей¹, касающихся атак и уязвимостей;
- возможности получения консультаций специалистов по вопросам ИБ;
- совместного использования и обмена информацией о новых технологиях, продуктах, угрозах или уязвимостях;
- организация подходящих связей для обеспечения обработки инцидентов ИБ.

Соглашения об информационном обмене должны обеспечить улучшение кооперации и координации действий в сфере безопасности. Эти соглашения должны определить требования по защите конфиденциальной информации.

¹ Патч - блок изменений для оперативного исправления или нейтрализации ошибки в исполняемой программе. чаще всего поставляемый (или размещаемый на сайте разработчика) в виде небольшой программы, вставляющей исправления в объектный код соответствующих модулей приложения.

ИБ при управлении проектом

Меры и средства: ИБ должна обеспечиваться при управлении проектом, независимо от его типа.

Рекомендации по реализации: ИБ должна быть интегрирована в метод управления проектом, чтобы гарантировать, что риски ИБ идентифицированы и являются частью проекта. Это относится к любому проекту, независимо от его содержания.

Метод управления проектом при использовании должен требовать, чтобы:
- цели ИБ входили в проектные цели;
- оценка риска ИБ проводилась на ранней стадии проекта, чтобы идентифицировать необходимые меры защиты;
- ИБ была частью всех фаз используемой проектной методологии.

Требования ИБ должны обеспечиваться и пересматриваться регулярно во всех проектах. Ответственность за ИБ нужно определить и применить к ролям, определенным методами управления проектом.

2.2. Мобильные устройства и удалённая работа

Цель: обеспечить безопасность удалённой работы и использования мобильных устройств.

Этот раздел рассматривает обеспечение ИБ при использовании:
- мобильных устройств;
- удалённой работы.

Мобильные устройства

Меры и средства: политика и меры безопасности должны обеспечить управление рисками, связанными с использованием мобильных устройств.

Рекомендации по реализации: при использовании мобильных устройств необходимо уделить внимание тому, чтобы не скомпрометировать бизнес-информацию. Политика мобильных устройств должна учитывать риски работы с мобильными устройствами в незащищенной среде.

Политика мобильных устройств должна предусматривать:
- регистрацию мобильных устройств;
- требования физической защиты;
- ограничения на установку ПО;
- требования к версиям ПО мобильных устройств и применению патчей;
- ограничения на подключение к информационным сервисам;
- управление доступом;
- криптографические средства;
- защита от вредоносного ПО;
- дистанционное выключение, удаление или блокировку;
- резервное копирование;
- использование веб-сервисов и веб-приложений.

Следует проявлять осторожность при использовании мобильных устройств в общедоступных местах, конференц-залах и других незащищенных местах. Необходимо обеспечить защиту от несанкционированного доступа или раскрытия информации, хранимой и обрабатываемой этими устройствами, например с помощью средств криптографии.

Мобильные устройства необходимо также физически защищать от краж, особенно когда их оставляют в автомобилях или других видах транспорта, гостиничных номерах, конференц-залах и местах встреч. Для случаев потери или кражи мобильных устройств должна быть установлена специальная процедура, учитывающая законодательные, страховые и другие требования безопасности организации.

Устройства, в котором переносится важная, чувствительная или критическая информация бизнеса, не следует оставлять без присмотра и, по возможности, для обеспечения безопасности устройства должны быть физически заблокированы или использованы специальные замки.

Необходимо провести обучение сотрудников, использующих мобильные устройства, с целью повышения осведомленности о дополнительных рисках, связанных с таким способом работы, и мерах защиты, которые должны быть выполнены.

Там, где политика мобильных устройств разрешает использование личных мобильных устройств, политика и связанные с ней меры безопасности должны предусмотреть:

- разделение личного и делового использования устройств с применением ПО, которое поддерживает разделение и защищает бизнес-данные на личном устройстве;

- предоставление доступа пользователей к бизнес-информации только после заключения трудового договора, определяющего их обязанности (физическая защита, обновление ПО и т.д.), отказ в собственности на бизнес-данные, разрешение на удаленное уничтожение организацией данных в случае кражи или потери устройства или после завершения срока использования сервиса. Эта политика разрабатывается с учетом законодательства о конфиденциальности.

