Управление информационной безопасностью

       выполнение правовых и договорных требований;

       требования к обучению персонала правилам безопасности;

       политика предупреждения и обнаружения вирусов;

       политика обеспечения бесперебойной работы организации.

4. определение общих и конкретных обязанностей по обеспечению режима информационной безопасности;
5. разъяснение процесса уведомления о событиях, таящих угрозу безопасности.

Необходимо разработать процесс проверки, определить обязанности и задать даты проверок для соблюдения требований документа о политике безопасности.

Раздел 2 Организация защиты

Инфраструктура информационной безопасности

Цель: Управлять информационной безопасностью в организации.

Чтобы инициировать и контролировать процесс обеспечения информационной безопасности, необходимо создать в организации соответствующую структуру управления.

В организации должны проводиться регулярные совещания руководства для разработки и утверждения политики безопасности, распределения обязанностей по обеспечению защиты и координации действий по поддержанию режима безопасности. В случае необходимости следует привлечь специалистов по вопросам защиты информации для консультаций. Необходимо вступать в контакты со специалистами других организаций, чтобы быть в курсе современных направлений и промышленных стандартов, а также, чтобы установить соответствующие деловые отношения для рассмотрении случаев нарушения защиты. Следует всячески поощрять комплексный подход к проблемам информационной безопасности, например, совместную работу аудиторов, пользователей и администраторов для эффективного решения проблем.

Совещание руководства по проблемам защиты информации

Ответственность за обеспечение информационной безопасности несут все члены руководящей группы. Поэтому руководству организации необходимо регулярно проводить совещания, посвященные проблемам защиты информации, чтобы вырабатывать четкие указания по этому вопросу, а также оказывать административную поддержку инициативам по обеспечению безопасности. Если вопросов по защите информации недостаточно для повестки дня специальных совещаний, необходимо периодически рассматривать эти проблемы на одном из регулярно проводимых в организации совещаний.

Обычно на подобных совещаниях рассматриваются следующие вопросы:

а) анализ и утверждение политики информационной безопасности и распределение общих обязанностей;

б) отслеживание основных угроз, которым подвергаются информационные ресурсы;

в) анализ и слежение за инцидентами в системе безопасности;

г) утверждение основных инициатив, направленных на усиление защиты информации.

Рекомендуется, чтобы один из членов руководящей группы взял на себя основную ответственность за координацию действий по проведению политики безопасности в жизнь.

Координация действий по защите информации

В крупной организации возможно потребуется координация мер по обеспечению информационной безопасности посредством проведения совещания, в котором будут участвовать руководители разных подразделений.

Такое совещание, в работе которого принимают участие представители руководства каждого из подразделений организации, зачастую необходимо для того, чтобы координировать действия по реализации защитных мер. Обычно на таком совещании:

а) согласовываются конкретные функции и обязанности по обеспечению информационной безопасности в организации;

б) согласовываются конкретные методики и процессы защиты информации, например, оценка рисков, система классификации средств защиты;

в) согласовывается и оказывается поддержка инициативам по защите информации в организации, например, программе обучения персонала правилам безопасности;

г) обеспечивается включение защитных мер в процесс планирования использования информации;

д) координируются действия по реализации конкретных мер по обеспечению информационной безопасности новых систем или сервисов;

е) создаются благоприятные условия для информационной безопасности во всей организации.

Распределение обязанностей по обеспечению информационной безопасности

Необходимо четко определить обязанности по защите отдельных ресурсов и выполнению конкретных процессов обеспечения безопасности.

Политика информационной безопасности (см. Документ о политике информационной безопасности) должна давать общие рекомендации по распределению функций и обязанностей по защите информации. Там, где необходимо, следует дополнить эти рекомендации более подробными разъяснениями, касающимися конкретных систем или сервисов; в этих дополнениях нужно четко определить ответственных за конкретные ресурсы (как физические, так и информационные) и за процессы обеспечения защиты, например, за планирование бесперебойной работы организации.

Защита информационной системы должна быть обязанностью ее владельца (см. Ответственность за ресурсы). Владельцы информационных систем могут делегировать свои полномочия по защите отдельным пользователям-администраторам или поставщикам услуг. Тем не менее, владельцы все равно несут ответственность за обеспечение безопасности системы.

Чтобы избежать каких-либо недоразумений, касающихся отдельных обязанностей, крайне важно четко определить зоны ответственности каждого администратора и, в частности, следующее:

1. Различные ресурсы и процессы обеспечения безопасности, связанные с каждой системой, необходимо идентифицировать и четко определить.
2. Кандидатура администратора, отвечающего за каждый ресурс или процесс обеспечения защиты, должна быть согласована, а его обязанности задокументированы.
3. Уровни полномочий необходимо четко определелить и задокументировать.

Процесс утверждения информационных систем

Следует определить процедуру утверждения новых информационных систем руководством, чтобы гарантировать, что установка оборудования имеет определенную цель для организации, что она обеспечивает достаточный уровень защиты, и что она не оказывает вредного влияния на безопасность существующей инфраструктуры.

Необходимо рассмотреть два уровня пономочий по утверждению систем:

а) Утверждение руководством. Каждой случай установки систем должен быть утвержден соответствующим руководством, которое дает разрешение на ее проведение. Необходимо также получить разрешение от администратора, отвечающего за поддержание режима локальной информационной безопасности; это гарантирует, что установка систем будут соответствовать политике безопасности и требованиям к ней.

б) Техническое утверждение. В случае необходимости следует проверить, все ли устройства, подключенные к коммуникационным сетям, или сопровождаемые конкретным поставщиком услуг имеют тип, который был утвержден.

Примечание. Это средство контроля особенно важно в сетевой среде.

