Управление информационной безопасностью

Управление информационной безопасностью

Практические правила

СОДЕРЖАНИЕ

Предисловие

Введение

Что такое информационная безопасность?

Почему необходимо защищаться?

Сруктура документа

Все ли средства управления безопасностью применимы?

Ключевые средства контроля

Задание требований к информационной безопасности организации

Оценка рисков нарушения безопасности

Факторы, необходимые для успеха

Разработка собственных рекомендаций

Раздел 0 Общие положения

Назначение

Информативные ссылки

Термины и определения

Раздел 1 Политика безопасности

Политика информационной безопасности

Раздел 2 Организация защиты

Инфраструктура информационной безопасности

Безопасность доступа сторонних организаций

Идентификация рисков, связанных с подключениями сторонних организаций

Условия безопасности в контрактах, заключенных со сторонними организациями

Раздел 3 Классификация ресурсов и их контроль

Ответственность за ресурсы

Классификация информации

Раздел 4 Безопасность персонала

Безопасность в должностных инструкциях и при выделении ресурсов

Обучение пользователей

Реагирование на события, таящие угрозу безопасности

Раздел 5 Физическая безопасность и безопасность окружающей среды

Защищенные области

Защита оборудования

Раздел 6 Администрирование компьютерных систем и вычислительных сетей

Операционные процедуры и обазанности

Планирование систем и их приемка

Защита от вредоносного программного обеспечения

Обслуживание систем

Сетевое администрирование

Оперирование с носителями информации и их защита

Обмен данными и программами

Раздел 7 Управление доступом к системам

Производственные требования к управлению доступом к системам

Управление доступом пользователей

Обязанности пользователей

Управление доступом к сети

Управление доступом к компьютерам

Управление доступом к приложениям

Слежение за доступом к системам и их использованием

Раздел 8 Разработка и сопровождение информационных систем

Требования к безопасности систем

Безопасность в прикладных системах

Защита файлов прикладных систем

Безопасность в среде разработки и рабочей среде

Раздел 9 Планирование бесперебойной работы организации

Вопросы планирования бесперебойной работы организации

Раздел 10 Выполнение требований

Выполнение правовых требований

Проверка безопасности информационных систем

Аудит систем

Предисловие

Предлагаемый британский стандарт подготовлен BSFD/12 (Управление Информационной безопасностью). Он предназначен для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование, реализацию и поддержание системы информационной безопасности внутри своих организаций. Поэтому его можно рассматривать в качестве основы для определения стандартов информационной безопасности организаций.

Предлагаемый британский стандарт основан на документе PD 0003 (Практические правила управления информационной безопасностью), разработанном Министерством торговли и промышленности при участии специалистов из ведущих компаний и организаций Великобритании. В стандарте содержится исчерпывающий набор средств управления безопасностью, которые включают в себя самые совершенные процедуры обеспечения информационной безопасности, используемые в настоящее время как в Великобритании, так и в других странах.

В настоящих практических правилах даются по возможности исчерпывающие рекомендации. Их цель — служить в качестве справочника для определения средств контроля, требуемых для большиства ситуаций, встречаемых в промышленности и торговле, а следовательно они могут применяться целым рядом организаций — крупных, средних и мелких. Учитывая возрастающую роль электронной передачи данных по сети между организациями, становится очевидной польза от разработки единого справочного документа по управлению информационной безопасностью. Он позволяет установить взаимное доверие между организациями, объединенными в сеть, и торговыми партнерами, а также составляет основу для управления информационными ресурсами.

Не все вышеописанные средства контроля подходят для любой ситуации. Кроме того, они не в состоянии учесть все ограничения локального характера, накладываемые окружающими условиями и технологией; не могут они и удовлетворить по форме всех пользователей организации. Следовательно, предлагаемые практические правила могут потребовать дальнейшей доработки, прежде чем их можно будет использовать в качестве основы (например) для политики организации или торгового соглашения между компаниями.