Беспроводная коммуникация мобильных устройств похожа на другие типы сетевой коммуникации, но имеют важные отличия, которые надо учитывать при выборе мер защиты.

Типовые различия:
- некоторые протоколы беспроводной безопасности несовершенны и имеют известные недостатки;
- невозможность резервного копирования информации, хранящейся на мобильных устройствах, из-за ограниченной сетевой пропускной способности или отсутствия подключения мобильных устройств во время запланированного копирования.

Удалённая работа

Меры и средства: должна быть принята политика и меры по обеспечению ИБ для защиты доступа к информации, ее обработки и хранения при удаленной работе.

Рекомендации по реализации: организация, использующая удаленную работу, должна разработать политику, определяющую условия и ограничения такой работы. При этом необходимо принимать во внимание следующее:

- существующую физическую безопасность места удаленной работы, включая физическую безопасность здания и окружающей среды;

- предлагаемые условия удаленной работы;

- требования в отношении безопасности коммуникаций, учитывая потребность в удаленном доступе к внутренним системам организации, чувствительность информации, к которой будет осуществляться доступ, и чувствительность внутренней системы;

- внедрение доступа к виртуальному рабочему столу, предотвращающего обработку и хранение информации на личном оборудовании;

- угрозу несанкционированного доступа к информации или ресурсам со стороны других лиц, находящихся в месте удаленной работы, например членов семьи и друзей;

- использование домашних компьютерных сетей, а также требования или ограничения в отношении конфигурации услуг беспроводных сетей;

- политики и процедуры защиты прав интеллектуальной собственности, разработанной на личном оборудовании;

- доступ к личному оборудованию, который может быть запрещен законодательно (для определения безопасности машины или на время расследования);

- лицензионные соглашения в отношении ПО, что касается ответственности за лицензирование клиентского ПО на рабочих станциях, являющихся личной собственностью сотрудников или внешних организаций;

- требования в отношении антивирусной защиты и межсетевых экранов.

Руководства и соглашения должны содержать следующее:
- предоставление необходимого оборудования и материалов для удаленной работы, где используется личное оборудование, не контролируемое организацией;
- определение разрешенной работы, часов работы, внутренних систем и сервисов, задействованных при удаленной работе, и классификация обрабатывающейся информации;
- предоставление приемлемого коммуникационного оборудования, в том числе безопасного удаленного доступа;
- физическую безопасность;
- роли и директивы семейного и гостевого доступа к оборудованию и информации;
- обслуживание и поддержку аппаратного и программного обеспечения;
- предоставление страховки;
- процедуры резервного копирования и непрерывности бизнеса;
- аудит и мониторинг безопасности;
- аннулирование пользователя, его прав доступа и возврат оборудования после завершения удаленной работы.

3. Безопасность, связанная с персоналом

Безопасность, связанную с персоналом, обеспечивают мероприятия:
- перед приемом на работу;
- во время работы;
- при увольнении или изменении должности.

3.1. Перед приемом на работу

Цель: Гарантировать, что сотрудники и подрядчики понимают свою ответственность и подходят для должностей, на которые они рассматриваются.

Перед приемом на работу проводятся следующие мероприятия:
- проверка благонадежности;
- трудовой договор.

Проверка благонадежности

Меры и средства: тщательная проверка всех кандидатов на работу должна проводиться согласно соответствующим законам, инструкциям и правилам этики в соответствии с требованиями бизнеса, классификацией информации, к которой будет осуществляться доступ, и предполагаемыми рисками.

Рекомендации по реализации. Проверка благонадежности должна осуществляться с учетом конфиденциальности, защиты персональных данных и трудового законодательства и включать, по возможности, следующее:
- независимую проверку подлинности документов, удостоверяющих личность (паспорта или заменяющего его документа);
- проверку подлинности документов об образовании и профессиональной квалификации;
- проверку биографии кандидата (на предмет полноты и точности);
- наличие положительных рекомендаций, в частности, в отношении деловых и личных качеств претендента;
- более детальную проверку, например, кредитоспособности или наличия судимости.

Если кандидат претендует на специальную роль в сфере ИБ, организация должна удостовериться в том, что он имеет необходимую:
- компетенцию для выполнения роли;
- степень доверия, если роль критична для организации.

