Текст книги "Управление информационной безопасностью. Стандарты СУИБ"

7. Поддержка

Поддержка СУИБ определяется следующими составляющими:

– ресурсы;

– компетенции;

– осведомленность;

– коммуникации;

– документированная информация.

Ресурсы

Организация должна определить и предоставить ресурсы, необходимые для разработки, внедрения, сопровождения и постоянного улучшения СУИБ.

Компетенции

Организация должна:

– определять необходимую компетентность персонала, который самостоятельно выполняет работу, что влияет на результативность ИБ;

– обеспечить то, что этот персонал обладает необходимыми компетенциями на основе соответствующего обучения, тренингов или опыта;

– при необходимости принять меры для получения необходимых компетенций и оценить эффективность принятых мер;

– сохранять соответствующую документированную информацию в качестве доказательств наличия компетенций.

Соответствующие меры могут включать, например, проведение тренинга, наставничество или переаттестацию действующих сотрудников; или наем / привлечение по контракту компетентных лиц.

Осведомленность

Персонал, выполняющий работы в рамках организации, должен быть осведомлен:

– о политике ИБ;

– о вкладе в повышение результативности СУИБ, включая выгоды от улучшения состояния ИБ;

– о последствиях в результате не выполнения требований СУИБ.

Коммуникации

Организация должна определить необходимые внутренние и внешние коммуникации, относящиеся к СУИБ, включая:

– о чем сообщать;

– когда сообщать;

– кому сообщать;

– кто должен участвовать в коммуникациях;

– процессы осуществления коммуникаций.

Документированная информация

СУИБ организации должна включать документированную информацию:

– требуемую настоящим стандартом;

– определенную организацией в качестве необходимой для обеспечения результативности СУИБ.

Степень (детализация) документированной информации для СУИБ одной организации может отличаться от другой в зависимости от:

– размера организации и ее вида деятельности, процессов, продуктов и услуг;

– сложности процессов и их взаимодействия;

– компетенции персонала.

При создании и обновлении документированной информации организация должна обеспечить соответствующее:

– идентификацию и описание (например: название, дата, автор или ссылка);

– оформление (например: язык, версия ПО, рисунки) и тип носителя (например: электронный, бумажный);

– рассмотрение и утверждение на предмет пригодности для применения и адекватности.

Документированная информация СУИБ должна управляться для обеспечения:

– доступности и пригодности для использования;

– адекватной защиты (например: от потери конфиденциальности, неправильного использования или потери целостности).

Для управления документированной информацией организация должна рассмотреть следующие мероприятия (где применимо):

– распространение информации, доступ, восстановление и использование;

– хранение и сохранность, в том числе сохранение удобочитаемости;

– контроль изменений (например, управление версиями);

– архивирование и уничтожение.

Документированная информация внешнего происхождения, определенная организацией в качестве необходимой для планирования и функционирования СУИБ, должна соответствующим образом определяться и управляться.

Доступ предполагает принятия решения о доступе только на просмотр документированной информации или предоставлении полномочий для просмотра и внесения изменений в документированной информации и т. д.

8. Эксплуатация (2-й этап «РDСА»)

Этап эксплуатации СУИБ обеспечивают следующие мероприятия:

– оперативное планирование и контроль;

– оценка рисков ИБ;

– обработка рисков ИБ.

Оперативное планирование и контроль

Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований ИБ и реализации действий по обработке рисков и возможностей. Организация также должна выполнять планы по достижению целей ИБ.

Организация должна сохранять документированную информацию в объеме, необходимом для получения уверенности в том, что процессы осуществляются так, как запланировано.

Организация должна управлять планируемыми изменениями и рассматривать последствия случайных изменений, принимать меры по смягчению неблагоприятных последствий при необходимости.

Организация должна обеспечить, что переданные на аутсорсинг процессы определены и управляются.

