— Все документы — ГОСТы — ГОСТ Р ИСО/МЭК 27002-2012 ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СВОД НОРМ И ПРАВИЛ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


ГОСТ Р ИСО/МЭК 27002-2012 ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СВОД НОРМ И ПРАВИЛ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ГОСТ Р ИСО/МЭК 27002-2012 ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СВОД НОРМ И ПРАВИЛ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27002-2012
"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СВОД НОРМ И ПРАВИЛ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ"
(утв. приказом Федерального агентства по техническому регулированию и метрологии от 24 сентября 2012 г. N 423-ст)

Information technology. Security techniques. Code of practice for information security management

Дата введения - 1 января 2014 г.
Взамен ГОСТ Р ИСО/МЭК 17799-2005

0 Введение

0.1 Что такое информационная безопасность?

Информация - это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом, что важно для среды бизнеса, где наблюдается все возрастающая взаимосвязь. Как результат такой все возрастающей взаимосвязи, информация в настоящее время подвергается растущему числу и более широкому спектру угроз и уязвимостей (см. также Руководство ОЭСР*) по обеспечению безопасности информационных систем и сетей [16].

Информация может существовать в различных формах: быть напечатанной или написанной на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных средств связи, демонстрироваться на пленке или выражена устно. Независимо от формы представления информации, средств ее распространения или хранения, она всегда должна быть адекватно защищена.

Информационная безопасность защищает информацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса, минимизации риска бизнеса, получения максимальной отдачи от инвестиций, а также реализации потенциальных возможностей бизнеса.

Информационная безопасность достигается путем реализации соответствующего комплекса мер и средств контроля и управления, которые могут быть представлены политиками, процессами, процедурами, организационными структурами, а также функциями программных и аппаратных средств. Указанные меры и средства контроля и управления необходимо создавать, реализовывать, подвергать мониторингу, анализировать и улучшать, если необходимо, для обеспечения уверенности в том, что определенная безопасность и определенные цели бизнеса организации достигнуты. Все это необходимо выполнять наряду с другими процессами менеджмента бизнеса.

0.2 Почему необходима информационная безопасность?

Информация и поддерживающие ее процессы, системы и сети являются важными деловыми активами. Определение, достижение, поддержка и улучшение информационной безопасности могут быть существенными аспектами для поддержания конкурентоспособности, денежного оборота, доходности, соблюдения законов и коммерческого имиджа.

Организации, а также их информационные системы и сети сталкиваются с угрозами безопасности из широкого диапазона источников, включая компьютерное мошенничество, шпионаж, саботаж, вандализм, пожар или наводнение. Источники ущерба, например вредоносный код, компьютерное хакерство и атаки типа отказа в обслуживании, становятся более распространенными и все более и более изощренными.

Информационная безопасность важна как для государственного, так и для частного секторов бизнеса, а также для защиты критических инфраструктур. В обоих секторах информационная безопасность действует в качестве фактора, способствующего, например, использованию "электронного правительства" или "электронного бизнеса", и чтобы избежать или снизить соответствующие риски. Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов приводит к увеличению трудностей, связанных с управлением доступом к информации. Тенденция к использованию распределенной обработки данных также ослабляет эффективность централизованного контроля.

При проектировании многих информационных систем проблемы безопасности не учитывались. Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен поддерживаться надлежащим менеджментом и процессами. Выбор необходимых мер и средств контроля и управления требует тщательного планирования и внимания к деталям. Менеджмент информационной безопасности нуждается, как минимум, в участии всех сотрудников организации. Кроме того, может потребоваться участие акционеров, поставщиков, представителей третьей стороны, клиентов или представителей других внешних сторон. Кроме того, могут потребоваться консультации специалистов сторонних организаций.

0.3 Как определить требования к информационной безопасности

Организация должна определить свои требования к информационной безопасности. Существуют три основных источника требований безопасности.

Один из источников складывается из оценки рисков организации, принимая во внимание общую стратегию и цели бизнеса организации. Посредством оценки рисков идентифицируются угрозы активам организации, оцениваются уязвимости и вероятности возникновения угроз, а также оцениваются возможные последствия.

Вторым источником являются правовые, законодательные, нормативные и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг, а также их социокультурная среда.

Еще одним источником является определенный набор принципов, целей и требований бизнеса для обработки информации, которые разработала организация для поддержки своей деятельности.

0.4 Оценка рисков безопасности

Требования безопасности определяются с помощью систематической оценки рисков. Расходы на меры и средства контроля и управления должны быть соизмеримы с возможным ущербом бизнесу в результате отказа от обеспечения безопасности.

Результаты оценки рисков помогут в определении конкретных мер и приоритетов в области менеджмента рисков информационной безопасности, а также внедрению мер и средств контроля и управления, выбранных для защиты от этих рисков.

Оценка рисков должна периодически повторяться, чтобы учитывать любые изменения, которые могли бы повлиять на результаты оценки риска.

Более подробную информацию об оценке рисков безопасности можно найти в 4.1 "Оценка рисков безопасности".

0.5 Выбор мер и средств контроля и управления

После того как были определены требования к безопасности и риски безопасности и приняты решения в отношении обработки рисков, следует выбрать и внедрить такие меры и средства контроля и управления, которые обеспечат уверенность в снижении рисков до приемлемого уровня. Меры и средства контроля и управления могут быть выбраны из настоящего документа и других источников, а также могут быть разработаны новые меры и средства контроля и управления, удовлетворяющие специфическим потребностям организации. Выбор мер и средств контроля и управления зависит от решений организации, основанных на критериях принятия рисков, вариантах обработки рисков и общем подходе к менеджменту рисков, применяемом в организации. При этом необходимо также учитывать все соответствующие национальные и международные законы и нормы.

Некоторые меры и средства контроля и управления, приведенные в настоящем документе, рекомендуется рассматривать как руководящие принципы для менеджмента информационной безопасности и применять для большинства организаций. Более подробно такие меры и средства контроля и управления рассматриваются ниже под заголовком "Отправная точка информационной безопасности".

Дополнительную информацию о выборе мер и средств контроля и управления и других вариантах обработки риска можно найти в 4.2 "Обработка рисков безопасности".

0.6 Отправная точка информационной безопасности

Отдельные меры и средства контроля и управления могут рассматриваться как подходящая отправная точка информационной безопасности. Такие меры и средства контроля и управления либо основываются на ключевых требованиях законодательства, либо рассматриваются как общепринятая практика в области информационной безопасности.

Ключевыми мерами и средствами контроля и управления, с точки зрения законодательства, для организации являются:

a) защита данных и конфиденциальность персональных данных (см. 15.1.4);

b) защита документов организации (см. 15.1.3);

c) права на интеллектуальную собственность (см. 15.1.2).

Меры и средства контроля и управления, рассматриваемые как общепринятая практика в области информационной безопасности, включают:

a) документирование политики информационной безопасности (см. 5.1.1);

b) распределение обязанностей по обеспечению информационной безопасности (см. 6.1.3);

c) осведомленность, обучение и тренинг ** в области информационной безопасности (см. 8.2.2);

d) корректирующая обработка в прикладных программах (см. 12.2);

e) менеджмент технических уязвимостей (см. 12.6);

f) менеджмент непрерывности бизнеса (см. раздел 14);

g) менеджмент инцидентов информационной безопасности и необходимое совершенствование (см. 13.2).

Перечисленные меры и средства контроля и управления применимы для большинства организаций и сред.

Следует отметить, что хотя все меры и средства контроля и управления, приведенные в настоящем документе, являются важными, уместность какой-либо меры и средства контроля и управления должна определяться в свете конкретных рисков, с которыми сталкивается организация. Следовательно, несмотря на то, что вышеописанный подход рассматривается как отправная точка информационной безопасности, он не заменяет выбор мер и средств контроля и управления, основанный на оценке рисков.