Если предполагаемая работа предоставляет доступ к средствам обработки информации, особенно, конфиденциальной, например, финансовой, организация должна провести дальнейшую, более детальную проверку кандидата. Организация для процедур проверки должна определить критерии и ограничения, например, кто имеет право проверки, кто, когда и почему проводит проверку.

Процесс отбора должен также применяться и для подрядчиков. Соглашение между организацией и подрядчиком должно содержать ответственность за проведение отбора и процедуры уведомления о том, что отбор не закончен или его результаты дали повод для сомнений или опасений.

Информация обо всех кандидатах на должности в организации должна быть собрана и обработана в соответствии с действующим законодательством в этой юрисдикции. В зависимости от применяемого законодательства кандидаты должны быть заблаговременно уведомлены о действиях по отбору.

Трудовой договор

Меры и средства: трудовой договор должен устанавливать ответственность сотрудника и подрядчика и организации в сфере ИБ.

Рекомендации по реализации. Условия работы сотрудников и подрядчиков должны отражать политику ИБ и, кроме того, разъяснять и устанавливать:
- необходимость подписания соглашения о конфиденциальности или неразглашении прежде, чем им будет предоставлен доступ к конфиденциальной информации;
- правовую ответственность и права, например в части законодательства о защите персональных данных или авторском праве;
- обязанности по классификации информации и управлению активами, связанными с информацией, средствами обработки информации и информационными сервисами;
- ответственность за обработку информации, получаемой от других фирм и сторонних организаций;
- действия, которые должны быть предприняты в случае несоблюдения требований ИБ.

Роли и ответственности в сфере ИБ должны быть доведены до кандидатов до их приема на работу. Организация должна удостовериться, что сотрудники и подрядчики согласны с условиями ИБ в отношении вида и уровня получаемого доступа к активам, связанным с ИС и сервисами. При необходимости ответственность, возлагаемая на сотрудника по условиям работы, должна сохраняться сотрудником в течение определенного периода времени и после увольнения из организации.

Организация в соответсвии со своим имиджем и репутацией может разработать кодекс поведения сотрудника и подрядчика, устанавливающий его обязанности в сфере ИБ в отношении конфиденциальности, защиты персональных данных, этики, допустимого использования оборудования и устройств организации.

3.2. Во время работы

Цель: Гарантировать, что все сотрудники и подрядчики осведомлены о своей ответственности и корректно выполняют свои обязанности в сфере ИБ.

Во время работы ИБ обеспечивают следующие составляющие:
- ответственность руководства;
- осведомленность в сфере ИБ;
- дисциплинарный процесс.

Ответственность руководства

Меры и средства: руководство должно требовать от всех сотрудников и подрядчиков соблюдения правил ИБ в соответствии с установленными политиками и процедурами организации.

Рекомендации по реализации. Руководство обязано обеспечить уверенность в том, что сотрудники и подрядчики:
- осведомлены о своих ролях и обязанностях в сфере ИБ прежде, чем получили доступ к конфиденциальной информации или ИС;
- обеспечены рекомендациями по формулированию их предполагаемых ролей в сфере ИБ в рамках организации;
- заинтересованы следовать политике ИБ организации;
- достигли уровня осведомленности в сфере ИБ, соответствующего их ролям и обязанностям в организации;
- следуют условиям работы, которые включают политику ИБ организации и соответствующие методы работы;
- продолжают поддерживать соответствующие навыки и квалификацию и обучаются на регулярной основе;
- осведомлены о необходимости информирования любым способом о нарушениях политик и процедур ИБ.

Руководство должно демонстрировать поддержку политик, процедур и мер ИБ и быть образцом для подражания.

Осведомленность персонала

Меры и средства: все сотрудники организации и, по возможности, подрядчики должны проходить соответствующее обучение и быть в курсе актуальных организационных политик и процедур, применимых к их функциям.

Рекомендации по реализации: программа обучения должна преследовать цель осведомленности сотрудников и, по возможности, подрядчиков о своих обязанностях в сфере ИБ и мерах по их выполнению.

Программа обучения разрабатывается в соответствии с политиками и процедурами ИБ для изучения информации, которую надо защищать, и мер, которые ее должны защищать. Программа должна содержать ряд таких учебно-воспитательных мер, как акция (например, «День ИБ») и издание информационных буклетов и бюллетеней.