Оценка рисков ИБ

Организация должна выполнять оценку рисков ИБ через запланированные интервалы времени, либо в случае предполагающихся или уже происходящих существенных изменений, с учетом установленных критериев.

Организация должна сохранять документированную информацию о результатах оценки рисков ИБ.

Обработка рисков ИБ

Организация должна реализовать план обработки рисков ИБ. Организация должна сохранять документированную информацию о результатах обработки рисков ИБ.

9. Оценка результативности (3-й этап «РDСА»)

Этап оценки результативности СУИБ обеспечивают следующие мероприятия:

– мониторинг, измерение, анализ и оценка;

– внутренний аудит;

– анализ со стороны руководства.

Мониторинг, измерение, анализ и оценка

Организация должна оценивать состояние ИБ и результативность СУИБ.

Организация должна определить:

– что необходимо отслеживать и измерять, в том числе процессы ИБ и элементы управления;

– методы мониторинга, измерения, анализа и оценки, в зависимости от обстоятельств, в целях обеспечения достоверных результатов;

– когда должны проводиться действия по мониторингу и измерениям;

– кто должен осуществлять мониторинг и измерения;

– когда результаты мониторинга и измерений должны быть проанализированы и оценены;

– кто должен анализировать и оценивать эти результаты.

Организация должна сохранять соответствующую документированную информацию в качестве подтверждения результатов мониторинга и измерений.

Внутренний аудит

Организация должна проводить внутренние аудиты через запланированные промежутки времени для получения информации о состоянии СУИБ:

– на предмет соответствия собственным требованиям организации для своей СУИБ и требованиям настоящего стандарта;

– с целью оценки результативности внедрения и поддержки.

Перед проведением аудита организация должна определить программу, критерии и сферу применения для каждого аудита, а также аудиторов.

Программа аудита должна включать методы, распределение ответственности, требования к планированию и отчетности и учитывать важность процессов и результаты предыдущих аудитов.

Организация должна обеспечить:

– объективность и беспристрастность процесса аудита;

– направление результатов аудитов руководству соответствующего уровня;

– хранение документированной информации как свидетельства о программе аудита и результатах аудита.

Анализ со стороны руководства

Высшее руководство должно анализировать СУИБ организации через запланированные интервалы времени для обеспечения ее постоянной пригодности, адекватности и результативности.

Анализ со стороны руководства должен включать следующее:

– статус действий по результатам предыдущих анализов со стороны руководства;

– изменения внешних и внутренних аспектов, которые имеют отношение к СУИБ;

– обратную связь о состоянии ИБ, включая:

• несоответствия и корректирующие действия;

• результаты мониторинга и измерений;

• результаты аудита;

• результат достижения целей ИБ;

– обратную связь от заинтересованных сторон;

– результаты оценки рисков и статус выполнения плана по обработке рисков;

– возможности для постоянного улучшения.

Выводы анализа со стороны руководства должны включать решения, связанные с реализацией возможностей постоянного улучшения, и любые необходимые изменения в СУИБ.

Организация должна сохранять документированную информацию в качестве свидетельства о результатах анализа со стороны руководства.

10. Улучшение (4-й этап «РDСА»)

Этап улучшения СУИБ обеспечивают следующие мероприятия:

– корректирующие действия;

– постоянное улучшение.

Корректирующие действия

При появлении несоответствия организация должна:

– реагировать на несоответствие и в зависимости от обстоятельств принять меры по его управлению и исправлению или проработать последствие;

– оценить необходимость принятия действий для устранения причин несоответствия с целью предотвращения его повторения или появления в другом месте, для этого:

• изучить несоответствие;

• определить причину несоответствия;

• определить, существуют ли подобные несоответствия или потенциальные возможности их возникновения;

– реализовать любые необходимые корректирующие действия;

– проанализировать результативность выполненных корректирующих действий;

– при необходимости внести изменения в СУИБ.

Корректирующие действия должны быть адекватными последствиям выявленных несоответствий. Организация должна сохранять документированную информацию как свидетельства о:

– характере несоответствий;

– любых корректирующих действиях;

– результатах корректирующих действий.