0.7 Важнейшие факторы успеха

Практика показывает, что для успешного внедрения информационной безопасности в организации решающими факторами зачастую являются следующие:

a) соответствие целей, политик и процедур информационной безопасности целям бизнеса;

b) подход и основы для внедрения, поддержки, мониторинга и улучшения информационной безопасности, которые согласуются с корпоративной культурой;

c) видимая поддержка и обязательства со стороны руководства всех уровней;

d) четкое понимание требований информационной безопасности, оценки рисков и менеджмента рисков;

e) эффективный маркетинг информационной безопасности среди всех руководителей, сотрудников и других сторон для достижения осведомленности;

f) распространение руководящих указаний политики информационной безопасности и соответствующих стандартов среди всех руководителей, сотрудников и других сторон;

g) обеспечение финансирования деятельностей по менеджменту информационной безопасности;

h) обеспечение соответствующей осведомленности, обучения и тренинга;

i) создание эффективного процесса менеджмента инцидентов информационной безопасности;

j) внедрение системы измерений***, используемых для оценивания эффективности менеджмента информационной безопасности и предложений по улучшению.

0.8 Разработка собственных рекомендаций

Настоящий свод норм и правил может расцениваться как отправная точка для разработки рекомендаций, специфичных для организации. Не все рекомендации, меры и средства контроля и управления, приведенные в настоящем своде норм и правил, могут быть применимы. Более того, могут потребоваться дополнительные меры и средства контроля и управления и рекомендации, не включенные в данный документ. В документы, содержащие дополнительные рекомендации, а также меры и средства контроля и управления, в соответствующих случаях полезно включать перекрестные ссылки на положения настоящего стандарта для облегчения проверки соответствия, проводимой аудиторами и партнерами по бизнесу.

______________________________

* ОЭСР - организация экономического сотрудничества и развития (OECD - Organization for Economic Cooperation and Development).

** Тренинг - обучение на практических занятиях или в приближенных к реальным условиях.

*** Обратите внимание на то, что измерения информационной безопасности не входят в сферу действия настоящего стандарта.

1 Область применения

Настоящий национальный стандарт предлагает рекомендации и основные принципы введения, реализации, поддержки и улучшения менеджмента информационной безопасности в организации. Цели, изложенные в данном национальном стандарте, обеспечивают полное руководство по общепринятым целям менеджмента информационной безопасности.

Реализация целей управления, а также мер и средств контроля и управления настоящего национального стандарта направлена на удовлетворение требований, определенных оценкой рисков. Настоящий национальный стандарт может служить практическим руководством по разработке стандартов безопасности организации, для эффективной практики менеджмента безопасности организаций и способствует укреплению доверия в отношениях между организациями.

2 Термины и определения

В настоящем документе используются следующие термины с соответствующими определениями.

2.1

актив (asset): Все, что имеет ценность для организации.

[ИСО/МЭК 13335-1:2004]

2.2 мера и средство контроля и управления (control): Средство менеджмента риска, включающее в себя политики, процедуры, рекомендации, инструкции или организационные структуры, которые могут быть административного, технического, управленческого или правового характера.

Примечание - Термин "мера и средство контроля и управления" также используется как синоним терминов "защитная мера" (safeguard) или "контрмера" (countermeasure).

2.3

рекомендация (guideline): Описание, поясняющее действия и способы их выполнения, необходимые для достижения целей, изложенных в политике.

[ИСО/МЭК 13335-1:2004]

2.4 средства обработки информации (information processing facilities): Любая система обработки информации, услуга или инфраструктура, или их фактическое месторасположение.

2.5 информационная безопасность (information security): Защита конфиденциальности, целостности и доступности информации; кроме того, сюда могут быть отнесены и другие свойства, например аутентичность, подотчетность, неотказуемость и надежность.

2.6

событие информационной безопасности (information security event): Какое-либо событие информационной безопасности, идентифицируемое появлением определенного состояния системы, сервиса или сети, указывающее на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

[ИСО/МЭК ТО 18044:2004]

2.7

инцидент информационной безопасности (information security incident): Какой-либо инцидент информационной безопасности, являющийся следствием одного или нескольких нежелательных или неожиданных событий информационной безопасности, которые имеют значительную вероятность компрометации операции бизнеса или создания угрозы информационной безопасности.

[ИСО/МЭК ТО 18044:2004]

2.8 политика (policy): Общее намерение и направление, официально выраженное руководством.

2.9

риск (risk): Сочетание вероятности события и его последствий.

[ИСО/МЭК Руководство 73:2002]

2.10

анализ риска (risk analysis): Систематическое использование информации для определения источников и количественной оценки риска.

[ИСО/МЭК Руководство 73:2002]

2.11

оценка риска (risk assessment): Общий процесс анализа риска и оценивания риска.

[ИСО/МЭК Руководство 73:2002]

2.12

оценивание риска (risk evaluation): Процесс сравнения количественно оцененного риска с заданными критериями риска для определения значимости риска.

[ИСО/МЭК Руководство 73:2002]

2.13

менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в отношении риска.

Примечание - Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и коммуникацию риска.

[ИСО/МЭК Руководство 73:2002]

2.14

обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации риска. [ИСО/МЭК Руководство 73:2002]

2.15

третья сторона (third party): Лица или организация, которые признаны независимыми от участвующих сторон, по отношению к рассматриваемой проблеме.

[ИСО/МЭК Руководство 2:1996]

2.16

угроза (threat): Потенциальная причина нежелательного инцидента, результатом которого может быть нанесение ущерба системе или организации.

[ИСО/МЭК 13335-1:2004]

2.17

уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.

[ИСО/МЭК 13335-1:2004]

3 Структура настоящего стандарта

Настоящий стандарт состоит из 11 разделов, посвященных мерам и средствам контроля и управления безопасности, которые все вместе содержат, в целом, 39 основных категорий безопасности, и одного вводного раздела, знакомящего с оценкой и обработкой рисков.

3.1 Разделы

В каждом разделе содержится несколько основных категорий безопасности. Этими одиннадцатью разделами (сопровождаемыми количеством основных категорий, включенных в каждый раздел) являются:

a) политика безопасности (1);

b) организационные аспекты информационной безопасности (2);

c) менеджмент активов (2);

d) безопасность, связанная с персоналом (3);

e) физическая защита и защита от воздействия окружающей среды (2);

f) менеджмент коммуникаций и работ (10);

g) управление доступом (7);

h) приобретение, разработка и эксплуатация информационных систем (6);

i) менеджмент инцидентов информационной безопасности (2);

j) менеджмент непрерывности бизнеса (1);

k) соответствие (3).

Примечание - Порядок расположения разделов в настоящем стандарте не подразумевает степень их важности. В зависимости от обстоятельств, все разделы могут быть важными, следовательно, каждой организации, использующей стандарт, следует определить применимые разделы, их важность, а также определить их применимость для отдельных процессов бизнеса. Все перечни, приведенные в настоящем стандарте, составлены без учета приоритетности, кроме случаев, оговоренных особо.

3.2 Основные категории безопасности

Каждая основная категория безопасности включает в себя:

a) цель управления, в которой формулируется, что должно быть достигнуто;

b) одну или более мер и средств контроля и управления, с помощью которых могут быть достигнуты цели управления.

Описания меры и средства контроля и управления структурируются следующим образом:

Мера и средство контроля и управления

Определяется формулировка специфической меры и средства контроля и управления для достижения цели управления.

