ГОСТ Р ИСО МЭК 17799 (1027767), страница 22
Текст из файла (страница 22)
Любые криптографические ключи, связанные с зашифрованными архивами или цифровыми подписями (10.3.2 и 10.3.3), следует хранить безопасным способом и предоставлять к ним, принеобходимости, доступ только авторизованным лицам,Следует учитывать возможность снижения качества носителей, используемых для хранения данных, осуществлять процедуры по хранению и уходу за носителями данных в соответствии с рекомендациями изготовителя.При использовании электронных носителей данных следует применять процедуры проверки возможности доступа к данным (например, читаемость как самих носителей, так и формата данных) в течение периода их хранения с целью защиты от потери вследствие будущих изменений в информационныхтехнологиях.Системы хранения данных следует выбирать таким образом, чтобы требуемые данные могли бытьизвлечены способом, приемлемым для суда, действующего по нормам гражданского или общего права,например, возможность вывода всех необходимых записей в приемлемый период времени неприемлемом формате.Необходимо, чтобы система хранения обеспечивала четкую идентификацию данных, а такжепериод их хранения, установленных законом или регулирующими требованиями.
Эта система должнапредоставлять возможности по уничтожению данных после того периода, когда у организации отпадетпотребность в их хранении.С целью выполнения данных обязательств организации следует:- разработать руководство в отношении сроков, порядка хранения и утилизации информации;- составить график хранения наиболее важных данных;- вести опись источников ключевой информации;- внедрить соответствующие меры для защиты важной информации от потери, разрушения ифальсификации.12.1.4 Защита данных и конфиденциальность персональной информацииВ ряде стран введены нормы законодательства, в которых установлены ограничения в отношенииобработки и передачи персональных данных (в основном, это касается информации о живущих людях,которые могут быть идентифицированы по этой информации).
Такие ограничения могут налагать обязанности на тех, кто осуществляет сбор, обработку и распространение личной информации, а такжемогут ограничивать возможность передачи этих данных в другие страны.Соответствие законодательству по защите данных требует соответствующей структуры управления информационной безопасностью. Лучше всего это достигается при назначении должностного лица,отвечающего за защиту данных путем соответствующего разъяснения менеджерам, пользователям ипоставщикам услуг об их индивидуальной ответственности, а также обязательности выполнения соответствующих мероприятий по обеспечению информационной безопасности.
Владельцы данных обязаны информировать это должностное лицо о любых предложениях о способах хранения персональнойинформации в структуре файла данных, а также знать применяемые нормы законодательства вотношении защиты личных данных.12.1.5 Предотвращение нецелевого использования средств обработки информацииСредства обработки информации организации предназначены для обеспечения потребностейбизнеса.Руководство должно определить уровни полномочий пользователей в отношении использованиясредств обработки информации.
Любое использование этих средств для непроизводственных или неавторизованных целей, без одобрения руководства, следует расценивать как нецелевое. Если такая деятельность выявлена мониторингом или другими способами, то на это следует обратить внимание51непосредственного руководителя сотрудника для принятия соответствующих мер дисциплинарноговоздействия.Законность использования мониторинга зависит от действующего в стране законодательства иможет потребоваться, чтобы сотрудники были осведомлены и дали документированное согласие напроведение мониторинга. Перед осуществлением мониторинга необходимо получить консультациююриста.Многие страны имеют или находятся в процессе введения законодательства по защите от неправильного использования компьютеров.
Возможны случаи использования компьютера для неавторизованных целей с преступным умыслом. Поэтому важно, чтобы все пользователи были осведомлены очетких рамках разрешенного им доступа. Это может быть достигнуто, например, путем ознакомленияпользователей с предоставленной им авторизацией в письменной форме под роспись, а организацииследует безопасным способом хранить копию этого документа.
Необходимо, чтобы сотрудники организации и пользователи третьей стороны были осведомлены о том, что во всех случаях они имеют праводоступа только к тем данным, использование которых им разрешено.Необходимо, чтобы при регистрации доступа к системе на экране компьютера было отраженопредупреждающее сообщение, указывающее, что система, вход в которую пользователи пытаются осуществить, является системой с ограниченным доступом, и что неавторизованный доступ к ней запрещен, Пользователь должен подтвердить это прочтение и реагировать соответствующим образом нанего, чтобы продолжить процесс регистрации.12.1.6 Регулирование использования средств криптографииВ некоторых странах приняты соглашения, законы, регулирующие требования или другие инструменты, определяющие мероприятия по обеспечению безопасности доступа к криптографическим средствам и их использованию.