Постоянное улучшение

Организация должна постоянно улучшать пригодность, адекватность и результативность СУИБ.

3. Свод правил управления ИБ
(стандарт ISO/IEC 27002:2013)

В 2000 году первая часть британского национального стандарта BS 7799—1 «Практические правила управления ИБ» была принята в качестве международного стандарта ISO/IEC 17799 «ИТ. Практические правила управления ИБ». В 2005 году на его основе был разработан новый международный стандарт ISO/IЕС 27002 «ИТ. Meтоды защиты. Свод норм и правил управления ИБ», который был опубликован в июле 2007 года. Последнее обновление стандарта состоялось 25 сентября 2013 года.

Стандарт предлагает рекомендации и основные принципы введения, реализации, поддержки и улучшения СУИБ в организации. Он может служить практическим руководством по разработке стандартов безопасности организации, для эффективной практики УИБ организаций и способствует укреплению доверия в отношениях между организациями.

Стандарт состоит из 14 разделов, посвященных мерам безопасности, которые все вместе содержат, в целом, 34 основные категории безопасности и 114 мер защиты:

1) политика ИБ (1);

2) организация ИБ (2);

3) безопасность, связанная с персоналом (3):

4) управление активами (3);

5) управление доступом (4);

6) криптография (1);

7) физическая и экологическая безопасность (2);

8) безопасность операций (7);

9) безопасность связи (2);

10) приобретение, разработка и поддержка ИС (3);

11) взаимоотношения с поставщиками (2);

12) управление инцидентами ИБ (1);

13) аспекты ИБ при управлении непрерывностью бизнеса (2);

14) соответствие требованиям (2).

Каждая основная категория безопасности включает в себя:

– цель ИБ;

– меры достижения этой цели.

Описание мер ИБ структурируется таким образом:

– меры и средства ИБ;

– рекомендации по их реализации.

1. Политика ИБ

1.1. Руководящие положения для ИБ

Цель: Реализовать требования политики ИБ и обеспечить поддержку для ИБ в соответствии с требованиями бизнеса и действующим законодательством.

Политика ИБ предполагает следующие мероприятия:

– документирование;

– пересмотр.

Документирование

Меры и средства

Политика ИБ документируется оформлением, утверждением, публикованием и доведением до персонала и внешних заинтересованных сторон.

Рекомендации по реализации

В лучшем случае, политика ИБ должна устанавливать ответственность руководства, а также излагать подход организации к УИБ.

Политика ИБ должна содержать требования:

– стратегии бизнеса;

– законодательства и договорных обязательств;

– защиты от существующих и потенциальных угроз ИБ.

Политика ИБ должна содержать положения по:

– определению ИБ, ее целей и принципов для руководства действиями по обеспечению ИБ;

– определению ответственности разных ролей с учетом специфики управления ИБ;

– изложения намерений руководства, поддерживающих цели и принципы ИБ в соответствии со стратегией и целями бизнеса;

– процессов управления изменениями и исключениями.

В худшем случае, политика ИБ должна поддерживаться специализированными политиками, направленными на внедрение управления ИБ и созданными специально для целевых групп внутри организации или выполнения конкретных задач.

Примерами таких задач могут быть:

– управление доступом;

– классификация активов;

– физическая и экологическая безопасность;

– следующие требования к пользователям:

• использование активов;

• чистый стол и чистый экран;

• политика коммуникаций;

• мобильные устройства и удалённая работа;

• ограничения на установку ПО;

– передача информации;

– защита от вредоносного ПО;

– управление техническими уязвимостями;

– управление средствами криптографии;

– безопасность коммуникаций;

– защита персональных данных;

– взаимоотношения с поставщиками.

Эти политики должна быть доведены до сведения персонала в рамках всей организации и сторонних организаций в актуальной, доступной и понятной форме путем проведения инструктажей и тренингов.