Рекомендация по реализации

Предоставляется более детализированная информация для поддержки реализации меры и средства контроля и управления и достижения цели управления. Некоторые из этих рекомендаций могут быть неприемлемы для всех случаев, поэтому другие способы реализации меры и средства контроля и управления могут быть более уместными.

Дополнительная информация

Предоставляется дополнительная информация, которая может быть рассмотрена, например правовые вопросы и ссылки на другие стандарты.

4 Оценка и обработка рисков

4.1 Оценка рисков безопасности

Оценка рисков должна идентифицировать риски, определить количество и приоритеты рисков на основе критериев для принятия риска и целей, значимых для организации. Результаты должны служить ориентиром и определять соответствующие действия руководства и приоритеты менеджмента рисков информационной безопасности, а также реализацию мер и средств контроля и управления, выбранных для защиты от этих рисков. Может возникнуть необходимость в неоднократном выполнении процесса оценки рисков и выбора мер и средств контроля и управления для того, чтобы охватить различные подразделения организации или отдельные информационные системы.

Оценка рисков должна включать систематический подход, заключающийся в количественной оценке рисков (анализ риска), и процесс сравнения количественно оцененных рисков с данными критериями рисков для определения значимости рисков (оценивание рисков).

Оценки рисков следует выполнять периодически, чтобы учитывать изменения в требованиях безопасности и в ситуации, связанной с риском, например в отношении активов, угроз, уязвимостей, воздействий, оценивания рисков, а также при значительных изменениях. Такие оценки рисков следует проводить систематически, способом, дающим сравнимые и воспроизводимые результаты.

Чтобы быть эффективной, оценка рисков информационной безопасности должна иметь четко определенную область применения и, при необходимости, взаимосвязь с оценками рисков в других областях.

Областью применения оценки рисков может быть целая организация, ее подразделения, отдельная информационная система, определенные компоненты системы, или услуги, где это возможно, реально и полезно. Примеры методик оценки рисков рассматриваются в ИСО/МЭК ТО 13335-3 [4].

4.2 Обработка рисков безопасности

Прежде чем рассмотреть обработку некоего риска, организация должна выбрать критерии определения приемлемости или неприемлемости рисков. Риски могут быть приняты, если, например они оцениваются как низкие, или когда стоимость обработки невыгодна для организации. Такие решения необходимо регистрировать.

В отношении каждого из выявленных рисков, вслед за оценкой рисков, необходимо принимать решение по его обработке. Возможные варианты обработки рисков включают в себя:

a) применение соответствующих мер и средств контроля и управления для снижения рисков;

b) сознательное и объективное принятие рисков в том случае, если они, несомненно, удовлетворяют политике и критериям организации в отношении принятия рисков;

c) предотвращение рисков путем недопущения действий, которые могут стать причиной возникновения рисков;

d) перенос взаимодействующих рисков путем разделения их с другими сторонами, например страховщиками или поставщиками.

Что касается тех рисков, в отношении которых было принято решение об их обработке с применением соответствующих мер и средств контроля и управления, эти меры и средства контроля и управления следует выбирать и реализовывать таким образом, чтобы они соответствовали требованиям, идентифицированным оценкой рисков. Меры и средства контроля и управления должны обеспечивать уверенность в том, что эти риски снижены до приемлемого уровня, принимая во внимание:

a) требования и ограничения национальных и международных законов и норм;

b) цели организации;

c) эксплуатационные требования и ограничения;

d) стоимость реализации и эксплуатации в отношении снижаемых рисков должна оставаться пропорциональной требованиям и ограничениям организации;

e) необходимость сохранения баланса между инвестициями в реализацию и эксплуатацию мер и средств контроля и управления и ущербом, который может иметь место в результате недостаточной безопасности.

Меры и средства контроля и управления могут быть выбраны из настоящего стандарта или других совокупностей мер и средств контроля и управления, могут быть созданы новые меры и средства контроля и управления с целью удовлетворения специфических потребностей организации. Необходимо признать, что некоторые меры и средства контроля и управления не могут быть применены для каждой информационной системы или среды, и не могут быть применены для всех организаций. В качестве примера в 10.1.3 описывается, как обязанности могут быть разделены, чтобы предотвратить мошенничество и ошибки. В небольших организациях может отсутствовать возможность разделения всех обязанностей, и могут потребоваться другие способы достижения той же самой цели управления. В качестве другого примера в 10.10 описывается способ осуществления мониторинга работы системы и сбора доказательств. Описанные меры и средства контроля и управления, например регистрация событий, могут вступать в противоречие с действующим законодательством, например по обеспечению конфиденциальности в отношении клиентов или на рабочем месте.

Меры и средства контроля и управления информационной безопасности должны рассматриваться на этапе спецификации и разработки системных и проектных требований. Отказ от этого может приводить к дополнительным расходам и менее эффективным решениям, а в худшем случае, к неспособности достижения адекватной безопасности.

Следует иметь в виду, что никакая совокупность мер и средств контроля и управления не может достигать полной безопасности, и что необходимо реализовывать дополнительные действия по менеджменту, чтобы осуществлять мониторинг, оценку и повышение действенности и эффективности мер и средств контроля и управления безопасности для поддержки целей организации.

5 Политика безопасности

5.1 Политика информационной безопасности

Цель: Обеспечить управление и поддержку высшим руководством информационной безопасности в соответствии с требованиями бизнеса и соответствующими законами и нормами.

Высшее руководство должно установить четкое направление политики в соответствии с целями бизнеса и демонстрировать поддержку и обязательства в отношении обеспечения информационной безопасности посредством разработки и поддержки политики информационной безопасности в рамках организации.

При необходимости следует предусмотреть наличие контактного лица, занимающегося вопросами информационной безопасности внутри организации, к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специалистами по безопасности или группами специалистов, включая соответствующие органы, чтобы находиться в курсе отраслевых тенденций, осуществлять мониторинг стандартов и методов оценки, и обеспечивать адекватные точки контакта при обработке инцидентов информационной безопасности. Следует поощрять многопрофильный подход к обеспечению информационной безопасности.

5.1.1 документирование политики информационной безопасности

Мера и средство контроля и управления

Политика информационной безопасности должна быть утверждена руководством, издана и доведена до сведения всех сотрудников организации и соответствующих сторонних организаций.

Рекомендация по реализации

Политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к менеджменту информационной безопасности, Документ, в котором излагается политика, должен содержать положения относительно:

a) определения информационной безопасности, ее общих целей и сферы действия, а также упоминания значения безопасности как инструмента, обеспечивающего возможность совместного использования информации (см. "Введение");

b) изложения намерений руководства, поддерживающих цели и принципы информационной безопасности в соответствии со стратегией и целями бизнеса;

c) подхода к установлению мер и средств контроля и управления и целей их применения, включая структуру оценки риска и менеджмента риска;

d) краткого разъяснения наиболее существенных для организации политик безопасности, принципов, стандартов и требований соответствия, например:

1) соответствие законодательным требованиям и договорным обязательствам;

2) требования по обеспечению осведомленности, обучения и тренинга в отношении безопасности;

3) менеджмент непрерывности бизнеса;

4) ответственность за нарушения политики информационной безопасности;

e) определения общих и конкретных обязанностей сотрудников в рамках менеджмента информационной безопасности, включая информирование об инцидентах безопасности;

f) ссылок на документы, дополняющие политику информационной безопасности, например более детальные политики и процедуры безопасности для определенных информационных систем, а также правила безопасности, которым должны следовать пользователи.

Данная политика информационной безопасности должна быть доведена до сведения пользователей в рамках всей организации в актуальной, доступной и понятной форме.

Дополнительная информация

Политика информационной безопасности может составлять часть документа по общей политике. Если политика информационной безопасности распространяется за пределами организации, следует принимать меры в отношении неразглашения чувствительной информации. Дополнительную информацию можно найти в ИСО/МЭК 13335-1 [3].