Как набор практических правил, данный британский стандарт написан в форме руководства и рекомендаций. На него не следует ссылаться как на спецификацию. Необходимо особенно позаботиться о том, чтобы требования к соблюдению правил не вводили в заблуждение.

При составлении настоящего стандарта предполагалось, что реализация его положений будет поручена лицам, имеющим надлежащую квалификацию и опыт работы.

Само по себе соответствие британскому стандарту не освобождает от правовых обязательств.

Введение

Что такое информационная безопасность?

Цель информационной безопасности — обеспечить бесперебойную работу организации и свести к минимуму ущерб от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.

Управление информационной безопасностью (см. Управление информационной безопасностью) позволяет коллективно использовать информацию, обеспечивая при этом ее защиту и защиту вычислительных ресурсов.

Информационная безопасность состоит из трех основных компонентов:

а) конфиденциальность (см. Конфиденциальность): защита конфиденциальной информации от несанкционированного раскрытия или перехвата;

б) целостность (см. Целостность): обеспечение точности и полноты информации и компьютерных программ;

в) доступность (см. Доступность): обеспечение доступности информации и жизненно важных сервисов для пользователей (см. Специальная привилегия), когда это требуется.

Информация (см. Информация) существует в различных формах. Ее можно хранить на компьютерах, передавать по вычислительным сетям, распечатывать или записывать на бумаге, а также озвучивать в разговорах. С точки зрения безопасности все виды информации, включая бумажную документацию, базы данных, пленки, микрофильмы, модели, магнитные ленты, дискеты, разговоры и другие способы, используемые для передачи знаний и идей, требуют надлежащей защиты.

Почему необходимо защищаться?

Информация и поддерживающие ее информационные системы и сети являются ценными производственными ресурсами организации. Их доступность, целостность и конфиденциальность могут иметь особое значение для обеспечения конкурентоспособности, движения денежной наличности, рентабельности, соответствия правовым нормам и имиджа организации. Современные организации могут столкнуться с возрастающей угрозой нарушения режима безопасности, исходящей от целого ряда источников. Информационным системам и сетям могут угрожать такие опасности, как компьютерное мошенничество, шпионаж, саботаж, вандализм, а также другие источники отказов и аварий. Появляются все новые угрозы, способные нанести ущерб организации, такие, как, широко известные компьютерные вирусы или хакеры. Предполагается, что такие угрозы информационной безопасности со временем станут более распространенными, опасными и изощренными. В то же время из-за возрастающей зависимости организаций от информационных систем и сервисов, они могут стать более уязвимыми по отношению к угрозам нарушения защиты. Распространение вычислительных сетей предоставляет новые возможности для несанкционированного доступа к компьютерным системам, а тенденция к переходу на распределенные вычислительные системы уменьшает возможности централизованного контроля информационных систем специалистами.

Защитные меры оказываются значительно более дешевыми и эффективными, если они встроены в информационные системы и сервисы на стадиях задания требований и проектирования. Чем скорее организация примет меры по защите своих информационных систем, тем более дешевыми и эффективными они будут для нее впоследствии.

Сруктура документа

Предлагаемые практические правила разбиты на следующие 10 разделов:

       Раздел 1. Политика безопасности

Раздел 2. Организация защиты

Раздел 3. Классификация ресурсов и их контроль

Раздел 4. Безопасность персонала

Раздел 5. Физическая безопасность и безопасность окружающей среды

Раздел 6. Администрирование компьютерных систем и вычислительных сетей

Раздел 7. Управление доступом к системам

Раздел 8. Разработка и сопровождение информационных систем

Раздел 9. Планирование бесперебойной работы организации

Раздел 10. Выполнение требований

В этих разделах представлен исчерпывающий набор средств управления безопасностью, основанных на реальных мерах по защите информации, реализуемых в настоящее время в британских и международных организациях.

Все ли средства управления безопасностью применимы?

