Управление информационной безопасностью

и) право проверять договорные обязательства;

к) ограничения на копирование и раскрытие информации;

л) меры по обеспечению возврата или уничтожения информации и ресурсов по окончании срока действия контракта;

м) необходимые меры по физической защите;

н) механизмы для обеспечения реализации защитных мер;

о) обучение пользователей методам, процедурам и правилам безопасности;

п) меры по обеспечинию защиты от компьютерных вирусов (см. Средства защиты от вирусов);

р) процедура предоставления разрешения на доступ пользователей;

с) процедуры уведомления об инцидентах в системе безопасности и их расследования;

т) участие сторонних организаций (субподрядчики и другие участники).

Раздел 3 Классификация ресурсов и их контроль

Ответственность за ресурсы

Цель: Обеспечить надлежащую защиту ресурсов организации.

Все основные информационные ресурсы должны быть учтены и иметь назначенного владельца (см. Владелец).

Ответственность за ресурсы позволяет обеспечить их надлежащую защиту. Следует определить владельцев основных ресурсов и назначить ответственных за реализацию соответствующих защитных мер. Ответственность за реализацию защитных мер может быть передана другому лицу, однако назначенный владелец ресурса все равно несет ответственность за него.

Инвентаризация информационных ресурсов

Инвентаризация ресурсов помогает убедиться в том, что обеспечивается их эффективная защита, кроме того, перечень ресурсов может потребоваться для других производственных целей, например, при принятии мер по охране здоровья и по технике безопасности, для страхования или финансовых целей. Инвентаризацию необходимо провести для всех основных ресурсов, связанных с каждой информационной системой. Каждый ресурс должен быть четко идентифицирован, а его владелец и категория секретности (см. Классификация информации) согласованы и задокументированы. Примерами ресурсов, связанных с информационными системами, являются:

а) информационные ресурсы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, операционные процедуры и процедуры поддержки, планы обеспечения бесперебойной работы организации, процедуры перехода на аварийный режим;

б) программные ресурсы: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства и утилиты;

в) физические ресурсы: компьютеры и коммуникационное оборудование, магнитные носители данных (ленты и диски), другое техническое оборудование (блоки питания, кондиционеры), мебель, помещения;

г) сервисы: вычислительные и коммуникационные сервисы, другие технические сервисы (отопление, освещение, энергоснабжение, кондиционирование воздуха).

Классификация информации

Цель: Обеспечить надлежащий уровень защиты информационных ресурсов.

Категории секретности следует использовать, чтобы показать необходимость в защите и задать приоритеты для ее обеспечения.

Различная информация имеет разную степень конфиденциальности и важности. Некоторые виды информации могут потребовать дополнительной защиты или специального обращения. Систему классификации информации по категориям секретности необходимо использовать для определения соответствующего набора уровней защиты и для уведомления пользователей о необходимости специального обращения с этой информацией.

Рекомендации по классификации

Категории секретности и связанные с ними защитные меры для производственной информации должны учитывать производственную необходимость в коллективном использовании информации или ограничении доступа к ней, а также ущерб для организации, связанный с несанкционированным доступом или повреждением информации. В частности следует рассмотреть необходимость обеспечения следующих мер:

а) конфиденциальности: производственная необходимость коллективного использования или ограничения доступа к информации по отношению к конфиденциальности и средствам контроля, требуемым для ограничения доступа к информации;

б) целостности: производственная необходимость осуществления контроля за внесением изменений в информацию и средства контроля, требуемые для обеспечения точности и полноты информации;

в) доступности: производственная необходимость обеспечения доступа к информации, когда это требуется, и необходимые для этого средства контроля.

Ответственность за присвоение категории секретности конкретному виду информации, например, документу, файлу данных или дискете, а также за периодическую проверку этой категории, следует возложить на лицо, создавшее эти данные, или на их назначенного владельца.

Примечание. В настоящее время не существует общепринятого стандарта на грифы секретности (см. Присваивание грифов секретности).

Следует с осторожностью подходить к интерпретации грифов секретности на документах из других организаций, поскольку одинаковый или похожий гриф может быть определен по другому.