5.1.2 Пересмотр политики информационной безопасности

Мера и средство контроля и управления

Политика информационной безопасности должна пересматриваться либо через запланированные интервалы времени, либо, если произошли значительные изменения, с целью обеспечения уверенности в ее актуальности, адекватности и эффективности.

Рекомендация по реализации

Политика информационной безопасности должна иметь владельца, который утвержден руководством в качестве ответственного за разработку, пересмотр и оценку политики безопасности. Пересмотр заключается в оценке возможностей по улучшению политики информационной безопасности организации и подхода к менеджменту информационной безопасности в ответ на изменения организационной среды, обстоятельств бизнеса, правовых условий или технической среды.

При пересмотре политики информационной безопасности следует учитывать результаты пересмотров методов управления. Должны существовать определенные процедуры пересмотра методов управления, в том числе график или период пересмотра.

Входные данные для пересмотра методов управления должны включать информацию об (о):

a) ответной реакции заинтересованных сторон;

b) результатах независимых пересмотров (см. 6.1.8);

c) состоянии предотвращающих и корректирующих действий (см. 6.1.8 и 15.2.1);

d) результатах предыдущих пересмотров методов управления;

e) выполнении процесса и соответствии политике информационной безопасности;

f) изменениях, которые могли бы повлиять на подход организации к методам управления информационной безопасностью, включая изменения, касающиеся организационной среды, обстоятельств бизнеса, доступности ресурсов, контрактных, регулирующих и правовых условий или технической среды;

g) тенденциях в отношении угроз и уязвимостей;

h) доведенных до сведения инцидентах информационной безопасности (см. 13.1);

i) рекомендациях, данных соответствующими органами (см. 6.1.6).

Выходные данные пересмотра методов управления должны включать любые решения и действия относительно:

a) улучшения подхода организации к менеджменту информационной безопасности и ее процессов;

b) улучшения мер и средств контроля и управления и целей их применения;

c) улучшения распределения ресурсов и (или) обязанностей.

Пересмотр методов управления следует документировать.

Пересмотренная политика должна быть утверждена руководством.

6 Организационные аспекты информационной безопасности

6.1 Задачи, решаемые внутри организации

Цель: Осуществлять менеджмент информационной безопасности в рамках организации.

Должна быть создана структура менеджмента для инициирования и контроля обеспечения информационной безопасности в организации.

Высшее руководство должно утверждать политику информационной безопасности организации, назначать ответственных лиц в области политики информационной безопасности, а также координировать и анализировать внедрение информационной безопасности в организации.

При необходимости следует предусмотреть наличие контактного лица, занимающегося вопросами информационной безопасности внутри организации, к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с отдельными внешними специалистами по безопасности или группами специалистов, включая соответствующие органы, чтобы находиться в курсе отраслевых тенденций, осуществлять мониторинг стандартов и методов оценки, и обеспечивать адекватные точки контакта при обработке инцидентов информационной безопасности. Следует поощрять многопрофильный подход к обеспечению информационной безопасности.

6.1.1 Обязательства руководства по отношению к информационной безопасности

Мера и средство контроля и управления

Руководству следует активно поддерживать безопасность в организации с помощью четкого управления, видимого распределения обязанностей, определенных назначений и признания обязанностей в отношении информационной безопасности.

Рекомендация по реализации

Руководству следует:

a) обеспечивать уверенность в том, что цели информационной безопасности определены, соответствуют требованиям организации и включены в соответствующие процессы;

b) формулировать, анализировать и утверждать политику информационной безопасности;

c) анализировать эффективность реализации политики информационной безопасности;

d) обеспечивать четкое управление и очевидную поддержку менеджмента в отношении инициатив, связанных с безопасностью;

e) обеспечивать ресурсы, необходимые для информационной безопасности;

f) утверждать определенные роли и ответственности в отношении информационной безопасности в рамках организации;

g) инициировать планы и программы для поддержки осведомленности об информационной безопасности;

h) обеспечивать уверенность в том, что реализация мер и средств контроля и управления информационной безопасности скоординирована в рамках организации (см. 6.1.2).

Руководству следует определять потребность в консультациях с внутренними или внешними специалистами по информационной безопасности, а также анализировать и координировать результаты консультаций в рамках организации.

В зависимости от величины организации такие обязанности могут выполняться специальным административным совещанием или существующим органом управления, например советом директоров.

Дополнительная информация

Дополнительная информация содержится в ИСО/МЭК 13335-1 [3]

6.1.2 Координация вопросов информационной безопасности

Мера и средство контроля и управления

Деятельность, связанная с информационной безопасностью, должна быть скоординирована представителями различных подразделений организации с соответствующими ролями и должностными обязанностями.

Рекомендация по реализации

Как правило, координация проблем информационной безопасности должна включать в себя сотрудничество и участие менеджеров, пользователей, администраторов, разработчиков прикладных программ, аудиторов и персонала, занимающегося безопасностью, а также специалистов в области страхования, правовых аспектов, кадровых ресурсов, ИТ или менеджмента риска.

Такая деятельность должна:

a) обеспечивать уверенность в том, что обеспечение безопасности осуществляется в соответствии с политикой информационной безопасности;

b) определять способ устранения несоответствия;

c) утверждать методики и процессы обеспечения информационной безопасности, например оценку риска, классификацию информации;

d) выявлять значительные изменения угроз и подверженность информации и средств обработки информации угрозам;

e) оценивать адекватность и координировать реализацию мер и средств контроля и управления информационной безопасности;

f) эффективно способствовать осведомленности, обучению и тренингу в отношении информационной безопасности в рамках организации;

g) оценивать информацию, полученную в результате мониторинга и анализа инцидентов информационной безопасности, и рекомендовать соответствующие действия в ответ на выявленные инциденты информационной безопасности.

Если в организации не используется специальная межфункциональная группа, например по причине несоответствия величине организации, вышеописанные действия могут выполняться другим подходящим органом управления или отдельным менеджером.

6.1.3 Распределение обязанностей по обеспечению информационной безопасности

Мера и средство контроля и управления

Все обязанности по обеспечению информационной безопасности должны быть четко определены.

Рекомендация по реализации

Распределение обязанностей по обеспечению информационной безопасности следует осуществлять в соответствии с политикой информационной безопасности (см. 4). Следует четко определять обязанности по защите отдельных активов и по выполнению конкретных процессов, связанных с информационной безопасностью. Такие обязанности следует дополнять, при необходимости, более детальными руководствами для конкретных мест эксплуатации и средств обработки информации. Конкретные обязанности в отношении защиты активов и осуществления специфических процессов, связанных с безопасностью, например планирование непрерывности бизнеса, должны быть четко определены.

Лица, на которые возложена обязанность по обеспечению безопасности, могут делегировать задачи, связанные с безопасностью, другим лицам. Тем не менее, они остаются ответственными за выполнение делегированных задач.

Круг обязанностей каждого руководителя должен быть четко определен, в частности:

a) активы и процессы (процедуры) безопасности, связанные с каждой конкретной системой, должны быть четко определены;

b) необходимо назначить ответственных за каждый актив или процедуру безопасности, и подробно описать их обязанности в соответствующих документах (см. 7.1.2);

c) уровни полномочий должны быть четко определены и документально оформлены.

Дополнительная информация

Во многих организациях назначается менеджер по информационной безопасности, на которого возлагается общая ответственность за разработку и реализацию безопасности и за поддержку определения мер и средств контроля и управления.