Не все средства контроля применимы к каждой информационной среде; их следует использовать выборочно с учетом местных условий. Это становиться ясно из описания. Однако большинство средств контроля, описанных в данном документе, широко применяются крупными организациями с большим опытом работы, и их использование рекомендуется для всех ситуаций, разумеется, с учетом ограничений, накладываемых технологией и окружающей средой. Эти общепринятые средства контроля часто называют базовыми средствами управления безопасностью, поскольку все они в совокупности определяют базовый промышленный стандарт на поддержание режима безопасности.

Десять средств контроля, предлагаемых в настоящих практических правилах (они обозначены как ключевые), считаются особенно важными. Эти ключевые средства являются хорошей отправной точкой для управления информационной безопасностью. Они описаны более подробно в разделе ╚Ключевые средства контроля╩.

При использовании некоторых из средств контроля, например, шифрование данных, могут потребоваться советы специалистов по безопасности и оценки рисков, чтобы определить, нужны ли они и каким образом их реализовать. Для обеспечения более высокого уровня защиты особенно ценных ресурсов или оказания противодействия исключительно высоким уровням угроз нарушения режима безопасности, в ряде случаях могут потребоваться другие (более сильные) средства контроля, которые выходят за рамки данных правил.

Ключевые средства контроля

Десять ключевых средств контроля представляют собой либо обязательные требования, например, требования действующего законодательства, либо считаются основными структурными элементами информационной безопасности, например, обучение правилам безопасности. Эти средства контроля применимы ко всем организациях и средам и отмечены символом ключа. Они служат в качестве основы для организаций, приступающих к реализации средств управления информационной безопасностью.

Ключевыми являются следующие средства контроля:

       документ о политике информационной безопасности (см. Документ о политике информационной безопасности);

       распределение обязанностей по обеспечению информационной безопасности (см. Распределение обязанностей по обеспечению информационной безопасности);

       обучение и подготовка персонала к поддержанию режима информационной безопасности (см. Обучение правилам информационной безопасности);

       уведомление о случаях нарушения защиты (см. Уведомление об инцидентах в системе безопасности);

       средства защиты от вирусов (см. Средства защиты от вирусов);

       процесс планирования бесперебойной работы организации (см. Процесс планирования бесперебойной работы организации);

       контроль за копированием программного обеспечения, защищенного законом об авторском праве (см. Контроль за копированием ПО, защищенного законом об авторском праве);

       защита документации организации (см. Защита документации организации);

       защита данных (см. Защита данных);

       соответствие политике безопасности (см. Соответствие политике безопасности).

Задание требований к информационной безопасности организации

Существуют три основных группы требований к системе безопасности в любой организации. Первая группа требований — это уникальный набор рисков нарушения безопасности, состоящий из угроз, которым подвергаются информационные ресурсы, и их слабостей и возможное воздействие этих рисков на работу организации. Большинство из этих рисков описаны в настоящих правилах и им можно успешно противостоять, если воспользоваться приведенными здесь рекомендациями. Однако существуют риски, требующие специального обращения, и их необходимо рассматривать с учетом их оценки в каждой конкретной организации или для каждого конкретного компонента системы.

Вторая группа требований — это набор правовых и договорных требований, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг; при этом возрастает необходимость стандартизации по мере распространения электронного обмена информацией по сетям между организациями. Данные практические правила могут служить надежной основой для задания общих требований этого типа.

Третья группа требований — это уникальный набор принципов, целей и требований к обработке информации, который разработан организацией для производственных целей. Важно (например, для обеспечения конкурентоспособности), чтобы в политике безопасности были отражены эти требования, и жизненно важно, чтобы реализация или отсутствие средств управления безопасностью в информационной инфраструктуре не мешали производственной деятельности организации.

Привлечение надлежащих средств контроля и требуемая гибкость с самого начала процесса планирования информационных систем являются необходимыми условиями для успешного завершения работы.