Текст книги "Информационная безопасность. Национальные стандарты Российской Федерации"

Национальный стандарт ГОСТ Р ИСО/МЭК 27002–2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности» введен в действие с 01.01.2014 г. взамен ранее принятого стандарта ГОСТ Р ИСО/МЭК 17799–2005. Он идентичен международному стандарту ISO/IEC 27002:2005 «Information technology – Security techniques – Code of practice for information security management».

Стандарт предлагает рекомендации и основные принципы введения, реализации, поддержки и улучшения менеджмента информационной безопасности в организации. Цели, изложенные в нем, обеспечивают полное руководство по общепринятым целям менеджмента информационной безопасности. Он может служить практическим руководством по разработке стандартов безопасности организации, для эффективной практики менеджмента безопасности организаций.

Стандарт вводит ряд терминов в предметной области.

Мера и средство контроля и управления – средство менеджмента риска, включающее в себя политики, процедуры, рекомендации, инструкции или организационные структуры, которые могут быть административного, технического, управленческого или правового характера.

Политика – общее намерение и направление, официально выраженное руководством.

Риск – сочетание вероятности события и его последствий.

Анализ риска – систематическое использование информации для определения источников и количественной оценки риска.

Обработка риска – процесс выбора и осуществления мер по модификации риска.

Угроза – потенциальная причина нежелательного инцидента, результатом которого может быть нанесение ущерба системе или организации.

Уязвимость – слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.

Стандарт состоит из следующих разделов, посвященных мерам и средствам контроля и управления безопасностью:

• политика безопасности;

• организационные аспекты информационной безопасности;

• менеджмент активов;

• безопасность, связанная с персоналом;

• физическая защита и защита от воздействия окружающей среды;

• менеджмент коммуникаций и работ;

• управление доступом;

• приобретение, разработка и эксплуатация ИС;

• менеджмент инцидентов информационной безопасности;

• менеджмент непрерывности бизнеса;

• соответствие.

Кроме того, стандарт дает рекомендации по оценке и обработке рисков. Оценка рисков должна идентифицировать риски, определить количество и приоритеты рисков на основе критериев для принятия риска и целей, значимых для организации. Оценки рисков следует выполнять периодически, чтобы учитывать изменения в требованиях безопасности и в ситуации, связанной с риском.

В отношении каждого из выявленных рисков, вслед за оценкой рисков, необходимо принимать решение по его обработке. Возможные варианты обработки рисков включают в себя:

• применение соответствующих мер и средств контроля и управления для снижения рисков;

• сознательное и объективное принятие рисков в том случае, если они удовлетворяют политике и критериям организации в отношении принятия рисков;

• предотвращение рисков путем недопущения действий, которые могут стать причиной возникновения рисков;

• перенос взаимодействующих рисков путем разделения их с другими сторонами, например страховщиками или поставщиками.

Стандарт дает рекомендации по разработке и реализации политики информационной безопасности организации (ПИБ). Политика должна быть утверждена руководством, издана и доведена до сведения всех сотрудников организации и соответствующих сторонних организаций. ПИБ должна устанавливать ответственность руководства, а также излагать подход организации к менеджменту информационной безопасности и содержать положения относительно:

• определения информационной безопасности, ее общих целей и сферы действия;

• изложения намерений руководства, поддерживающих цели и принципы ИБ в соответствии со стратегией и целями бизнеса;

• подхода к установлению мер и средств контроля и управления и целей их применения, включая структуру оценки риска и менеджмента риска;

• краткого разъяснения наиболее существенных для организации политик безопасности, принципов, стандартов и требований соответствия;

• определения общих и конкретных обязанностей сотрудников в рамках менеджмента ИБ, включая информирование об инцидентах безопасности;

• ссылок на документы, дополняющие ПИБ, например более детальные политики и процедуры безопасности для определенных информационных систем, а также правила безопасности, которым должны следовать пользователи.

Политика информационной безопасности должна пересматриваться либо через запланированные интервалы времени, либо в случае значительных изменений внутри организации или в ее окружении.

В организационном плане стандарт рекомендует необходимость создания структуры менеджмента для инициирования и контроля обеспечения ИБ в организации. Высшее руководство должно назначать ответственных лиц в области политики ИБ, а также координировать и анализировать внедрение информационной безопасности в организации. Следует четко определять обязанности по защите отдельных активов и выполнению конкретных процессов, связанных с информационной безопасностью.

