Политика безопасности (описана в 3 части стандарта).
Разработка и реализация политики информационной безопасности организации должна осуществляться высшим руководством путем выработки четкой позиции в решении вопросов информационной безопасности.
Как минимум, данный документ должен включать следующие сведения:
1. определение информационной безопасности, ее общих целей и сферы действия;
2. изложение принципов информационной безопасности, сформулированных руководством;
3. определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью,
4. краткое описание стандартов и нормативных требований, имеющих определенное значение для организации, например:
o соответствие требованиям законодательства и условиям контрактов;
o требования к образовательной подготовке в области безопасности;
o последствия нарушения политики безопасности и т.д..
Данное описание политики необходимо распространить среди пользователей во всей организации в подходящем и удобочитаемом для них виде.
Кроме этого, необходимо назначить сотрудника, отвечающего за поддержку политики и ее обновление. Для чего необходимо создать график периодической переоценки следующих критериев:
· эффективность политики, которая должна демонстрироваться на основе типов, количества и ущерба от зарегистрированных инцидентов;
· стоимость и воздействие мер безопасности на эффективность деятельности организации.
Организационные вопросы безопасности (часть 4).
Чтобы приступить к внедрению средств информационной безопасности в организации, необходимо создать структуру управления. Структуру управления следует создавать так, чтобы она способствовала инициации и осуществлению контроля за внедрением информационной безопасности в организации.
Для создании системы управления необходимо создать:
1. совет по ИБ.
Как правило, деятельность такого совета включает в себя следующие задачи:
· изучение и одобрение политики информационной безопасности и распределения обязанностей;
· отслеживание значимых изменений в степени подверженности информационных ресурсов основным угрозам;
· отслеживание и анализ инцидентов, связанных с информационной безопасностью;
· поддержка инициатив, помогающих улучшить информационную безопасность.
2. консультационный центр по вопросам безопасности, в который можно было бы обращаться из любой части организации.
3. Наладить контакты со специалистами в области безопасности вне компании, чтобы не отставать от развития данной отрасли, следить за стандартами и методами оценки и находить подходящие точки соприкосновения при реакции на инциденты.
4. Для координации внедрения мероприятий по управлению информационной безопасностью в большой организации может потребоваться создание комитета, включающего представителей руководства заинтересованных подразделений организации.
Как правило, такой комитет:
- согласовывает конкретные функции и обязанности в области информационной безопасности в рамках всей организации;
- согласовывает конкретные методики и процедуры информационной безопасности, например, такие как оценка рисков, классификация информации с точки зрения требований безопасности;
- проводит анализ инцидентов нарушения информационной безопасности и т.д.
Кроме этого для создания организационной структуры необходимо четко определить ответственность за защиту отдельных ресурсов и за выполнение конкретных процедур, связанных с безопасностью. Распространенным методом является назначение владельца каждого информационного ресурса (актива), который будет нести ответственность за ежедневное обеспечение безопасности своего ресурса.
Классификация и управление активами (5 часть)
Для обеспечения соответствующей защиты активов организации необходимо описать каждый актив, согласовать и обозначить его владельца и категорию конфиденциальности (см. раздел 5.2), а также указать его текущее местоположение (эта информация потребуется при восстановлении в случае утраты или повреждения).
К активам, связанным с информационными системам относятся:
- информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки (обслуживания), планы по обеспечению непрерывности функционирования информационного обеспечения, процедуры действий при сбоях, архивированная информация;
- активы программного обеспечения: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты;
- физические активы: компьютерное оборудование (процессоры, мониторы, переносные компьютеры, модемы), оборудование связи (маршрутизаторы, частные автоматические телефонные станции с выходом в сеть общего пользования, факсы, автоответчики), магнитные носители (ленты и диски), другое техническое оборудование (электропитание, кондиционеры), мебель, помещения;
- услуги (сервис): вычислительные услуги и услуги связи, основные коммунальные услуги, например, отопление, освещение, электроэнергия, кондиционирование.
С целью обеспечения уверенности в том, что информационные активы защищены на надлежащем уровне. Информацию следует классифицировать, чтобы определить ее приоритетность, необходимость и степень ее защиты.
При классификации и введении соответствующих мер защиты информации необходимо учитывать потребности организации в совместном использовании и ограничении доступа к информации, а также возможный ущерб, связанный с этими потребностями, например, в результате несанкционированного доступа или повреждения информации.
Классификация информации помогает быстро установить, как следует обращаться с определенной информацией и какие меры защиты необходимо к ней применять.
Необходимо определить требуемое количество категорий классификации и преимущества от их использования. Слишком высокая сложность схем может привести к тому, что классификация станет неудобной и неэкономичной или окажется неприменимой на практике.
Для каждой классификации следует определять процедуры маркировки для того, чтобы учесть типы обработки информации:
-копирование;
-хранение;
-передачу по почте, факсом и электронной почтой;
- передачу голосом, включая мобильный телефон, голосовую почту, автоответчики;
-уничтожение.
