Управление информационной безопасностью

Тестирование планов обеспечения бесперебойной работы организации

Многие планы обеспечения бесперебойной работы организации терпят неудачу при их тестировании вследствие неправильных исходных допущений, просчетов или изменений, внесенных в оборудование, и персонала. Поэтому эти планы необходимо регулярно тестировать, чтобы обеспечить их эффективность. Такие тесты должны гарантировать, что все члены группы по восстановлению систем после аварий и другие сотрудники, имеющие к этому отношение, будут постоянно помнить о плане.

Следует составить график проведения испытаний плана обеспечения бесперебойной работы организации. Такой график должен указывать, как и когда будет тестироваться каждый элемент плана.

Рекомендуется поэтапный подход к тестированию, основанный на проведении частых испытаний отдельных компонентов плана. Это должно обеспечить действенность и эффективность плана на протяжении года. Кроме того такой подход позволяет избежать частого проведения исчерпывающих испытаний полного плана.

Обновление планов обеспечения бесперебойной работы организации

Планы обеспечения бесперебойной работы организации быстро устаревают вследствие изменений в производственных процессах и организации, поэтому их необходимо регулярно обновлять. Регулярное обновление планов крайне важно для защиты денежных средств, вложенных в разработку исходного плана, и обеспечения его эффективности. Примерами изменений, которые могут потребовать обновления планов, являются:

                   приобритение нового оборудования или модернизация функционирующих систем;

                   новая технология выявления и контроля проблем, например, обнаружение пожаров;

                   новая технология контроля за окружающей средой;

                   кадровые или организационные изменения;

                   смена подрядчиков или поставщиков;

                   изменение адресов или телефонных номеров;

                   изменения, внесенные в производственные процессы;

                   изменения, внесенные в пакеты прикладных программ;

                   изменения в рабочих процедурах;

                   изменения в законодательстве.

Необходимо назначить ответственных лиц для идентификации и внесения изменений в планы. Необходимость в отдельных изменениях следует пересматривать по крайней мере ежемесячно. Это процесс должен быть подкреплен кратким ежегодным анализом полного плана.

Чтобы гарантировать, что последствия от вносимых изменений определены и доведены до сведения сотрудников до обновления плана, требуется формальный метод контроля за внесением изменений.

Раздел 10 Выполнение требований

Выполнение правовых требований

Цель: Избежать нарушения правовых обязательств и обязательств по соблюдению уголовного и гражданского права, а также обеспечить выполнение требований к информационной безопасности.

На разработку, сопровождение и использование информационных систем могут быть наложены правовые и договорные требования к безопасности.

Все правовые и договорные требования, имеющие отношение к безопасности, необходимо определить в явном виде и задокументировать для каждой информационной системы. Необходимо также определить и задокументировать конкретные средства контроля, меры противодействия и обязанности для выполнения этих требований.

При задании конкретных правовых требований следует обратиться за советом к консультантам организации, занимающимся правовыми вопросами. Следует учесть, что требования законодательства в разных странах разные.

Контроль за копированием ПО, защищенного законом об авторском праве

Следует принять во внимание ограничения, накладываемые действующим законодательством на использование материалов, защищенных законом об авторском праве.

Правовые и договорные требования могут наложить ограничения на копирование программ. В частности, от пользователей могут потребовать, чтобы они применяли только те программы, которые разработаны организацией, или лицензионное программное обеспечение.

Программные продукты обычно поставляются в соответствии с лицензионным соглашением, которое ограничивает их использование определенными машинами и может ограничить процесс копирования созданием только резервных копий. Необходимо учитывать следующее:

а) Политика организации должна запрещать копирование материала, защищенного законом об авторском праве, без согласия его владельца;

б) Пользователям должно быть рекомендовано не нарушать эту политику посредством копирования программ с одной машины на другую без письменной санкции их владельца.

в) Копирование патентованного программного обеспечения или программ организации для использования на компьютерах, которые не принадлежат организации, для целей, не связанных с основной рабочей деятельностью, может также привести к нарушению закона об авторском праве и политики организации.

г) В тех случаях, когда необходимо инсталлировать программный продукт на дополнительных машинах, следует включить соответствующий пункт в лицензионное соглашение или закупить дополнительные копии.

д) Необходимо регулярно проверять использование программного обеспечения и вести надлежащий учет.

Нарушение закона об авторском праве может привести к судебным разбирательствам и даже к возбуждению уголовного дела.

Защита документации организации

Важные для организации документы необходимо защищать от потери, уничтожения и подделки. Некоторые документы могут потребовать хранения в защищенном месте для удовлетворения правовых требований, а также для поддержки основных производственных работ.

Примечание. Примерами этого являются документы, которые могут потребоваться в качестве свидетельства того, что организация работает в соответствии с правовыми нормами, или для обеспечения надлежащей защиты от возможных гражданских или уголовных исков, или для подтверждения финансового состояния организации по отношению к держателям акций, партнерам и аудиторам.

Целесообразно уничтожить документацию, которая храниться дольше предписываемого законом времени, в случае, когда это не будет иметь пагубные последствия для работы организации.

Для выполнения этих обязательств организация должна предпринять следующее:

а) Подготовить инструкции по хранению и обращению с документацией и информацией, а также их уничтожению.

б) Составить план-график, в котором определяются основные типы документов и сроки их хранения.

в) Проводить инвентаризацию всех источников основной информации.

г) Реализовать надлежащие меры по защите основной документации и информации от потери, уничтожения и подделки.

Защита данных

Во многих странах персональные данные (о лицах, которых можно идентифицировать по ним), хранимые или обрабатываемые на компьютере, попадают под законодательство о защите информации. В Великобритании действует закон о защите данных от 1984 года. Примерами других стран, где действует такое законодательство, являются большинство стран Западной Европы и Северной Америки, а также Австралия, Новая Зеландия, Израиль и Япония.