Такие мероприятия обычно включают:- ограничения импорта и/или экспорта аппаратных и программных средств для выполнения криптографических функций;- ограничения импорта и/или экспорта аппаратных и программных средств, которые разработанытаким образом, что имеют, как дополнение, криптографические функции;- обязательные или дискреционные методы доступа со стороны государства к информации,зашифрованной с помощью аппаратных или программных средств для обеспечения конфиденциальности ее содержания.Для обеспечения уверенности в соответствии политики использования криптографическихсредств в организации национальному законодательству необходима консультация юриста.
Преждечем зашифрованная информация или криптографическое средство будут переданы в другую страну,необходимо также получить консультацию юриста,12.1.7 Сбор доказательств12.1.7.1 Правила использования и сбора доказательствНеобходимо иметь адекватные свидетельства, чтобы поддерживать иски или меры воздействия,направленные против физического лица или организации, которые нарушили правила управленияинформационной безопасностью.Всякий раз, когда эти меры воздействия являются предметом внутреннего дисциплинарного процесса, свидетельства должны быть описаны в соответствии с внутренними процедурами.Когда меры воздействия/иски затрагивают вопросы как гражданского, так и уголовного права,необходимо, чтобы представленные свидетельства соответствовали требованиям к сбору свидетельств, изложенными в соответствующих правовых нормах или требованиям конкретного суда, в котором будет рассматриваться данный вопрос.
В общем случае, эти правила предусматривают:- допустимость свидетельств: действительно ли свидетельства могут использоваться в суде илинет;- весомость свидетельств: качество и полнота свидетельств;- адекватное свидетельство того, что эти меры контроля (процесс сбора свидетельств) осуществлялись корректно и последовательно в течение всего периода, когда установленное свидетельствоинцидента нарушения информационной безопасности было сохранено и обработано системой.12.1.7.2 Допустимость доказательствЧтобы достичь признания допустимости свидетельств, организациям необходимо обеспечить уверенность в том, что их информационные системы соответствуют всем юридическим требованиям и правилам в отношении допустимых свидетельств.5212.1.7,3 Качество и полнота доказательствЧтобы достичь качества и полноты свидетельств, необходимо наличие убедительных подтверждений свидетельств.
В общем случае, такие убедительные подтверждения могут быть достигнуты следующим образом:-для бумажных документов: оригинал хранится безопасным способом и фиксируется, кто нашелего, где он был найден, когда он был найден и кто засвидетельствовал обнаружение. Необходимо, чтобылюбое исследование подтвердило, что оригиналы никто не пытался исказить;-для информации на компьютерных носителях: копии информации, для любых сменных носителей информации, для жестких дисков или из основной памяти компьютера, следует выполнять такимобразом, чтобы обеспечить их доступность.
Журнал всех действий, выполненных в течение процессакопирования, необходимо сохранять, а сам процесс копирования необходимо документировать. Однукопию носителей информации и журнал следует хранить безопасным способом.Когда инцидент обнаруживается впервые, не очевидно, что он может привести к возможным судебным разбирательствам. Поэтому, существует опасность, что необходимое показание будет случайноразрушено прежде, чем осознана серьезность инцидента.
Целесообразно на самом раннем этапе привлекать юриста или милицию в любом случае предполагаемых судебных разбирательств и получатьконсультацию относительно требуемых свидетельств.12.2 Пересмотр политики безопасности и техническое соответствие требованиям безопасностиЦель: обеспечение соответствия систем политике безопасности организации и стандартам.Безопасность информационных систем необходимо регулярно анализировать и оценивать.Такой анализ (пересмотр) необходимо осуществлять в отношении соответствующих политик безопасности, а программные средства и информационные системы должны подвергаться аудиту на предмет соответствия этим политикам.12.2.1 Соответствие политике безопасностиРуководители должны обеспечивать правильное выполнение всех процедур безопасности в пределах их зоны ответственности.
Кроме того, все сферы деятельности организации необходимо подвергать регулярному пересмотру для обеспечения требований по обеспечению информационной безопасности. При этом, кроме функционирования информационных систем, анализу должна подвергатьсятакже деятельность:- поставщиков систем;- владельцев информации и информационных активов;- пользователей;- руководства.Владельцам информационных систем (5.1) следует проводить регулярные мониторинги их системна соответствие принятым политикам безопасности и любым другим требованиям безопасности.Вопросы мониторинга использования систем рассмотрены в 9.7.12.2.2 Проверка технического соответствия требованиям безопасностиПроверка технического соответствия включает испытания операционных систем для обеспеченияуверенности в том, что мероприятия по обеспечению информационной безопасности функционирования аппаратных и программных средств были внедрены правильно.