Однако обязанности в отношении поиска ресурсов и реализации мер и средств контроля и управления часто вменяются отдельным менеджерам. Общепринятой практикой является назначение владельца для каждого актива, который несет ответственность за его повседневную защиту.

6.1.4 Процесс получения разрешения на использование средств обработки информации

Мера и средство контроля и управления

Необходимо определить и реализовать процесс получения разрешения у руководства на использование новых средств обработки информации.

Рекомендация по реализации

В отношении процесса получения разрешения следует рассмотреть следующие рекомендации:

a) на новые средства должны быть получены соответствующие разрешения руководства пользователей, утверждающего их цель и использование. Разрешение следует также получать от менеджера, ответственного за поддержку среды безопасности локальной информационной системы, чтобы обеспечить уверенность в том, что все соответствующие требования и политики безопасности соблюдаются;

b) аппаратные средства и программное обеспечение, где необходимо, следует проверять на предмет совместимости с другими компонентами системы;

c) использование персональных или находящихся в частной собственности средств обработки информации, например лэптопов, домашних компьютеров или карманных устройств для обработки деловой информации может являться причиной новых уязвимостей, поэтому следует определять и реализовывать необходимые меры и средства контроля и управления.

6.1.5 Соглашения о конфиденциальности

Мера и средство контроля и управления

Требования в отношении соглашений о конфиденциальности или неразглашении, отражающие потребности организации в защите информации, должны определяться и регулярно пересматриваться.

Рекомендация по реализации

В соглашениях о конфиденциальности или неразглашении должно содержаться требование о защите конфиденциальной информации, выраженное юридическими терминами, имеющими исковую силу. Чтобы определить требования для соглашений о конфиденциальности или неразглашении, необходимо учесть следующие факторы:

a) определение информации, подлежащей защите (например конфиденциальная информация);

b) предполагаемый срок действия соглашения, включая случаи, когда может возникнуть необходимость в неограниченной поддержке конфиденциальности;

c) необходимые действия при окончании срока действия соглашения;

d) обязанности и действия лиц, подписавших соглашение, с целью предотвращения несанкционированного разглашения информации (например по принципу "необходимого знания");

e) владение информацией, коммерческие тайны и интеллектуальная собственность, и как это соотносится с защитой конфиденциальной информации;

f) разрешенное использование конфиденциальной информации и права лиц, подписавших соглашение, в отношении использования информации;

g) право подвергать аудиту и мониторингу деятельность, связанную с конфиденциальной информацией;

h) процедуру предупреждения и сообщения о несанкционированном разглашении или нарушениях, связанных с конфиденциальной информацией;

i) условия возврата или уничтожения информации в случае приостановления действия соглашения;

j) предполагаемые действия, которые должны быть предприняты в случае нарушения данного соглашения.

В зависимости от требований безопасности организации, могут потребоваться дополнительные элементы соглашения о конфиденциальности или неразглашении.

Соглашения о конфиденциальности и неразглашении должны соответствовать всем применимым законам и нормам, под юрисдикцию которых они подпадают (см. 15.1.1).

Требования в отношении соглашений о конфиденциальности и неразглашении должны пересматриваться периодически и когда происходят изменения, влияющие на эти требования.

Дополнительная информация

Соглашения о конфиденциальности и неразглашении защищают информацию организации, а также информируют лиц, подписавших соглашение, об их обязанности защищать, использовать и разглашать информацию внушающим доверие и санкционированным способом.

При различных обстоятельствах организации могут потребоваться различные формы соглашений о конфиденциальности или неразглашении.

6.1.6 Контакт с различными инстанциями

Мера и средство контроля и управления

Должны поддерживаться соответствующие контакты с различными инстанциями.

Рекомендация по реализации

В организациях должны применяться процедуры, определяющие, когда и с какими инстанциями (например правоохранительными, пожарными и надзорными органами) необходимо вступить в контакт, и каким образом следует своевременно сообщать о выявленных инцидентах информационной безопасности, если есть подозрение о возможности нарушения закона.

Организациям, подвергающимся атаке через Интернет, может потребоваться привлечение внешней третьей стороны (например провайдера Интернет-услуг или телекоммуникационного оператора) для принятия мер против источника атаки.

Дополнительная информация

При осуществлении таких контактов может потребоваться поддержка процесса менеджмента инцидентов информационной безопасности (см. 13.2) или процесса планирования непрерывности бизнеса и действий в чрезвычайных ситуациях (см. 14). Также следует поддерживать контакты с регулирующими органами для прогнозирования и подготовки к предстоящим изменениям в законах или нормах, которые должны соблюдаться организацией. Контакты с другими инстанциями включают контакты с коммунальными службами, скорой помощью и службами охраны труда, например с пожарными органами (в связи с непрерывностью бизнеса), провайдерами телекоммуникационных услуг (в связи с трассировкой линий связи и их доступностью), службами водоснабжения (в связи со средствами охлаждения оборудования).

6.1.7 Контакт со специализированными профессиональными группами

Мера и средство контроля и управления

Должны поддерживаться соответствующие контакты со специализированными профессиональными группами или участниками форумов по безопасности, а также с профессиональными ассоциациями.

Рекомендация по реализации

Членство в специализированных группах или форумах следует рассматривать как средство для:

a) повышения знания о "передовом опыте" и достижений информационной безопасности на современном уровне;

b) обеспечения уверенности в том, что понимание проблем информационной безопасности является современным и полным;

c) получения раннего оповещения в виде предупреждений, информационных сообщений и патчей *(1), касающихся атак и уязвимостей;

d) возможности получения консультаций специалистов по вопросам информационной безопасности;

e) совместного использования и обмена информацией о новых технологиях, продуктах, угрозах или уязвимостях;

f) обеспечения адекватных точек контакта для обсуждения инцидентов информационной безопасности (см. 13.2.1).

Дополнительная информация

Могут быть установлены соглашения на совместное использование информации с целью улучшения сотрудничества и координации по вопросам безопасности. В таких соглашениях должны быть определены требования в отношении защиты чувствительной информации.

6.1.8 Независимая проверка информационной безопасности

Мера и средство контроля и управления

Подход организации к менеджменту информационной безопасности и ее реализации (т.е. цели управления, политики, процессы и процедуры по обеспечению информационной безопасности) должен проверяться независимым образом через запланированные интервалы времени, или когда произошли значительные изменения, связанные с реализацией безопасности.

Рекомендация по реализации

Независимая проверка должна инициироваться руководством. Такая независимая проверка необходима для обеспечения уверенности в сохраняющейся работоспособности, адекватности и эффективности подхода организации к менеджменту информационной безопасности. Проверка должна включать в себя оценку возможностей улучшения и необходимость изменений подхода к безопасности, в том числе политику и цели управления.

Такая проверка должна осуществляться специалистами, не работающими в рассматриваемой области деятельности, например службой внутреннего аудита, независимым менеджером или сторонней организацией, специализирующейся на таких проверках. Специалисты, привлекаемые к таким проверкам, должны обладать соответствующими навыками и опытом.

Результаты независимой проверки должны регистрироваться и сообщаться руководству, инициировавшему проверку. Эти отчеты необходимо сохранять для возможного последующего использования.

Если в результате независимой проверки устанавливается, что подход организации и реализация менеджмента информационной безопасности неадекватны или не соответствуют направлению информационной безопасности, изложенному в документе, содержащем политику информационной безопасности (см. 5.1.1), руководству следует рассмотреть соответствующие корректирующие действия.

Дополнительная информация

Область деятельности, которую менеджеры должны регулярно проверять (см. 15.2.1), может быть проверена независимым образом. Методы проверки могут включать опрос руководства, проверку данных регистрации или анализ документов, имеющих отношение к политике безопасности. ИСО 19011 [15] также может предоставить полезное руководство по выполнению независимой проверки, включая создание и реализацию программы проверки. В 15.3 определены меры и средства контроля и управления, имеющие значение для независимой проверки эксплуатируемых информационных систем и использования инструментальных средств аудита.