Программа должна планироваться, исходя из ролей сотрудников организации и, по возможности, желаемой в организации осведомленности подрядчиков. Все меры программы должны быть распланированы по времени, желательно регулярно, таким образом, чтобы они повторялись и охватывали новых сотрудников и подрядчиков.

Программа должна также регулярно обновляться в соответствии с организационными политиками ипроцедурами и строиться с учетом извлечения уроков из инцидентов ИБ. Обучение должно проходить в соответствии с программой. При обучении можно использовать разные способы и средства, включая аудиторные и дистанционные, веб-сайты, самостоятельные и другие.

Обучение в сфере ИБ должно также охватывать такие аспекты, как:
- утверждение приверженности руководства ИБ во всей организации;

- необходимость ознакомления с применяемыми правилами и обязательствами ИБ и их выполнения в соответствиис политиками, стандартами, законами, нормативами, контрактами и соглашениями;

- персональная ответственность за каждое свое действие и его отсутствие и общие ответственности за безопасность и защиту информации, принадлежащей организации и сторонним организациям;

- базовые процедуры ИБ (такие как оповещение об инциденте ИБ) и основные меры защиты (такие как аутентификация, антивирус, чистый рабочий стол);

- контактные источники дополнительной информации и консультация по мерам ИБ, включая дополнительные материалы по обучению в сфере ИБ.

Обучение должно происходить периодически. Те, кто получил новую должность или роль, к которой предъявляются другие требования ИБ, должны пройти обучение сначала с учетом новых требований (но не как новички) до начала выполнения своих ролей.

Организация должна разработать программу обучения таким образом, чтобы обучение было эффективным. Программа должна содержать разные формы обучения, например, лекционные и самостоятельные. При составлении программы важно учитывать не только «что» и «как», но и «почему». Важно, чтобы сотрудники понимали цель ИБ и потенциальное позитивное и негативное влияние на организацию из-за их поведения.

Обучение в сфере ИБ может быть частью других процессов обучения или проведена во взаимодействии с ними, например в сфере ИТ или общей безопасности. Обучение должно соответствовать индивидуальным ролям, ответственностям и навыкам. Оценка понимания сотрудников должна проводиться по завершении курса обучения для проверки уровня знаний.

Дисциплинарный процесс

Меры и средства: должен существовать формальный и известный дисциплинарный процесс для принятия мер в отношении сотрудников, допустивших нарушение ИБ.

Рекомендации по реализации: не следует начинать дисциплинарный процесс, не получив предварительного подтверждения того, что нарушение ИБ произошло.

Дисциплинарный процесс призван обеспечить уверенность в корректном и справедливом рассмотрении дел сотрудников, подозреваемых в совершении нарушений ИБ. Он должен обеспечивать дифференцированное реагирование, учитывающее такие факторы, как тип и тяжесть нарушения и его негативное влияние на бизнес, совершено ли нарушение впервые или повторно, получил ли нарушитель должную подготовку, законодательство, бизнес-контракты и другие требуемые факторы.

Дисциплинарный процесс должен использоваться как сдерживающий фактор для предотвращения нарушений сотрудниками политик и процедур ИБ и любых других нарушений ИБ организации. Преднамеренные нарушения требуют немедленных действий. Дисциплинарный процесс может также стать мотивом или стимулом для уважительного отношения к требованиям ИБ.

3.3. Увольнение или изменение должности

Цель: Защищать интересы организации при увольнении или изменении должности сотрудника.

Увольнение или изменение обязанностей

Меры и средства: ответственности и обязанности в сфере ИБ, которые остаются в силе после увольнения или изменения должности, должны быть определены, доведены до сотрудника или подрядчика и реализованы.

Рекомендация по реализации: информирование об обязанностях при увольнении должно включать в себя актуальные требования ИБ и правовую ответственность и, при необходимости, обязанности, содержащиеся в соглашении о конфиденциальности, и условия трудоустройства, продолжающие действовать в течение определенного периода времени после увольнения сотрудника или подрядчика.

Ответственности и обязанности, которые остаются в силе после увольнения, должны быть включены в условия трудового договора сотрудника или контракта подрядчика. Изменения обязанностей и условий труда должны приводить к расторжению существующего и заключению нового трудового договора, в котором будут установлены новые обязанности и условия труда.