Следует быть внимательными при использовании документов поступающих из других организаций, поскольку в них классификационные метки на документах могут иметь другое значение.
Ответственность за определение категории информации (например, документа, записи базы данных, файла или дискеты) и за периодическую проверку этой категории должна лежать на создателе или назначенном владельце этой информации.
Вопросы безопасности, связанные с персоналом (Часть 6-я.)
Для минимизация рисков от ошибок, связанных с человеческим фактором, воровством, мошенничеством, кражей или неправильного использования средств обработки информации, следует осуществлять соответствующую проверку кандидатов при приеме на работу и оговаривать на этапе приема обязанности, связанные с безопасностью, которые обязательно должны быть включены в контракт.
Все сотрудники и сторонние пользователи средств обработки информации при необходимости должны подписать соглашение о конфиденциальности (неразглашении).
Проверка при приеме на постоянную работу должна включать следующее:
· наличие у кандидата удовлетворительных рекомендаций;
· проверка резюме кандидата (на предмет полноты и точности);
· подтверждение наличия заявленного профессионального образования;
· независимая проверка личности (с помощью паспорта или заменяющего его документа).
Если работа (при начальном приеме или при продвижении по службе) предполагает доступ сотрудника к средствам обработки информации, в частности, к тем, которые обрабатывают конфиденциальную информацию, например, финансовую информацию или сведения с высокой степенью конфиденциальности, необходимо проверить также и кредитную историю сотрудника. Для сотрудников, работающих на руководящих должностях, такую проверку необходимо периодически повторять.
Подобную процедуру отбора следует проводить для подрядчиков и временных работников.
Все сотрудники и подрядчики должны быть знакомы с процедурами уведомления о различных типах инцидентов (уязвимостях, атаках и сбоях), которые могут повлиять на безопасность ресурсов организации.
Для этого необходимо утвердить формальную процедуру уведомления, а также процедуру реакции на инциденты, включающую в себя действия, которые должны выполняться при поступлении сообщения об инциденте.
Необходимо создать механизмы, позволяющие оценивать и проводить мониторинг инцидентов или сбоев, их масштаб и связанные с ними затраты. Полученная информация позволит ввести новые средства управления безопасностью или усовершенствовать существующие, а следовательно сократить частоту, масштаб и ущерб от возникновения подобных инцидентов в будущем.
Необходимо формально утвердить дисциплинарные взыскания для сотрудников, нарушивших процедуры и политику безопасности, принятую в организации.
Физическая защита и защита от воздействий окружающей среды (Часть 7-я)
С целью предотвращения неавторизованного доступа, повреждения и воздействия в отношении помещений и информации организации средства обработки критичной или конфиденциальной информации должны находиться на территории, защищенной созданным периметром безопасности.
Периметр безопасности - это нечто, создающее барьер для прохода людей. В состав такого периметра могут входить стены и контрольно - пропускные пункты. Расположение и степень защиты каждого такого барьера должны зависеть от результатов оценки рисков.
Вход на защищенную территорию должен быть должным образом ограничен.
Для этого, рекомендуется рассмотреть следующие меры:
· Специальные разрешения на вход и выход с территории
· Контроль доступа к конфиденциальной информации и средствам обработки такой информации
· Идентификационные знаки для сотрудников.
· Регулярное обновление права доступа к защищенным территориям.
При установке и защите оборудования необходимо снизить риск, связанный со стихийными бедствиями, и сократить вероятность доступа посторонних.
Для этого, рекомендуется применять следующие меры:
· Оборудование должно быть размещено так, чтобы максимально ограничить необязательный доступ к рабочим областям и уменьшить возможность подглядывания.
· Необходимо принять меры для минимизации риска возникновения различных потенциальных угроз, например: кража; пожар; взрывы; помехи в сети электропитания; электромагнитное излучение.
· Политика организации должна включать правила, касающиеся употребления пищи и напитков и курения рядом со средствами обработки информации.
Кроме этого, необходимо правильно выполнять все процедуры профилактического обслуживания оборудования, чтобы гарантировать его доступность и целостность в течение длительного срока.
Информацию и средства обработки информации необходимо защищать от раскрытия, кражи или модификации неавторизованными лицами. Для этого необходимо ввести меры, обеспечивающие сведение к минимуму риска их потери или повреждения
Организациям следует применять политику "чистого стола" в отношении бумажных документов и сменных носителей данных, а также политику "чистого экрана" в отношении средств обработки информации с тем, чтобы уменьшить риски неавторизованного доступа, потери и повреждения информации как во время рабочего дня, так и при внеурочной работе.
Оборудование, информация и программное обеспечение не должны вывозиться за пределы организации без разрешения. С целью выявления неавторизованных перемещений активов следует проводить выборочную инвентаризацию. Сотрудники должны быть осведомлены о том, что подобные проверки могут иметь место.
8 Управление передачей данных и операционной деятельностью
С целью обеспечения уверенности в надлежащем и безопасном функционировании средств обработки информации, необходимо определить правила и обязанности, связанные с использованием и управлением всех средств обработки информации.