Присваивание грифов секретности

Секретная информация и выходные данные систем, поддерживающих секретную информацию, должны иметь соответствующие грифы секретности. Однако часто информация перестает быть конфиденциальной через некоторый промежуток времени, например, когда она становиться общедоступной. Это следует принять во внимание, так как чрезмерное засекречивание информации может привести к неоправданным, дополнительным затратам организации.

Выходные данные информационных систем, содержащие секретную информацию, должны иметь соответствующий гриф секретности. Этот гриф должен отражать категорию секретности наиболее уязвимой информации в выводимых данных. Примерами таких выходных данных являются печатные отчеты, информация, выводимая на экраны дисплеев, данные, хранимые на магнитных носителях (лентах, дисках, кассетах), электронные сообщения и передаваемые файлы.

Примечание. Физические метки являются наиболее подходящей формой маркировки. Однако в некоторых случаях, например, для электронной передачи данных, могут потребоваться другие средства, такие, как процедуры, контракты или почтовые извещения для выполнения функций маркировки.

Раздел 4 Безопасность персонала

Безопасность в должностных инструкциях и при выделении ресурсов

Цель: Уменьшить риск ошибок персонала, краж, мошенничества или незаконного использования ресурсов.

Аспекты, связанные с безопасностью, следует учитывать еще на стадии набора персонала, включать их в должностные инструкции и договоры, а также контролировать в течение всего времени работы данного сотрудника.

Руководители должны убедиться в том, что в должностных инструкциях отражена вся соответствующая данной должности ответственность за безопасность. Следует надлежащим образом проверить принимаемых на работу лиц (см. Проверка принимаемых на работу), особенно если они будут работать с конфиденциальной информацией. Весь персонал организации и пользователи информационных ресурсов из сторонних организаций должны подписать обязательство о конфиденциальности (неразглашении).

Безопасность в должностных инструкциях

Обязанности и ответственность за безопасность, установленные принятой в организации политикой информационной безопасности (см. Политика информационной безопасности), следует включать в должностные инструкции, где это необходимо. В инструкциях необходимо отразить как общую ответственность за проведение в жизнь или поддержку политики безопасности, так и конкретные обязанности по защите определенных ресурсов или ответственность за выполнение определенных процедур или действий по защите.

Проверка принимаемых на работу

Заявления о приеме на работу следует тщательно рассмотреть, если работа в данной должности связана с доступом к конфиденциальным информационным ресурсам. Всех кандидатов на занятие подобных вакансий следует проверить по следующим пунктам:

а) как минимум две положительных характеристики, одна деловых и одна личных качеств;

б) проверка (полноты и точности) сведений, сообщенных претендентом на вакансию в своей автобиографии;

в) подтверждение академических степеней и профессиональной квалификации;

г) проверка идентификации (например, паспорта);

д) проверка кредита для занятых в наиболее критичных заданиях, например, проверка финансового состояния.

Соглашение о конфиденциальности

Пользователи информационных ресурсов организации должны подписать соответствующее обязательство о конфиденциальности (неразглашении). Обычно служащие организации подписывают такое обязательство при приеме на работу.

Пользователи из сторонних организаций, не предусмотренные условиями существующего договора (обязательство о неразглашении является его частью), должны подписать обязательство о неразглашении, прежде чем им будет предоставлен доступ к информационным ресурсам организации.

Обязательства о неразглашении необходимо пересматривать, когда изменяются условия найма или договор, особенно если служащие должны уволиться из организации или если кончаются сроки действия договора.

Обучение пользователей

Цель: Убедиться в том, что пользователи осведомлены об угрозах нарушения режима информационной безопасности и понимают значение защиты, а также имеют необходимые навыки для выполнения процедур, необходимых для нормального функционирования системы безопасности организации.

Пользователи должны быть обучены процедурам защиты и правильному обращению с информационными ресурсами.

Необходимо также официально, в письменной форме, утвердить разрешенный пользователям доступ (права и ограничения).

Обучение правилам информационной безопасности

Пользователи должны получить необходимые сведения о политике организации и принятых в ней процедурах, включая требования к безопасности и другим средствам контроля, а также научиться правильно пользоваться информационными ресурсами (например, знать процедуру входа в систему, уметь пользоваться пакетами программ) перед тем, как они получат доступ к информационным сервисам.