Если какие-либо политики ИБ должны применяться за пределами организации, в них не должна содержаться конфиденциальная информация.

В качестве названий политик ИБ могут использоваться такие термины, как стандарт, руководство или правила.

Пересмотр

Меры и средства

Политика ИБ должны быть пересмотрены через запланированные промежутки времени или в случае изменений с целью обеспечения ее постоянной пригодности, адекватности и эффективности.

Рекомендации по реализации

Политика ИБ должна иметь владельца, который утвержден руководством в качестве ответственного за разработку, пересмотр и оценку. Пересмотр заключается в оценке возможностей по улучшению политики ИБ организации и подхода к УИБ в ответ на изменения организационной среды, обстоятельств бизнеса, правовых условий или технической среды.

При пересмотре политики ИБ следует учитывать результаты пересмотров методов управления, для чего должны существовать определенные процедуры, в том числе график или период пересмотра.

2. Организация ИБ

Организацию ИБ определяют следующие составляющие:

– внутренняя организация;

– мобильные устройства и удалённая работа.

2.1. Внутренняя организация

Цель: Создать структуру управления для инициирования и управления внедрением и обеспечением ИБ в организации.

Внутренняя организация сферы ИБ предполагает следующие мероприятия:

– определение ответственности;

– разделение обязанностей;

– контакт с властями;

– контакт со специальными группами.

Определение ответственности

Меры и средства

Все ответственности в поле ИБ должны быть определены и закреплены.

Рекомендации по реализации

Закрепление ответственности должно соответствовать политике ИБ. Ответственности за защиту индивидуальных активов и осуществления процессов ИБ должны быть определены. Ответственности за действия по управлению рисками ИБ и, в частности, принятие остаточного риска должны быть определены. Эти ответственности должны быть дополнительно детализированы, при необходимости, для специфических мест и средств обработки информации.

Ответственные лица могут делегировать некоторые задачи безопасности другим. Впрочем они все равно несут за это ответственность, поэтому должны обеспечить правильное оформление такого делегирования.

Сферы ответственности должны быть зафиксированы.

В частности, необходимо учесть следующее:

– активы и процессы ИБ должны быть идентифицированы и определены;

– личная ответственность за каждый актив и процесс ИБ должна быть обозначена и ее детали задокументированы;

– уровни авторизации должны быть определены и задокументированы;

– назначенные быть ответственными в сфере ИБ должны быть компетентными и в курсе всех событий в этой сфере;

– координация и контроль аспектов ИБ взаимотношений с поставщиками должны быть идентифицированы и задокументированы.

Многие организации назначают отдельного менеджера по ИБ, возлагая на него всю ответственность за разработку и внедрение ИБ и поддержку актуальности мер и средств ИБ. Одной из распространенных практик является назначение владельца каждого актива, отвечающего за его безопасность.

Разделение обязанностей

Меры и средства

Противоречивые обязанности и зоны ответственности должны быть разделены для снижения возможностей несанкционированного изменения или неправильного использования активов организации.

Рекомендации по реализации

Следует четко обозначить, что никто не может получить доступ к использованию и модификации активов без идентификации и аутентификации. Инициация события должна быть отделена от его авторизации. Возможность сговора должна быть учтена при выборе мер защиты.

В маленьких организациях сложно обеспечить разделение обязанностей, но принцип разделения должен быть применен настолько, насколько это возможно.

Разделение обязанностей является методом снижения риска случайного или преднамеренного нанесения вреда активам организации.

Контакт с властями

Меры и средства

Необходимые контакты с органами власти должны поддерживаться.

Рекомендации по реализации

В организациях должны применяться процедуры, определяющие, когда и с какими инстанциями (например правоохранительными, пожарными и надзорными органами) необходимо вступить в контакт, и каким образом следует своевременно сообщать о выявленных инцидентах ИБ, если есть подозрение о возможности нарушения закона.