Соблюдение законодательства о защите информации требует определенное структурирование руководства и контроль. Это зачастую достигается посредством назначения сотрудника, отвечающего за защиту данных, который дает рекомендации администраторам, пользователям и поставщикам услуг по распределению обязанностей и использованию конкретных процедур. В круг обязанностей владельца данных должны входить доведение предложений о хранении персональной информации на компьютере до сведения сотрудника, отвечающего за защиту данных, и обеспечение знания и понимание принципов защиты информации, определенных в действующем законодательстве.

В законе о защите данных от 1984 года излагаются восемь принципов, которые применимы ко всем системам, обрабатывающим персональную информацию. Они перечислены ниже:

                   Первый принцип

Необходимо предоставлять доступ к информации, содержащейся в персональных данных, и обрабатывать персональные данные на законном основании и в соответствии с принципами справедливости.

                   Второй принцип

Персональные данные следует хранить только для определенных, законных целей.

                   Третий принцип

Персональные данные, хранимые для тех или иных целей, не следует использовать или раскрывать способом, который несовместим с этими целями.

                   Четвертый принцип

Персональные данные, хранимые для тех или иных целей, должны быть адекватны этим целям и не должны быть избыточными по отношению к ним.

                   Пятый принцип

Персональные данные должны быть точными и по необходимости свежими.

                   Шестой принцип

Персональные данные, хранимые для тех или иных целей, не следует хранить дольше, чем это необходимо для этих целей.

                   Седьмой принцип

Сотрудник должно иметь право:

а) а. через разумные промежутки времени и без задержек:

       получать информацию от пользователя данных о том, хранит ли он персональные данные, субъектом которых является данный сотрудник;

       доступа к таким данным, хранимых пользователем;

б) по необходимости исправлять или стирать такие данные.

                   Восьмой принцип

Следует принять надлежащие меры по защите персональных данных от несанкционированного доступа, их изменения, раскрытия и уничтожения, а также от их случайной потери или уничтожения.

Предотвращение незаконного использования информационных ресурсов

Информационные ресурсы организации предоставляются для производственных целей. Их использование должно быть санкционировано руководством. Использование этих ресурсов для целей, не связанных с основной работой организации, или для несанкционированных целей без утверждения руководства и процедур учета следует рассматривать как незаконное использование информационных ресурсов. При выявлении таких случаев с помощью средств отслеживания действий или других средств, их следует довести до сведения соответсвующего руководства для наложения дисциплинарных взысканий.

Многие страны приняли или находяться в процессе принятия законодательства о защите от незаконного использования компьютеров. Использование компьютера для незаконных целей можно считать уголовным преступлением. Поэтому крайне важно, чтобы все пользователи получили письменную санкцию на доступ, который им разрешается. Сотрудников организации и пользователей со стороны следует предупредить, что они не имеют право доступа, кроме случаев, которые формально санкционированы и задокументированы.

Примечание. В Великобритании закон о незаконном использовании компьютеров от 1990 года вводит следующие уголовные преступления: несанкционированный доступ с целью совершения более серьезного преступления и несанкционированная модификация компьютерных данных.

Проверка безопасности информационных систем

Цель: Обеспечить соответствие систем политике и стандартам безопасности организации.

Безопасность информационных систем необходимо регулярно проверять.

Такие проверки следует проводить исходя из соответствующей политики безопасности, а технические платформы и информационные системы необходимо проверять на соответствие принятым стандартами обеспечения безопасности.

Соответствие политике безопасности

Все подразделения организации следует регулярно проверять, чтобы обеспечить соответствие принятой политике и стандартам безопасности. Проверке подлежат:

а) информационные системы и их поставщики;

б) информация и владельцы данных;

в) пользователи;

г) руководство.

Владельцы информационных систем (см. Ответственность за ресурсы) должны организовывать регулярные проверки своих систем на соответствие принятой политике безопасности, стандартам и другим требованиям к их защите.

Примечание. Текущий контроль за использованием систем описан в документе Слежение за доступом к системам и их использованием.

Техническая проверка на соответствие стандартам безопасности

Информационные ресурсы необходимо регулярно проверять на соответствие стандартам обеспечения безопасности. Техническая проверка на такое соответствие включает в себя осмотр рабочих систем, чтобы гарантировать правильную реализацию средств управления безопасностью программного и аппаратного обеспечения. Этот вид проверки требует обращения за технической помощью к специалистам. Такая проверка должна проводиться опытным системным инженером вручную или автоматически с помощью пакета программ, который создает технический отчет для последующей обработки техническим специалистом.

Такие проверки должны проводиться только компетентными законными лицами или под их наблюдением.

Аудит систем

Цель: Свести вмешательство в процесс аудита систем к минимуму.

Необходимо иметь средства контроля для защиты рабочих систем и средств аудита во время их проверки.

Защита также требуется для обеспечения целостности средств аудита и предотвращения их несанкционированного использования.

Средства аудита систем

Для сведения риска возникновения сбоев в производственных процессах к минимуму требования к аудиту и работы, связанные с проверкой рабочих систем, следует аккуратно запланировать и согласовать. Предлагается рассмотреть следующее:

а) Требования к аудиту систем должны быть согласованы с соответствующим руководством.

б) Масштаб проверок необходимо согласовать и контролировать.

в) Проверки должны быть ограничены доступом к данным и программам только на чтение.

г) Другие типы доступа (отличные от доступа только на чтение) должны быть разрешены для отдельных копий системных данных, которые необходимо стереть по завершении процесса аудита.