В стандарте даны рекомендации по заключению соглашений о конфиденциальности или неразглашении полученной информации, в которых необходимо учитывать ряд факторов:

• определение информации, подлежащей защите;

• предполагаемый срок действия соглашения;

• необходимые действия при окончании срока действия соглашения;

• обязанности и действия лиц, подписавших соглашение;

• разрешенное использование конфиденциальной информации и права лиц, подписавших соглашение, в отношении использования информации;

• право подвергать аудиту и мониторингу деятельность, связанную с конфиденциальной информацией;

• процедуру предупреждения и сообщения о несанкционированном разглашении или нарушениях, связанных с конфиденциальной информацией;

• условия возврата или уничтожения информации в случае приостановления действия соглашения;

• предполагаемые действия, которые должны быть предприняты в случае нарушения данного соглашения.

В стандарте предусмотрено также применение соответствующих процедур, определяющих, когда и с какими инстанциями (правоохранительными, пожарными, надзорными органами и т. п.) необходимо вступить в контакт и каким образом следует своевременно сообщать о выявленных инцидентах информационной безопасности, если есть подозрение о возможности нарушения закона.

В плане реализации организационных мероприятий стандарт дает рекомендации по аспектам взаимодействия со сторонними организациями (идентификация рисков от сторонних организаций, вопросы безопасности при работе с клиентами и при заключении договоров с третьей стороной).

Все активы организации должны быть определены и иметь назначенного владельца, отвечающего за его защиту.

В плане обеспечения безопасности, связанной с персоналом, стандарт рекомендует для всех сотрудников и подрядчиков четко определять роли и обязанности в области ИБ и оформлять их документально. В организации должен существовать формальный дисциплинарный процесс, применяемый в отношении сотрудников, совершивших нарушение безопасности.

Для всех кандидатов на постоянную работу и подрядчиков должна проводиться проверка согласно соответствующим законам, инструкциям и правилам этики, пропорционально требованиям бизнеса, классификации информации, к которой будет осуществляться доступ, и предполагаемым рискам.

Целями обеспечения физической безопасности и защиты от воздействий окружающей среды является предотвращение неавторизованного физического доступа, повреждения и воздействия в отношении помещений и информации организации. Уровень защищенности должен быть соразмерен выявленным рискам.

Целью менеджмента коммуникаций и работ является обеспечение уверенности в надлежащем и безопасном функционировании средств обработки информации. Должны быть установлены обязанности и процедуры в отношении управления и эксплуатации всех средств обработки информации, включая также разработку соответствующих эксплуатационных процедур. Здесь же следует обратить внимание на защиту информации в сетях и защиту поддерживающей сетевой инфраструктуры, включая меры и средства контроля и управления сетями и обеспечение безопасности сетевых услуг

Должны быть определены также соответствующие процедуры и средства контроля и управления в отношении обработки, хранения и обмена информацией при использовании средств связи, защиты документов, компьютерных носителей информации и системной документации от неавторизованного раскрытия, модификации, выноса и уничтожения.

Доступ к информации, средствам обработки информации и процессам бизнеса должен быть управляемым с учетом требований бизнеса и безопасности. Правила управления доступом и права каждого пользователя или группы пользователей должны быть четко сформулированы в политике управления доступом.

Стандарт дает подробные рекомендации в области управления доступа:

• к сети и сетевым устройствам;

• к эксплуатируемым информационным системам;

• к информации и прикладным программам;

• к средствам мобильной вычислительной техники и связи.

Один из разделов стандарта посвящен мерам и средствам контроля и управления безопасностью при приобретении, разработке и эксплуатации информационных систем, включая использование криптографических средств, аутсорсинг разработки программного обеспечения, управление техническими уязвимостями.

В качестве одной из важнейших мер управления инцидентами ИБ стандарт рекомендует устанавливать обязанности должностных лиц по обеспечению быстрого, эффективного и должного реагирования на инциденты информационной безопасности. Должны быть созданы механизмы, позволяющие установить типы, объемы и убытки, вызванные инцидентами ИБ, с целью извлечения соответствующих уроков и принятия дополнительных мер управления.

При внедрении СМИБ необходимо обеспечить соответствие требованиям законодательства, стандартам, утвержденным политиками безопасности.

Стандарт содержит также рекомендации по реализации аудита СМИБ.

Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27003–2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности» введен в действие с 01.12.2013 г. Он идентичен международному стандарту ISO/IEC 27003:2010 «Information technology – Security techniques – Information security management systems implementation guidance».

В стандарте рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения системы менеджмента информационной безопасности (СМИБ) в соответствии со стандартом ИСО/МЭК 27001. Он предназначен для использования в сочетании со стандартами 27001 и 27002.

Внедрение СМИБ является важным видом деятельности и обычно осуществляется в организации как проект. Процесс внедрения СМИБ согласно стандарту включает пять фаз:

• получение одобрения руководства для запуска проекта СМИБ;

• определение области действия СМИБ, границ и политики СМИБ;

• проведение анализа требований организации к информационной безопасности;

• проведение оценки рисков и планирование обработки рисков;

• разработка СМИБ.

Каждая из этих фаз подробно описана в соответствующих разделах стандарта (разделы с 5 по 9).

Область действия СМИБ определяется с помощью ответов на следующие вопросы:

1. Что является важнейшими сферами деятельности предприятия и организации?

2. Какие у организации существуют взаимоотношения и соглашения с третьими сторонами?

3. Какая информация является наиболее важной для организации?

4. Какими могли бы быть возможные последствия при разглашении определенной информации?

5. Какие законы, контрактные соглашения и отраслевые требования, относящиеся к ИБ, применяются в организации?

6. Какие нужны виды защиты и от каких угроз?

7. Для каких отдельных категорий информации требуется защита?

8. Каковы отдельные типы информационной деятельности, требующие защиты?

Окончательный документ, описывающий область действия и границы СМИБ, должен содержать следующую информацию:

• ключевые характеристики организации;

• процессы в организации, находящиеся в области действия СМИБ;

• конфигурация оборудования и сетей, находящихся в области действия СМИБ;

• перечень активов, находящихся в области действия СМИБ;

• схемы объектов, находящихся в области действия СМИБ, определяющие физические границы СМИБ;

• описание ролей и сфер ответственности в рамках СМИБ и их связи со структурой организации.

На этапе внедрения СМИБ необходимо провести анализ текущего состояния ИБ и определить подробные требования к ней. Стандарт рекомендует разработать политику информационной безопасности, которая документирует стратегическую позицию организации в отношении информационной безопасности.

Организация может иметь несколько политик, по одной для каждой сферы деятельности. Политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику ИБ и политику системы менеджмента ИБ. В свою очередь, политика ИБ может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам ИБ (контроля доступа, использования сетевых служб, криптографических средств, резервного копирования, лицензирования программного обеспечения и т. п.).

Стандарт рекомендует следующую структуру политик.

1. Краткое изложение политики – общее описание из одного-двух предложений. (Иногда может объединяться с введением.)

2. Введение – краткое объяснение предмета политики.

3. Область действия – описание частей или действий организации, находящихся под влиянием политики. При необходимости в этом пункте перечисляются другие политики, подкрепляемые данной политикой.

4. Цели – описание назначения политики.

5. Принципы – описание правил, касающихся действий и решений, принимаемых для достижения целей. В некоторых случаях может быть полезным определить ключевые процессы, связанные с предметом политики, и затем правила выполнения процессов.

6. Сферы ответственности – кто отвечает за действия по выполнению требований политики. В некоторых случаях этот пункт может содержать описание организационных соглашений, а также сферы ответственности лиц с определенными ролями.

7. Ключевые результаты – описание результатов, получаемых предприятием, если цели достигнуты.

8. Связанные политики – описание других политик, относящихся к достижению целей, обычно с представлением дополнительных подробностей, касающихся отдельных предметов.

Внедрение СМИБ должно периодически оцениваться путем внутреннего или независимого аудита. Внутренний аудит должен осуществляться для оценки соответствия СМИБ требованиям ГОСТ 27001, законам, нормам и требованиям к ИБ, эффективно ли они внедряются и поддерживаются. Аудит не проводится сотрудниками, которые были заняты в планировании и разработке целей безопасности, поскольку сложно найти свои собственные ошибки. В качестве аудиторов руководство должно привлекать подразделения организации или сотрудников, находящихся вне области действия внутреннего аудита СМИБ.