Организациям, подвергающимся атаке через Интернет, может потребоваться привлечение сторонней организации (например интернет-провайдера или оператора телекоммуникаций) для принятия мер защиты от атаки.

Контакт со специальными группами

Меры и средства

Должны поддерживаться надлежащие контакты со специальными группами или форумами специалистов в области ИБ, а также профессиональными ассоциациями.

Рекомендации по реализации

Членство в группах или форумах следует рассматривать как средство для:

– повышения знания о «передовом опыте» и достижений ИБ на современном уровне;

– обеспечения уверенности в том, что понимание проблем ИБ является современным и полным;

– получения раннего оповещения в виде предупреждений, информационных сообщений и патчей¹, касающихся атак и уязвимостей;

– возможности получения консультаций специалистов по вопросам ИБ;

– совместного использования и обмена информацией о новых технологиях, продуктах, угрозах или уязвимостях;

– организация подходящих связей для обеспечения обработки инцидентов ИБ.

Соглашения об информационном обмене должны обеспечить улучшение кооперации и координации действий в сфере безопасности. Эти соглашения должны определить требования по защите конфиденциальной информации.

¹ Патч – блок изменений для оперативного исправления или нейтрализации ошибки в исполняемой программе. чаще всего поставляемый (или размещаемый на сайте разработчика) в виде небольшой программы, вставляющей исправления в объектный код соответствующих модулей приложения.

ИБ при управлении проектом

Меры и средства

ИБ должна обеспечиваться при управлении проектом, независимо от его типа.

Рекомендации по реализации

ИБ должна быть интегрирована|интегрированной, комплексной| в метод управления проектом|структуры|, чтобы гарантировать, что|который| риски|рисковый| ИБ идентифицированы|опознает| и являются частью проекта. Это относится к любому проекту, независимо от его содержания.

Метод управления проектом при использовании должен требовать, чтобы|который|:

– цели|задача| ИБ входили в проектные цели|задачу|;

– оценка риска|рисковый| ИБ проводилась|ведет| на ранней стадии проекта, чтобы идентифицировать|опознать| необходимые меры защиты|контроль, управляет|;

– ИБ была частью всех фаз|стадии| используемой проектной методологии.

Требования|импликацию| ИБ должны обеспечиваться и пересматриваться регулярно во всех проектах. Ответственность за ИБ нужно определить и применить к ролям, определенным методами управления проектом.

2.2. Мобильные устройства и удалённая работа

Цель: обеспечить безопасность удалённой работы и использования мобильных устройств.

Этот раздел рассматривает обеспечение ИБ при использовании:

– мобильных устройств;

– удалённой работы.

Мобильные устройства

Меры и средства

Политика и меры безопасности должны обеспечить управление рисками, связанными с использованием мобильных устройств.

Рекомендации по реализации

При использовании мобильных устройств необходимо уделить внимание тому, чтобы не скомпрометировать бизнес-информацию. Политика мобильных устройств должна учитывать риски работы с мобильными устройствами в незащищенной среде.

Политика мобильных устройств должна рассматривать:

– регистрацию мобильных устройств;

– требования физической защиты;

– ограничения на установку ПО;

– требования к версиям ПО мобильных устройств и применению патчей;

– ограничения на подключение к информационным сервисам;

– управление доступом;

– криптографические средства;

– защита от вредоносного ПО;

– дистанционное выключение, удаление или блокировку;

– резервное копирование;

– использование веб-сервисов и веб-приложений.

Следует проявлять осторожность при использовании мобильных устройств в общедоступных местах, конференц-залах и других незащищенных местах. Необходимо обеспечить защиту от несанкционированного доступа или раскрытия информации, хранимой и обрабатываемой этими устройствами, например с помощью средств криптографии.

Мобильные устройства необходимо также физически защищать от краж, особенно когда их оставляют в автомобилях или других видах транспорта, гостиничных номерах, конференц-залах и местах встреч. Для случаев потери или кражи мобильных устройств должна быть установлена специальная процедура, учитывающая законодательные, страховые и другие требования безопасности организации.