6.2 Аспекты взаимодействия со сторонними организациями

Цель: Обеспечивать безопасность информации и средств обработки информации организации при доступе, обработке, передаче и менеджменте, осуществляемом сторонними организациями.

Безопасность информации и средств обработки информации организации не должна снижаться при вводе продуктов или сервисов сторонних организаций.

Доступ сторонних организаций к средствам обработки информации организации, а также к обработке и передаче информации должен находиться под контролем.

Если имеется потребность бизнеса в работе со сторонними организациями, которым может потребоваться доступ к информации и средствам обработки информации организации, а также в получении или обеспечении продукта или сервиса от сторонней организации или для нее, следует выполнять оценку риска для определения последствий для безопасности и требований к мерам и средствам контроля и управления. Меры и средства контроля и управления следует согласовывать и определять в контракте со сторонней организацией

6.2.1 Идентификация рисков, являющихся следствием работы со сторонними организациями

Мера и средство контроля и управления

Риски для информации и средств обработки информации организации, являющиеся следствием процессов бизнеса, в которых участвуют сторонние организации, необходимо определять и необходимо реализовывать соответствующие меры и средства контроля и управления прежде, чем будет предоставлен доступ.

Рекомендация по реализации

Там, где есть необходимость разрешения доступа сторонней организации к средствам обработки информации или информации организации, следует проводить оценку риска (см. 4) с целью определения каких-либо потребностей в специальных мерах и средствах контроля и управления. При определении рисков, связанных с доступом сторонних организаций, следует учитывать:

a) средства обработки информации, необходимые сторонним организациям для доступа;

b) тип доступа к информации и средствам обработки информации, который будет предоставлен сторонним организациям, например:

1) физический доступ, например к офисам, машинным залам, картотекам;

2) логический доступ, например к базам данных, информационным системам организации;

3) возможность сетевого соединения между сетью (сетями) организации и сторонней организации, например неразъемное соединение, удаленный доступ;

4) осуществление доступа на месте или вне места эксплуатации;

c) ценность и чувствительность используемой информации, ее критичность для операций бизнеса;

d) меры и средства контроля и управления, необходимые для защиты информации, не предназначенной для доступа сторонним организациям;

e) персонал сторонней организации, участвующий в обработке информации организации;

f) каким образом организация или персонал, авторизованные на получение доступа, могут быть идентифицированы, авторизация проверена и как часто это необходимо подтверждать;

g) различные способы и меры и средства контроля и управления, применяемые сторонними организациями при хранении, обработке, передаче, совместном использовании и обмене информацией;

h) влияние непредоставления требуемого доступа сторонней организации и ввода или получения сторонней организацией неточной или ложной информации;

i) инструкции и процедуры принятия мер в отношении инцидентов информационной безопасности и возможных убытков, а также сроки и условия возобновления доступа сторонних организаций в случае инцидента информационной безопасности;

j) правовые и нормативные требования, а также договорные обязательства, значимые для сторонних организаций, которые необходимо принимать в расчет;

k) влияние вышеназванных мер на интересы каких-либо других причастных сторон.

Доступ сторонних организаций к информации организации не должен обеспечиваться до тех пор, пока не будут реализованы соответствующие меры и средства контроля и управления и пока не будет подписан договор, определяющий сроки и условия подключения или доступа и рабочий механизм. Как правило, все требования к безопасности, вытекающие из работы со сторонними организациями или внутреннего контроля, должны отражаться в соглашении со сторонними организациями (см. 6.2.2 и 6.2.3).

Следует обеспечивать уверенность в том, что сторонние организации осведомлены о своих обязанностях, и берут на себя ответственность и обязательства в отношении доступа, обработки, передачи или менеджмента информации и средств обработки информации организации.

Дополнительная информация

Информация может быть подвергнута риску сторонними организациями, в которых менеджмент безопасности осуществляется неадекватным образом. Должны определяться и применяться меры и средства контроля и управления с целью администрирования доступа сторонней организации к средствам обработки информации. Например там, где имеется определенная потребность в конфиденциальности информации, могут быть использованы соглашения о неразглашении.

Организации могут сталкиваться с рисками, связанными с межорганизационными процессами, менеджментом и связью в том случае, если применяется большой процент аутсорсинга *(2), или если к участию привлекаются несколько сторонних организаций.

Меры и средства контроля и управления, приведенные в 6.2.2 и 6.2.3, охватывают различные мероприятия с привлечением сторонних организаций, включающие:

a) провайдеров услуг, например Интернет-провайдеров, сетевых провайдеров, услуги телефонной связи, технического обслуживания и поддержки;

b) услуги по менеджменту безопасности;

c) клиентов;

d) аутсорсинг средств и (или) операций, например систем ИТ, услуг по сбору данных, операций центра телефонного обслуживания;

e) консультантов по вопросам менеджмента и бизнеса, а также аудиторов;

f) разработчиков и поставщиков, например программных продуктов и систем ИТ;

g) уборку, общественное питание и другие вспомогательные услуги, обеспечиваемые в рамках договоров аутсорсинга;

h) временных работников, прием на работу студентов и другие нерегулярные краткосрочные назначения.

Такие соглашения могут помочь снизить риски, связанные с привлечением сторонних организаций.

6.2.2 Рассмотрение вопросов безопасности при работе с клиентами

Мера и средство контроля и управления

Все установленные требования безопасности должны быть рассмотрены прежде, чем клиентам будет дан доступ к информации или активам организации.

Рекомендация по реализации

Следующие условия должны быть учтены при рассмотрении безопасности до предоставления клиентам доступа к какому-либо активу организации (в зависимости от типа и продолжительности предоставляемого доступа не все из них могут быть применимы):

a) защита активов, включая:

1) процедуры защиты активов организации, в том числе информацию и программное обеспечение, а также менеджмент известных уязвимостей;

2) процедуры для определения компрометации активов, например вследствие потери или модификации данных;

3) целостность;

4) ограничения на копирование и разглашение информации;

b) описание продукта или услуги, которые должны быть обеспечены;

c) различные причины, требования и преимущества, связанные с доступом клиента;

d) политика управления доступом, охватывающая:

1) разрешенные методы доступа, а также управление и использование уникальных идентификаторов, типа идентификаторов пользователя и паролей;

2) процесс авторизации в отношении доступа и привилегий пользователей;

3) положение о том, что весь доступ, не авторизованный явным образом, является запрещенным;

4) процесс отмены прав доступа или прерывание соединения между системами;

e) процедуры в отношении отчетности, уведомления и расследования неточностей в информации (например персональных подробностей), инцидентов информационной безопасности и нарушений безопасности;

f) описание каждой предоставляемой услуги;

g) определение необходимого и неприемлемого уровня обслуживания;

h) право на проведение мониторинга и отмену какой-либо деятельности, связанной с активами организации;

i) соответствующие обязательства организации и клиента;

j) обязательства относительно юридических вопросов, и способ обеспечения уверенности в соответствии правовым нормам, например законодательству о защите данных, особенно с учетом различных требований национальных правовых систем, если договор предполагает сотрудничество с клиентами в других странах (см. 15.1);

к) соблюдение прав на интеллектуальную собственность и авторских прав (см. 15.1.2), а также обеспечение правовой защиты любой совместной работы (см. 6.1.5).

Дополнительная информация

Требования безопасности в отношении клиентов, осуществляющих доступ к активам организации, могут варьироваться в значительной степени в зависимости от средств обработки информации и информации, к которой осуществляется доступ. Такие требования безопасности могут быть рассмотрены с использованием договоров с клиентами, в которых содержатся все установленные риски и требования безопасности (см. 6.2.1).