Когда организация привлекает внешних аудиторов, следует принять во внимание следующее: внешние аудиторы хорошо знакомы с процедурой внутреннего аудита СМИБ, однако не обладают достаточными знаниями об организационной среде организации. Эта информация должна быть им предоставлена.

При проведении аудита следует руководствоваться документом ГОСТ Р ИСО/МЭК 27006–2008 «Требования к организациям, проводящим аудит и сертификацию СМИБ».

В стандарте приведен пример документа «Политика информационной безопасности».

Краткое изложение политики

Информация всегда должна быть защищена независимо от ее формы и способа ее распространения, передачи и хранения.

Введение

Информация может существовать во многих формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных устройств, показываться на пленках или передаваться устно в процессе общения.

Информационная безопасность – это защита информации от различных угроз, призванная обеспечить непрерывность бизнес-процессов, минимизировать риск для бизнеса, максимизировать возвращение вложений и обеспечить возможности деловой деятельности.

Область действия

Данная политика подкрепляет общую политику безопасности организации. Данная политика применяется ко всем сотрудникам организации.

Цели информационной безопасности

1. Понимание и обработка стратегических и оперативных рисков для информационной безопасности, чтобы они были приемлемы для организации.

2. Защита конфиденциальности информации клиентов, разработок продукции и планов маркетинга.

3. Сохранение целостности материалов бухгалтерского учета.

4. Соответствие общих веб-сервисов и внутренних сетей необходимым стандартам доступности.

Принципы информационной безопасности

1. Данная организация способствует принятию рисков и преодолевает риски, которые не могут преодолеть организации с консервативным управлением, при условии понимания, мониторинга и обработки рисков для информации при необходимости. Подробное описание подходов, применяемых для оценки и обработки рисков, можно найти в политике СМИБ.

2. Весь персонал должен быть осведомлен и подотчетен за информационную безопасность в отношении своих должностных обязанностей.

3. Необходимо принять меры для финансирования средств управления информационной безопасностью и процессов управления проектами.

4. Возможности мошенничества и злоупотреблений в области информационных систем должны быть приняты в расчет при общем управлении информационными системами.

5. Отчеты о состоянии информационной безопасности должны быть доступны.

6. Необходимо отслеживать риски для информационной безопасности и предпринимать действия, когда изменения приводят к возникновению непредвиденных рисков.

7. Критерии классификации рисков и приемлемости рисков можно найти в политике СМИБ.

8. Ситуации, которые могут привести организацию к нарушению законов и установленных норм, не должны допускаться.

Сферы ответственности

1. Группа руководителей высшего звена отвечает за обеспечение соответствующей проработки информации во всей организации.

2. Каждый руководитель высшего звена отвечает за то, чтобы сотрудники, работающие под его руководством, осуществляли защиту информации в соответствии со стандартами организации.

3. Начальник отдела безопасности консультирует группу руководителей высшего звена, оказывает экспертную помощь сотрудникам организации и обеспечивает доступность отчетов о состоянии информационной безопасности.

4. Каждый сотрудник организации отвечает за информационную безопасность как часть выполнения своих должностных обязанностей.

Ключевые результаты

1. Инциденты информационной безопасности не должны приводить к серьезным непредвиденным затратам или серьезным срывам работы служб и деятельности предприятия.

2. Потери из-за мошенничества должны быть известны и находиться в рамках приемлемых ограничений.

3. Вопросы информационной безопасности не должны оказывать неблагоприятного влияния на прием заказчиками продукции и услуг.

Связанные политики

Следующие детальные политики содержат принципы и рекомендации по отдельным аспектам информационной безопасности:

1. Политика системы менеджмента информационной безопасности (СМИБ).

2. Политика контроля доступа.

3. Политика чистого стола и чистого экрана.

4. Политика неразрешенного программного обеспечения.

5. Политика, касающаяся получения файлов программного обеспечения из внешних сетей или через них.

6. Политика, касающаяся мобильного кода.

7. Политика резервного копирования.

8. Политика, касающаяся обмена информацией между организациями.

9. Политика, касающаяся допустимого использования электронных средств связи.

10. Политика сохранения записей.

11. Политика использования сетевых служб.

12. Политика, касающаяся мобильных вычислений и связи.

13. Политика дистанционной работы.

14. Политика использования криптографического контроля.

15. Политика соответствия.

16. Политика лицензирования программного обеспечения.

17. Политика удаления программного обеспечения.

18. Политика защиты и секретности данных.