Рекомендации специалистов по информационной безопасности

Каждая организация, крупная или мелкая, может извлечь пользу из рекомендаций, даваемых специалистами по безопасности. В идеале в штатном расписании организации должна быть предусмотрена соответствующая должность, и ее должен занимать опытный специалист. Для небольших организаций, однако, нанимать такого специалиста на постоянную работу невыгодно. В этом случае рекомендуется создать единую службу поддержки, чтобы обеспечить согласованность при принятии решений по вопросам безопасности и способствовать максимальному использованию знаний и опыта сотрудников.

Следует так подобрать специалистов по защите информации и сотрудников службы поддержки, чтобы обеспечить решение любой проблемы, касающейся информационной безопасности. Качество их оценок угроз системе безопасности и рекомендуемые ими меры противодействия будут определять эффективность программы обеспечения информационной безопасности в организации. Для обеспечения максимальной эффективности такой программы этим специалистам должен быть предоставлен прямой доступ к администраторам информационных систем и руководству организации.

В подозрительных случаях нарушения защиты следует как можно раньше обратиться к консультанту по вопросам обеспечения информационной безопасности или в службу поддержки, чтобы получить необходимые указания или ресурсы для расследования таких инцидентов. Хотя большинство внутренних расследований, связанных с нарушением защиты, обычно выполняется под контролем руководства, можно обратиться к консультанту по информационной безопасности как за советом, так и с предложением возглавить или провести необходимые расследования.

Сотрудничество между организациями

Следует поощрять контакты специалистов по защите информации из штата организации со специалистами из других организаций (промышленных или правительственных) по их усмотрению. Такое взаимодействие дает возможность обмена опытом и оценками угроз режиму безопасности, а также способствует разработке согласованных правил в промышленности, что помогает устранить препятствия на пути установления деловых отношений между организациями.

Важно также поддерживать соответсвующие контакты с правоохранительными органами, поставщиками информационных сервисов и телекоммуникационными органами, чтобы обеспечить своевременное установление контактов и получение рекомендаций в случае инцидента в системе безопасности.

Обмен информацией по вопросам безопасности должен быть ограничен, чтобы гарантировать, что конфиденциальная информация организации не попадет в руки лиц, не имеющих соответствующие полномочия.

Независимый анализ информационной безопасности

В документе о политике информационной безопасности (см. Документ о политике информационной безопасности) определяются обязанности по защите информации и формулируется соответствующая политика. Реальные процедуры обеспечения информационной безопасности должны быть подвергнуты независимому анализу, чтобы быть уверенным, что используемые организацией процедуры защиты соответствуют принятой политике безопасности, а также являются реализуемыми и эффективными.

Примечание. Кандидатами на выполнение такого анализа являются внутренняя аудиторская служба, независимый старший администратор или сторонняя организация, специализирующаяся на сертификации соответствия политике безопасности в тех случаях, когда они имеют надлежащую квалификацию и опыт.

Безопасность доступа сторонних организаций

Цель: Обеспечить безопасность информационных ресурсов организации, к которым имеют доступ сторонние организации.

Доступ сторонних организаций к информационным ресурсам данной организации следует контролировать.

Там, где доступ сторонних организаций необходим по производственным причинам, следует провести анализ рисков нарушения защиты, чтобы определить его последствия для системы безопасности и требования к средствам контроля. Эти средства контроля должны быть согласованы и определены в контракте, заключенном со сторонней организацией.

Такой доступ может быть предоставлен и другим участникам.

Контракты, разрешающие доступ сторонних организаций, должны включать в себя правила для доступа других участников и условия их доступа.

Рекомендуется использовать настоящие практические правила в качестве основы при составлении подобных договоров.

Идентификация рисков, связанных с подключениями сторонних организаций

Защита информационных систем организации может быть нарушена из-за доступа, осуществляемого сторонними организациями без надлежащего управления системой безопасности. Если в связи с деятельностью организации возникает необходимость в подключении к узлу сторонней организации, следует выполнить оценку рисков, чтобы определить, необходимы ли какие-либо специальные меры по защите информации. При анализе риска следует принять во внимание тип предоставляемого доступа, ценность информации, принятые сторонней организацией меры защиты и последствия от доступа для безопасности информационной инфраструктуры организации. Процесс анализа можно облегчить, обратившись к опубликованным промышленным стандартам, например, к настоящим практическим правилам.

Доступ сторонних организаций к информационным ресурсам данной организации может быть разрешен только после того, как приняты все необходимые защитные меры и подписан договор, определяющий условия подключения.

Условия безопасности в контрактах, заключенных со сторонними организациями

Соглашения, предусматривающие доступ сторонних организаций к информационным ресурсам данной организации, должны быть основаны на контракте, в котором должны быть перечислены все необходимые условия безопасности (или даны ссылки на них), чтобы обеспечить соответствие политике и стандартам безопасности, принятыми в организации. Контракт должен быть заключен перед тем, как будет предоставлен доступ к информационным ресурсам. При составлении контрактов следует рассмотреть следующие вопросы:

а) общая политика информационной безопасности; б. разрешенные способы доступа, а также контроль и использование уникальных идентификаторов пользователей и паролей;

б) описание каждого предоставляемого информационного сервиса;

в) требование вести список лиц, которым разрешено использовать сервис;

г)

время и дата, когда сервис будет доступен;

Примечание. Следует рассмотреть планы действий в чрезвычайных ситуациях (по необходимости)

д) вытекающие из соглашения обязательства организаций;

е) процедуры, касающиеся защиты ресурсов организации, включая информацию;

ж) обязанности, касающиеся правовых вопросов, например, законодательство о защите данных;

з) право отслеживать действия пользователей;

и) обязанности по установке оборудования и программного обеспечения и их сопровождения;