По договорам со сторонними организациями могут также привлекаться другие участники. В договорах, предоставляющих доступ сторонней организации, должно содержаться разрешение на привлечение других организаций, а также условия их доступа и участия.

6.2.3 Рассмотрение требований безопасности в договорах с третьей стороной

Мера и средство контроля и управления

Договоры с третьей стороной, привлеченной к доступу, обработке, передаче или управлению информацией или средствами обработки информации организации, или к дополнению продуктов или услуг к средствам обработки информации, должны охватывать все соответствующие требования безопасности.

Рекомендация по реализации

Договор должен обеспечивать уверенность в том, что нет никакого недопонимания между организацией и третьей стороной. Организации должны убедиться, что третья сторона сможет возместить возможные убытки.

Следующие условия должны быть рассмотрены на предмет включения в договор с целью удовлетворения установленных требований безопасности (см. 6.2.1):

a) политика информационной безопасности;

b) меры и средства контроля и управления для обеспечения уверенности в защите активов, включая:

1) процедуры по защите активов организации, в том числе информацию, программное обеспечение и аппаратные средства;

2) какие-либо меры и средства контроля и управления, а также инструменты необходимой физической защиты;

3) меры и средства контроля и управления для обеспечения уверенности в защите от вредоносного программного средства (см. 10.4.1);

4) процедуры по определению компрометации активов, например вследствие потери или модификации информации, программного обеспечения и аппаратных средств;

5) меры и средства контроля и управления по обеспечению уверенности в возврате или уничтожении информации и активов по окончании договора или в согласованное время в течение срока действия договора;

6) конфиденциальность, целостность, доступность и любое другое значимое свойство (см. пункт 2.5) активов;

7) ограничения на копирование и разглашение информации, и применение соглашений о конфиденциальности (см. 6.1.5);

c) тренинг пользователей и администраторов в отношении методов, процедур и безопасности;

d) обеспечение осведомленности пользователей в отношении обязанностей и вопросов, связанных с информационной безопасностью;

e) обеспечение доставки персонала к месту работы, где это необходимо;

f) обязанности, касающиеся установки и сопровождения аппаратных средств и программного обеспечения;

g) четкая структура подотчетности и согласованные форматы представления отчетов;

h) ясный и определенный процесс менеджмента изменений;

i) политика управления доступом, охватывающая:

1) различные причины, требования и преимущества, делающие доступ третьей стороны необходимым;

2) разрешенные методы доступа, а также управление и использование уникальных идентификаторов типа идентификаторов пользователя и паролей;

3) процесс авторизации в отношении доступа и привилегий пользователей;

4) требование по ведению списка лиц, уполномоченных использовать предоставляемые услуги, с указанием соответствующих прав и привилегий;

5) положение о том, что весь доступ, не авторизованный явным образом, является запрещенным;

6) процесс отмены прав доступа или прерывание соединения между системами;

j) процедуры в отношении отчетности, уведомления и расследования инцидентов информационной безопасности и нарушений безопасности, а также нарушений требований, изложенных в соглашении;

к) описание продукта или услуги, которые должны быть предоставлены, и описание информации, которая должна быть предоставлена, наряду с категорией ее секретности (см. 7.2.1);

l) определение необходимого и неприемлемого уровня обслуживания;

m) определение поддающихся контролю критериев эффективности, а также их мониторинг и предоставление отчетности;

n) право на проведение мониторинга и отмену любой деятельности в отношении активов организации;

o) право на проведение аудита исполнения договорных обязательств и возможность проведения такого аудита третьей стороной, а также перечисление установленных законом прав аудиторов;

p) установление процесса информирования о возникающих проблемах с целью их разрешения;

q) требования в отношении непрерывности обслуживания, включая меры по обеспечению доступности и надежности, в соответствии с приоритетами бизнеса организации;

r) соответствующие обязательства сторон в рамках соглашения;

s) обязательства относительно юридических вопросов, и способов обеспечения уверенности в соответствии правовым требованиям, например законодательству о защите данных, особенно с учетом различных требований национальных правовых систем, если договор предполагает сотрудничество с клиентами в других странах (см. также 15.1);

t) соблюдение прав на интеллектуальную собственность и авторских прав (см. 15.1.2), а также обеспечение правовой защиты любой совместной работы (см. 6.1.5);

u) привлечение третьей стороны вместе с субподрядчиками, меры и средства контроля и управления безопасности, которые эти субподрядчики должны реализовать;

v) условия перезаключения/окончания договоров:

1) план действий в чрезвычайных ситуациях должен содержать положения на случай, если какая-либо сторона пожелает прервать отношения до окончания срока действия договоров;

2) перезаключение договоров в случае изменения требований организации к безопасности;

3) действующие документированные перечни активов, лицензий, договоров или связанных с ними прав.

Дополнительная информация

Договоры могут варьироваться в значительной мере в отношении различных организаций и среди различных типов третьих сторон. Поэтому следует заботиться о включении в договоры всех определенных рисков и требований безопасности (см. также 6.2.1). При необходимости требуемые меры и средства контроля и управления, а также процедуры могут быть расширены в плане менеджмента безопасности.

Если менеджмент информационной безопасности осуществляется в рамках договоров аутсорсинга, то в договорах должно быть оговорено, каким образом третья сторона будет гарантировать поддержание адекватной безопасности, определенной оценкой риска, а также адаптацию к выявленным рискам и изменениям рисков.

Некоторые из различий между аутсорсингом и другими формами обеспечения услуг третьими сторонами включают в себя вопросы ответственности, планирование переходного периода и возможного срыва операций в течение данного периода, планирование мероприятий на случай непредвиденных ситуаций и тщательность проверок, а также сбор и управление информацией по инцидентам безопасности. Поэтому важно, чтобы организация планировала и управляла переходом к договорам аутсорсинга, и применяла соответствующий процесс менеджмента изменений и перезаключения/окончания действия договоров.

В договоре необходимо учитывать процедуры непрерывной обработки на случай, если третья сторона окажется неспособной поставлять свои услуги, для предотвращения какой-либо задержки по организации замены услуг.

В договорах с третьими сторонами могут участвовать также и другие стороны. Договоры, предоставляющие доступ третьим сторонам, должны содержать разрешение на привлечение других организаций, а также условия их доступа и участия.

Как правило, договоры разрабатываются, в первую очередь, организацией. Иногда договор может быть разработан и предложен организации третьей стороной. Организации необходимо обеспечивать уверенность в том, что требования третьей стороны, изложенные в предлагаемых договорах, не оказывают излишнего влияния на ее собственную безопасность.

7 Менеджмент активов

7.1 Ответственность за активы

Цель: Обеспечить соответствующую защиту активов организации.

Все активы должны учитываться и иметь назначенного владельца.

Необходимо определять владельцев всех активов, и следует определять ответственного за поддержку соответствующих мер и средств контроля и управления. Реализация определенных мер и средств контроля и управления при необходимости может быть делегирована владельцем, но владелец остается ответственным за надлежащую защиту активов.

7.1.1 инвентаризация активов

Мера и средство контроля и управления

Все активы должны быть четко определены, должна составляться и поддерживаться опись всех важных активов.

Рекомендация по реализации

Организации следует идентифицировать все активы и документально оформлять значимость этих активов. В опись активов следует включить всю информацию, необходимую для восстановления после бедствия, в том числе тип актива, формат, местоположение, информацию о резервных копиях, информацию о лицензировании и ценности для бизнеса. Опись не должна без необходимости дублировать другие описи, но следует обеспечивать уверенность в том, что ее содержание выверено.