4. Управление активами

Управление активами определяют следующие составляющие:
- ответственность за активы;
- безопасность активов;
- безопасность носителей информации.

4.1. Ответственность за активы

Цель: Определить активы организации и соответствующие ответственности по их защите.

Ответственность за активы обеспечивают следующие мероприятия:
- инвентаризация активов;
- принадлежность активов;
- использование активов;
- возврат активов.

Инвентаризация активов

Меры и средства: организация должна идентифицировать активы, связанные с информацией и средствами для обработки информации, составить и вести их инвентарную опись.

Рекомендации по реализации: организация должна идентифицировать все активы с учетом важности жизненного цикла информации и документа. Жизненный цикл информации состоит из создания, обработки, хранения, передачи, уничтожения и разрушения. Документация должна быть надлежащим образом внесена в существующие или новые описи.

Опись актива должна быть аккуратной, актуальной, последовательной и совместимой с другими описями. Владение активом и классификация информации должны быть определены в отношении каждого актива. Описи активов помогают обеспечивать уверенность в том, что активы организации эффективно защищены. Эти описи могут также потребоваться для других целей, таких как обеспечение безопасности труда, страховые или финансовые вопросы.

Принадлежность активов

Меры и средства: активы, содержащиеся в инвентарной описи, должны иметь владельцев.

Рекомендации по реализации: физические лица, также как и другие субъекты, возложившие на себя одобренную руководством ответственность за жизненный цикл актива, квалифицируются как его владельцы.

Как правило, используется процесс временного назначения владения активом. Владение должно быть назначено, когда активы созданы и переданы организации. Владелец актива должен нести ответственность за надлежащее управление активом на протяжении всего его жизненного цикла.

Владелец актива должен:
- удостовериться, что активы инветаризированы;
- удостовериться, что активы надлежащим образом классифицированы и защищены;
- определять и пересматривать ограничения и классификации актива для важных активов с учетом применяемых правил разграничения доступа;
- принять надлежащие меры в случае уничтожения или разрушения актива.

В сложных ИС можно выделить группы активов, участвующих в обеспечении определенного сервиса. В этом случае владелец сервиса несет ответственность за обеспечение сервиса, включая работу этих активов.

Использование активов

Меры и средства: правила использования информации и активов, связанных с информацией и средствами ее обработки, должны быть определены, задокументированы и внедрены.

Рекомендации по реализации: сотрудники и представители внешних организаций, использующие или имеющие доступ к активам организации, должны быть осведомлены о требованиях ИБ в отношении активов организации, связанных с информацией, ресурсами и средствами ее обработки. Они должны нести ответственность за использование ими любых ресурсов для обработки информации и любое подобное использование в сфере их ответственности.

Возврат активов

Меры и средства: все сотрудники организации и представители внешних организаций обязаны возвратить все активы организации, которые им были выданы, после окончания трудового договора, контракта или соглашения.

Рекомендации по реализации: процесс увольнения должен быть формализован таким образом, чтобы включать в себя возврат ранее выданных физических и электронных активов, числящихся за организацией.

Если сотрудник или представитель внешней организации купил оборудование организации или пользуется личным оборудованием, при увольнении необходимо предусмотреть процедуры по возврату информации организации и надежному ее удалению на этом оборудовании.

Если сотрудник или представитель внешней организации знает важную информацию по обеспечению непрерывности операций, она быть задокументирована и передана организации. Во время увольнения организация должна контролировать несанкционированное копирование соответствующей информации (например, интеллектуальной собственности) увольняемыми.

4.2. Безопасность информации

Цель: Обеспечить надлежащий уровень защиты информации в соответствии с ее важностью для организации.

Безопасность активов обеспечивают следующие мероприятия:
- классификация информации;
- маркировка информации;
- обработка активов.

Классификация информации

Меры и средства: информация должна быть классифицирована с учетом правовых требований, ценности, критичности и чувствительности к несанкционированному разглашению или модификации.

Рекомендации по реализации: классификации и меры защиты информации должны соответствовать требованиям бизнеса по распространению и ограничению информации с учетом правовых норм. Классификация активов может отличаться от классификации информации, которая хранится, обрабатывается и защищается активом, но при этом должна быть с нею согласована.