Правила работы должны считаться официальными документами, изменить которые можно только с санкции руководства.
Описание правил должны содержать подробные инструкции по выполнению каждой задачи, включая:
· обработку информации и обращение с ней;
· требования к графику работы;
· необходимые действия в случае ошибок и других чрезвычайных ситуаций, которые могут возникнуть во время работы
· координаты сотрудников, к которым следует обращаться при возникновении непредвиденных затруднений в работе и проблем с оборудованием;
· инструкции по перезапуску и возобновлению работы системы в случае ее отказа.
Для минимизации риска при неправильном использовании систем вследствие небрежности или злого умысла, по возможности, необходимо реализовывать принцип разделения полномочий.
Для этого необходимо разделить среды разработки, тестирования и промышленной эксплуатации, а также разделить роли и функции сотрудников.
Рекомендуется рассмотреть следующие меры:
· По возможности средства разработки и программы, используемые в основной работе организации, должны работать на отдельных компьютерных процессорах или в разных каталогах.
· Действия, связанные с разработкой и тестированием, должны быть как можно больше отделены друг от друга.
· Для рабочих и тестовых систем необходимо использовать различные процедуры входа в систему, чтобы уменьшить вероятность ошибки. Пользователям рекомендуется выбирать для этих систем разных пароли и т.д.
В настоящее время для обмена деловой информацией широко используется электронная почта. Несмотря на ее преимущество, существует ряд рисков, которые организация должна учитывать при использовании электронной почты.
Риски включают в себя:
· уязвимость сообщений для несанкционированного доступа, модификации и атак;
· уязвимость к ошибкам (таким как неправильный ввод адреса или неправильная пересылка), а также уровень надежности и доступности самой службы в целом;
· юридические вопросы, например, потенциальная необходимость удостоверения отправителя, адресата, отправки и получения и т.д..
С целью снижения подобных рисков, в организации необходимо принять четкую политику, касающуюся использования электронной почты.
Данная политика должна охватывать следующие вопросы:
· атаки, связанные с электронной почтой, например, вирусы и перехват сообщений;
· защита файлов, передаваемых с помощью электронной почты;
· правила, касающиеся случаев, когда использовать электронную почту не следует;
· ответственность сотрудников за то, чтобы не компрометировать компанию (например, путем рассылки дискредитирующих или оскорбительных электронных сообщений);
· применение криптографических средств для защиты конфиденциальности и целостности электронных сообщений;
· сохранение сообщений, которые, будучи сохранены, могут быть восстановлены в случае возникновения судебного иска.
Кроме этого, следует уделять внимание защите целостности информации, опубликованной электронным способом, чтобы предотвратить неавторизованную модификацию, которая могла бы навредить репутации организации, поместившей эту информацию.
Программное обеспечение, данные и другую информацию, требующую высокого уровня целостности, доступ к которой осуществляется через системы публичного доступа, необходимо защищать адекватными способами, например, посредством цифровой подписи.
Кроме этого, в организации необходимо предусмотреть наличие процедур и мероприятий по управлению информационной безопасностью с целью защиты процесса обмена информацией посредством речевых и видеосредств коммуникаций.
Среди них можно выделить:
а) напоминание сотрудникам о необходимости принятия соответствующих мер предосторожности, например, для исключения подслушивания или перехвата информации при использовании телефонной связи
б) напоминание сотрудникам о том, что не следует вести конфиденциальные беседы в общественных местах, открытых офисах и в переговорных комнатах с тонкими стенами;
в) не оставлять сообщений на автоответчиках операторов связи, поскольку эти сообщения могут быть воспроизведены неавторизованными лицами и т.д.
Контроль доступа
Доступ к информации и бизнес-процессам должен быть контролируемым с учетом требований бизнеса и безопасности.
Необходимо разработать официальные правила распределения прав доступа к информационным системам и сервисам.
Эти правила должны охватывать все этапы цикла пользовательского доступа, от первоначальной регистрации новых пользователей до окончательного удаления регистрационных данных тех пользователей, которым больше не требуется доступ к информационным системам и сервисам.
Политика контроля доступа в совместно используемых сетях, в особенности в тех сетях, которые выходят за пределы организации, может требовать реализации средств ограничения возможностей подключения для пользователей. Вводимые ограничения должны быть основаны на политике доступа и на потребностях организации. Эти ограничения необходимо поддерживать и своевременно обновлять.
Вот примеры областей, для которых необходимо ввести ограничения:
· электронная почта;
· передача файлов;
· интерактивный доступ;
· сетевой доступ.
Для ограничения доступа к ресурсам компьютеров следует использовать средства защиты на уровне операционной системы.
Система должна поддерживать следующие средства:
· идентификация и проверка каждого авторизованного пользователя (при необходимости сюда может входить проверка терминала или местонахождения пользователя);
· запись сведений об успешных и неудачных попытках доступа к системе;
· поддержка паролей. При использовании паролей система должна гарантировать их надежность;
· при необходимости – ограничение времени подключения пользователей.
Дата добавления: 2015-10-29; просмотров: 1468;