Кроме того, владение (см. 7.1.2) и классификация информации (см. 7.2) должны быть согласованы и документально оформлены в отношении каждого актива. Основываясь на важности актива, его ценности для бизнеса и его категории секретности, надлежит определить уровни защиты, соответствующие значимости активов (более подробную информацию о том, как оценивать активы, чтобы учесть их важность, можно найти в ИСО/МЭК 27005).

Дополнительная информация

Существует много типов активов, включающих:

a) информацию: базы данных и файлы данных, договоры и соглашения, системная документация, исследовательская информация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки, планы непрерывности бизнеса, меры по переходу на аварийный режим, контрольные записи и архивированная информация;

b) программные активы: прикладные программные средства, системные программные средства, средства разработки и утилиты;

c) физические активы: компьютерное оборудование, средства связи, съемные носители информации и другое оборудование;

d) услуги: вычислительные услуги и услуги связи, основные поддерживающие услуги, например отопление, освещение, электроэнергия и кондиционирование воздуха;

e) персонал, его квалификация, навыки и опыт;

f) нематериальные ценности, например репутация и имидж организации.

Описи активов помогают обеспечивать уверенность в том, что активы организации эффективно защищены, данные описи могут также потребоваться для других целей, таких как обеспечение безопасности труда, страховые или финансовые (менеджмент активов) вопросы. Процесс инвентаризации активов - важное условие для менеджмента риска.

7.1.2 Владение активами

Мера и средство контроля и управления

Вся информация и активы, связанные со средствами обработки информации должны находиться во владении *(3) определенной части организации.

Рекомендация по реализации

Владелец актива должен нести ответственность за:

a) обеспечение уверенности в том, что информация и активы, связанные со средствами обработки информации, классифицированы соответствующим образом;

b) определение и периодический пересмотр ограничений и классификаций доступа, принимая в расчет применимые политики управления доступом. Владение может распространяться на:

a)процесс бизнеса;

b) определенный набор деятельностей;

c) прикладные программы;

d) определенное множество данных.

Дополнительная информация

Повседневные задачи могут быть переданы, например должностному лицу, ежедневно работающему с активом, но ответственность сохраняется за владельцем.

В сложных информационных системах рекомендуется обозначить группы активов, действующих вместе, для обеспечения определенной функции, такой как "услуга". В данном случае владелец услуг является ответственным за поставку услуги и функционирование активов, которые обеспечивают данную услугу.

7.1.3 Приемлемое использование активов

Мера и средство контроля и управления

Следует определять, документально оформлять и реализовывать правила приемлемого использования информации и активов, связанных со средствами обработки информации.

Рекомендация по реализации

Всем служащим, подрядчикам и представителям третьей стороны рекомендуется следовать правилам приемлемого использования информации и активов, связанных со средствами обработки информации, включая:

a) правила использования электронной почты и Интернета (см. 10.8);

b) рекомендации по использованию мобильных устройств, особенно в отношении использования их за пределами помещений организации (см. 11.7.1).

Соответствующему управленческому персоналу должны быть предоставлены конкретные правила или рекомендации. Служащие, подрядчики и представители третьей стороны, использующие или имеющие доступ к активам организации, должны быть осведомлены о существующих ограничениях в отношении использования ими информации и активов организации, связанных со средствами обработки информации и ресурсами. Они должны нести ответственность за использование ими любых средств обработки информации, и любое использование таких средств осуществлять под свою ответственность.

7.2. Классификация информации

Цель: Обеспечить уверенность в защищенности информации на надлежащем уровне.

Информацию следует классифицировать, чтобы определить необходимость, приоритеты и предполагаемую степень защиты при обработке информации.

Информация имеет различные степени чувствительности и критичности. Некоторые элементы могут потребовать дополнительного уровня защиты или специальной обработки. Схему классификации информации следует использовать для определения соответствующего множества уровней защиты и установления потребности в принятии специальных мер обработки.

7.2.1 Рекомендации по классификации

Мера и средство контроля и управления

Информацию следует классифицировать, исходя из ее ценности, законодательных требований, чувствительности и критичности для организации.

Рекомендация по реализации

При классификации информации и связанных с ней защитных мер и средств контроля и управления необходимо учитывать требования бизнеса в отношении совместного использования или ограничения доступа к информации и последствия для бизнеса, связанные с такими требованиями.

Рекомендации по классификации должны включать руководящие указания по начальной классификации и последующей классификации по истечении времени в соответствии с некой предопределенной политикой управления доступом (см. 11.1.1).

В обязанности владельца актива (см. 7.1.2) входит классификация актива, ее периодический пересмотр и обеспечение уверенности в том, что она поддерживается на актуальном и соответствующем уровне. В отношении классификации следует учитывать эффект накопления, указанный в 10.7.2.

Предметом рассмотрения должно стать количество классификационных категорий и преимущества, получаемые от их использования. Чрезмерно сложные схемы могут стать обременительными и неоправданно дорогими для применения, или могут оказаться неосуществимыми. Следует проявлять осторожность в интерпретации классификационных меток на документах из других организаций, так как одни и те же метки могут иметь различный смысл.

Дополнительная информация

Уровень защиты может оцениваться с помощью анализа конфиденциальности, целостности и доступности, а также каких-либо других требований в отношении рассматриваемой информации.

Информация часто перестает быть чувствительной или критической по истечении некоторого периода времени, например когда она делается общедоступной. Эти аспекты необходимо принимать во внимание, поскольку присвоение более высокой категории может привести к реализации ненужных мер и средств контроля и управления и, как следствие, к дополнительным расходам.

При назначении классификационных уровней, совместное рассмотрение документов с аналогичными требованиями безопасности может упростить задачу по классификации.

В общем, классификация информации - кратчайший путь для определения способа ее обработки и защиты.

7.2.2 Маркировка и обработка информации

Мера и средство контроля и управления

Соответствующий набор процедур маркировки и обработки информации следует разрабатывать и реализовывать в соответствии с системой классификации, принятой организацией.

Рекомендация по реализации

Необходимо, чтобы процедуры маркировки информации охватывали информационные активы, представленные как в физической, так и в электронной форме.

Выводимые из систем документы, содержащие информацию, которая классифицирована как чувствительная или критическая, должны содержать соответствующий маркировочный знак. Маркировка должна отражать классификацию согласно правилам, установленным в 7.2.1. Маркированными могут быть напечатанные отчеты, экранные отображения, носители информации (например ленты, диски, компакт-диски), электронные сообщения и пересылаемые файлы.

Для каждого уровня классификации должны быть определены процедуры обработки, включающие безопасную обработку, хранение, передачу, снятие грифа секретности и уничтожение. Сюда следует также отнести процедуры по обеспечению сохранности и регистрации любого события, имеющего значение для безопасности.

Договоры с другими организациями, включающие требования о совместном использовании информации, должны содержать процедуры определения классификации этой информации и интерпретации классификационных меток других организаций.

Дополнительная информация

Маркировка и безопасная обработка классифицированной информации является ключевым требованием для соглашений о совместном использовании информации. Физические метки являются наиболее распространенной формой маркировки. Однако некоторые информационные активы, например документы в электронной форме, не могут быть маркированы физически, и поэтому необходимо использовать электронные аналоги маркировки. Например на экране или дисплее может появиться уведомляющая метка. Там, где маркировка неосуществима, применяют другие средства обозначения классификации информации, например с помощью процедур или метаданных.

8 Безопасность, связанная с персоналом


Возврат к списку

(Нет голосов)

Комментарии (0)


Чтобы оставить комментарий вам необходимо авторизоваться
Самые популярные документы
Новости
Все новости