Владельцы информационных активов должны нести ответственность за их классификацию. Схема классификации информации должна содержать правила и критерий пересмотра классификации с течением времени. Уровень защиты в схеме должен быть установлен путем анализа конфиденциальности, целостности и доступности и других требований к информации. Схема должна соответствовать правилам разграничения доступа.

Информация может перестать быть конфиденциальной по истечении некоторого периода времени и становится общедоступной. Эти аспекты необходимо принимать во внимание, поскольку присвоение более высокой категории может привести к реализации избыточных мер защиты и, как следствие, дополнительным расходам. Каждый уровень должен иметь название в контексте применения схемы классификации.

Схема должна способствовать во всей организации тому, чтобы каждый мог классифицировать информацию и связанные с ней активы, иметь общее понимание требований защиты и применять надлежащую защиту.

Классификация должна быть включена в процессы организации и быть согласованной по всей организации. Результаты классификации должны показывать ценность активов в зависимости от их чувствительности и критичности для организации, например, конфиденциальности, целостности и доступности. Результаты классификации должны обновляться в соответствии с изменениями ценности, чувствительности и критичности активов на протяжении всего их жизненного цикла.

Классификацию проводят люди, работающие с информацией и четко осознающие, как ее обрабатывать и защищать. Создание информационных групп со схожей защитой требует и определяет процедуры ИБ, применимые для всей информации в каждой группе. Такой подход снижает необходимость оценки риска и поиска мер защиты в каждом конкретном случае.

Информация может перестать быть чувствительной или критичной после определенного периода времени, например, когда станет публичной. Такие аспекты надо принимать во внимание, поскольку избыточная классификация может приводить к внедрению ненужных мер защиты и дополнительным расходам, а недостаточная - подвергать опасности достижение бизнес-целей.

Схема классификации конфиденциальности информации может содержать, например, четыре следующих уровня:
- разглашение не приносит вреда;
- разглашение вызывает небольшое затруднение и оперативное неудобство;
- разглашение имеет серьезное короткое влияние на операции или тактические цели;
- разглашение имеет серьезное влияние на долговременные стратегические цели или подвергает деятельность организации риску.

Маркировка информации

Меры и средства: соответствующий набор процедур маркировки информации должен быть разработан и внедрен в соответствии со схемой ее классификации, принятой в организации.

Рекомендации по реализации: процедуры маркировки должны охватывать информацию и связанные с ней активы как в физической, так и в электронной форме. Маркировка должна отражать установленную схему классификацию. Метки должны быть легко распознаваемыми.

Процедуры должны указывать, где и как наносить метки с учетом видов доступа к информации или обработки активов в зависимости от типов носителя. Процедуры должны определять, когда маркировка не применяется, например, для неконфиденциальной информации, для снижения нагрузок. Сотрудники и подрядчики должны быть осведомлены о процедурах маркировки.

Выходные данные ИС, содержащие информацию, классифицированную как чувствительную или критичную, должны иметь соответствующую классификационную метку. Маркировка классифицированной информации является ключевым требованием для соглашений по распространению информации. Физические метки и метаданные являются общепризнаной формой маркировки.

Обработка активов

Меры и средства: процедуры обработки активов должны быть разработаны и внедрены в соответствии со схемой классификации информации, принятой в организации.

Рекомендации по реализации: процедуры должны быть установлены для обработки, хранения и передачи информации в соответствии с ее классификацией.

Необходимо рассмотреть следующие рекомендации:
- ограничения доступа в соответствии с требованиями защиты для каждого уровня классификации;
- ведение формальной записи авторизованных получателей активов;
- соответствие защиты любых копий информации уровню защиты исходной информации;
- хранение ИТ активов в соответствии с рекомендациями изготовителей;
- четкая маркировка всех копий носителей информации для авторизованного получателя.

Для каждого уровня классификации должны быть определены процедуры доступа и использования информационных активов, включающие безопасную обработку, хранение, передачу, присвоение и снятие грифа секретности, а также уничтожение. Сюда следует также отнести процедуры по обеспечению регистрации любого события, имеющего значение для ИБ, и хранению этих данных.