Устройства, в котором переносится важная, чувствительная или критическая информация бизнеса, не следует оставлять без присмотра и, по возможности, для обеспечения безопасности устройства должны быть физически заблокированы или использованы специальные замки.

Необходимо провести обучение сотрудников, использующих мобильные устройства, с целью повышения осведомленности о дополнительных рисках, связанных с таким способом работы, и мерах защиты, которые должны быть выполнены.

Там, где политика мобильных устройств разрешает использование личных мобильных устройств, политика и связанные с ней меры безопасности должны предусмотреть:

– разделение личного и делового использования устройств с применением ПО, которое поддерживает разделение и защищает бизнес-данные на личном устройстве;

– предоставление доступа пользователей к бизнес-информации только после заключения трудового договора, определяющего их обязанности (физическая защита, обновление ПО и т.д.), отказ в собственности на бизнес-данные, разрешение на удаленное уничтожение организацией данных в случае кражи или потери устройства или после завершения срока использования сервиса. Эта политика разрабатывается с учетом законодательства о конфиденциальности.

Беспроводная коммуникация мобильных устройств похожа на другие типы сетевой коммуникации, но имеют важные отличия, которые надо учитывать при выборе мер защиты.

Типовые различия:

– некоторые протоколы беспроводной безопасности несовершенны и имеют известные недостатки;

– невозможность резервного копирования информации, хранящейся на мобильных устройствах, из-за ограниченной сетевой пропускной способности или отсутствия подключения мобильных устройств во время запланированного копирования.

Удалённая работа

Меры и средства

Должна быть принята политика и меры по обеспечению ИБ для защиты доступа к информации, ее обработки и хранения при удаленной работе.

Рекомендации по реализации

Организация, использующая удаленную работу, должна разработать политику, определяющую условия и ограничения такой работы. При этом необходимо принимать во внимание следующее:

– существующую физическую безопасность места удаленной работы, включая физическую безопасность здания и окружающей среды;

– предлагаемые условия удаленной работы;

– требования в отношении безопасности коммуникаций, учитывая потребность в удаленном доступе к внутренним системам организации, чувствительность информации, к которой будет осуществляться доступ, и чувствительность внутренней системы;

– внедрение доступа к виртуальному рабочему столу, предотвращающего обработку и хранение информации на личном оборудовании;

– угрозу несанкционированного доступа к информации или ресурсам со стороны других лиц, находящихся в месте удаленной работы, например членов семьи и друзей;

– использование домашних компьютерных сетей, а также требования или ограничения в отношении конфигурации услуг беспроводных сетей;

– политики и процедуры защиты прав интеллектуальной собственности, разработанной на личном оборудовании;

– доступ к личному оборудованию, который может быть запрещен законодательно (для определения безопасности машины или на время расследования);

– лицензионные соглашения в отношении ПО, что касается ответственности за лицензирование клиентского ПО на рабочих станциях, являющихся личной собственностью сотрудников или внешних организаций;

– требования в отношении антивирусной защиты и межсетевых экранов.

Руководства и соглашения должны содержать следующее:

– предоставление необходимого оборудования и материалов для удаленной работы, где используется личное оборудование, не контролируемое организацией;

– определение разрешенной работы, часов работы, внутренних систем и сервисов, задействованных при удаленной работе, и классификация обрабатывающейся информации;

– предоставление приемлемого коммуникационного оборудования, в том числе безопасного удаленного доступа;

– физическую безопасность;

– роли и директивы семейного и гостевого доступа к оборудованию и информации;

– обслуживание и поддержку аппаратного и программного обеспечения;

– предоставление страховки;

– процедуры резервного копирования и непрерывности бизнеса;

– аудит и мониторинг безопасности;

– аннулирование пользователя, его прав доступа и возврат оборудования после завершения удаленной работы.