Примечание. Эти меры необходимы для того, чтобы гарантировать, что процедуры защиты выполняются правильно, и для сведения риска нарушения конфиденциальности, целостности и доступности данных из-за ошибки пользователя к минимуму.

Этой политики следует придерживаться как в отношении сотрудников организации, так и в отношении пользователей из сторонних организаций.

Реагирование на события, таящие угрозу безопасности

Цель: Свести ущерб от инцидентов в системе безопасности и ее сбоев к минимуму, а также отслеживать такие события и извлекать из них соответствующие уроки.

О событиях, затрагивающих безопасность, необходимо немедленно сообщать по административным каналам.

Все сотрудники и подрядчики должны быть ознакомлены с процедурой уведомления о различных типах инцидентов (нарушение безопасности, угроза, слабость или сбой), которые могут повлиять на безопасность ресурсов организации. Следует обязать пользователей без промедления сообщать обо всех наблюдаемых или подозрительных случаях такого рода в соответствующую службу поддержки системы защиты. В организации должна быть установлена формальная процедура наложения дисциплинарных взысканий на сотрудников, которые нарушают режим безопасности.

Уведомление об инцидентах в системе безопасности

О событиях, таящих угрозу безопасности (см. Инцидент в системе безопасности), следует без промедления сообщать по административным каналам.

Следует установить формальную процедуру уведомления, а также процедуру реагирования на события, описывающую меры, которые надлежит принять по получении сообщения об инциденте. Все сотрудники и подрядчики должны быть ознакомлены с этой процедурой; они обязаны сообщать о такого рода событиях в соответствующую службу поддержки системы защиты.

Уведомление о слабых местах в системе безопасности

Пользователи информационных сервисов обязаны регистрировать любые наблюдаемые или предполагаемые слабости в системе безопасности, либо угрозы системам или сервисам и сообщать о них. Пользователи должны незамедлительно доводить подобные инциденты до сведения своего непосредственного руководства, либо поставщиков соответствующих услуг. Необходимо информировать пользователей о том, что ни при каких обстоятельствах они не должны пытаться проверять предполагаемые слабости в системы защиты.

Примечание. Это нужно для защиты самих пользователей, поскольку их действия по тестированию слабости могут быть истолкованы как попытки несанкционированного использования системы.

Уведомление об отказах программного обеспечения

Следует обязать пользователей информационных сервисов регистрировать все случаи, когда функционирование программного обеспечения представляется им неправильным, т.е. не соответствующим спецификации; они должны сообщать об этом в местную службу технической поддержки информационных систем или непосредственно поставщику данных услуг.

Следует установить процедуры, которые немедленно должен выполнить пользователь, подозревающий, что сбой вызван вредоносной программой, например, компьютерным вирусом. При разработке таких процедур следует обратить особое внимание на следующие моменты:

а) Записать ╚симптомы╩ и все сообщения, появляющиеся на экране.

б) Прекратить работу на компьютере и, если возможно, отключить его. Немедленно сообщить об инциденте в службу технической поддержки информационных систем. Если оборудование подлежит осмотру, то его необходимо отсоединить от сетей организации, прежде чем снова включить питание. Не использовать на других компьютерах дискеты, записанные на этом компьютере.

в) Немедленно сообщить о происшествии в службу поддержки системы защиты.

Ни при каких обстоятельствах пользователи не должны пытаться удалить подозрительное программное обеспечение. Восстановление программного обеспечения должны выполнять специалисты, имеющие соответствующие знания и опыт работы.

Процедура наложения дисциплинарных взысканий

Следует определить формальную процедуру наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые в организации политику и процедуры безопасности. Эта процедура должна служить сдерживающим фактором для сотрудников, которые склонны пренебрегать процедурами защиты. Кроме того, она должна обеспечивать правильное и справедливое рассмотрение дел сотрудников, подозреваемых в серьезном или постоянном нарушении безопасности. Процедура наложения дисциплинарных взысканий должна быть разработана с учетом кадровой политики организации и утверждена руководством.