Сотрудники и представители внешних организаций, имеющие право доступа к активам организации, должны быть осведомлены о существующих ограничениях по использованию разных видов информационных активов в соответствии со схемой их классификации и маркировки, принятой в организации. Они должны нести ответственность за использование ими активов организации.

4.3. Безопасность носителей информации

Цель: Предотвратить несанкционированные действия с информацией, хранящейся на носителях информации.

Безопасность носителей информации обеспечивают следующие мероприятия:
- управление носителями;
- уничтожение носителей;
- транспортировка носителей.

Управление носителями

Меры и средства: должны быть внедрены процедуры управления носителями информации в соответствии со схемой классификации, принятой в организации.

Рекомендации по реализации: необходимо рассмотреть следующие рекомендации:
- в случае ненужности содержание перезаписываемого носителя, который будет вынесен за пределы организации, необходимо уничтожить без возможности восстановления;
- при необходимости, носители, выносимые за пределы организации, должны требовать авторизацию, и запись таких выносов следует хранить для аудита;
- все носители информации должны храниться в сейфе, безопасной среде в соответствии с рекомендациями изготовителей;
- если конфиденциальность и целостность данных считается важным, для их защиты на носителе должны использоваться средства криптографии;
- для снижения риска потери данных на старом носителе, пока он еще читаемый, необходимо их перезаписать на новый носитель;
- множественные копии ценных данных должны храниться на разных носителях для снижения риска случайного повреждения или потери данных;
- должна вестись регистрация носителей для уменьшения возможности потери данных;
- сменные дисковые накопители разрешается использовать только в случае, обусловленном потребностями бизнеса;
- там, где необходимо использование носителей, запись информации на такой носитель должна мониториться.

Процедуры и уровни авторизации должны быть задокументированы.

Уничтожение носителей

Меры и средства: если носитель больше не нужен, он должен быть надежно уничтожен в соответствии с формальной процедурой.

Рекомендации по реализации: формальные процедуры надежного уничтожения носителей должны буть установлены для снижения риска утечки конфиденциальной информации посторонним лицам. Процедуры надежного уничтожения носителей, содержащих конфиденциальную информацию, должны соответствовать чувствительности этой информации.

Необходимо рассмотреть следующие рекомендации:
- носители, содержащие конфиденциальную информацию, должны храниться и уничтожаться надежно, например, путем сжигания и измельчения или стирания данных для другого применения внутри организации;
- должны существовать процедуры по выявлению носителей, которые необходимо уничтожить;
- проще принять меры по сбору и уничтожению всех носителей информации, чем выявлять носители с чувствительной информацией;
- многие организации предлагают сбор и сервисы уничтожения носителей, среди них надо выбрать ту, которая имеет адекватные меры защиты и квалификацию;
- уничтожение чувствительной информации должно регистрироваться, а запись храниться для аудита.

При сборе носителей для уничтожения необходимо учитывать эффект «перехода количества в качество», который может превратить большой объем нечувствительной информации в чувствительную.

Поврежденные устройства, содержащие чувствительные данные, могут потребовать оценку риска того, были ли они достаточно физически разрушены до того, как были выброшены или попали в ремонт.

Транспортировка носителей

Меры и средства: носители должны быть защищены от несанкционированного доступа, неправильного использования или повреждения во время транспортировки.

Рекомендации по реализации. Для защиты носителей, содержащих информацию, при транспортировке необходимо учитывать следующие рекомендации:
- должен использоваться надежный транспорт или курьеры;
- список разрешенных курьеров необходимо согласовывать с руководством;
- необходимо разработать процедуры проверки благонадежности курьеров;
- упаковка должна быть прочной для защиты содержимого от физического повреждения, возможного при транспортировке и соответствовать рекомендациям изготовителей, например, защищать от экологических факторов, снижающих эффективность восстановления носителя, таких как высокая температура, влажность или электромагнитные поля;
- должны храниться записи, определяющие содержимое носителей, применяемую защиту, а также времени передачи курьерам и доставки адресату.

Информация может быть уязвимой для несанкционированного доступа, неправильного использования или повреждения в физическом транспорте, например, при отправлении почтой или курьером. В этом случае носители должны иметь сопроводительные документы. Если конфиденциальная информация на носителе незашифрована, должна быть применена дополнительная физическая защита носителя.

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика