ГОСТ Р ИСО МЭК 17799 (1027767), страница 3
Текст из файла (страница 3)
Периодические пересмотры должны осуществляться в соответствии с установленнымграфиком и включать:- проверку эффективности политики, исходя из характера, числа и последствий зарегистрированных инцидентов нарушения информационной безопасности;- определение стоимости мероприятий по управлению информационной безопасностью и их влияние на эффективность бизнеса;- оценку влияния изменений в технологиях.4 Организационные вопросы безопасности4.1 Организационная инфраструктура информационной безопасностиЦель: управление информационной безопасностью в организации.Структуру управления следует создавать так, чтобы она способствовала инициации и осуществлению контроля за внедрением информационной безопасности в организации,Следует создавать соответствующие управляющие советы с участием высшего руководства дляутверждения политики информационной безопасности, назначения ответственных лиц в областиинформационной безопасности, а также осуществления координации внедрения мероприятий по управлению информационной безопасностью в организации.
При необходимости следует предусмотретьналичие специалиста по вопросам информационной безопасности внутри организации, к которомумогут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специалистами по безопасности для того, чтобы быть в курсе отраслевых тенденций, способов и методов ееоценки, а также с целью адекватного реагирования на инциденты нарушения информационной безопасности. Следует поощрять многопрофильный подход к информационной безопасности, например, путемналаживания сотрудничества между менеджерами, пользователями, администраторами, разработчиками приложений, аудиторами и сотрудниками безопасности, а также специалистами в области страхования и управления рисками.24.1.1 Управляющий совет по вопросам информационной безопасностиОбеспечение информационной безопасности — это ответственность высшего руководства организации, разделяемая всеми ее членами, Поэтому при формировании совета по вопросам информационной безопасности должны обеспечиваться четкое управление и реальная поддержка со стороныруководства инициатив в области безопасности.
Такой совет должен способствовать укреплению безопасности в организации путем непосредственного участия руководства и выделения необходимыхресурсов. Он может быть частью существующего органа управления. Как правило, такой советвыполняет следующие функции:- утверждение и пересмотр политики информационной безопасности и соответствующих обязанностей по ее выполнению;- отслеживание существенных изменений в воздействиях основных угроз информационным активам;- анализ и мониторинг инцидентов нарушения информационной безопасности;- утверждение основных проектов в области информационной безопасности.Кроме этого, должен быть назначен руководитель, отвечающий за все вопросы, связанные синформационной безопасностью.4.1.2 Координация вопросов информационной безопасностиДля координации внедрения мероприятий по управлению информационной безопасностью вбольшой организации может потребоваться создание комитета, включающего представителей руководства заинтересованных подразделений организации.Как правило, такой комитет:- согласовывает конкретные функции и обязанности в области информационной безопасности врамках всей организации;-согласовывает конкретные методики и процедуры информационной безопасности, например,такие как оценка рисков, классификация информации с точки зрения требований безопасности;-согласовывает и обеспечивает поддержку инициатив и проектов в области информационнойбезопасности в рамках всей организации, например, таких как разработка программы повышения осведомленности сотрудников в области безопасности;- обеспечивает учет включения требований безопасности во все проекты, связанные с обработкойи использованием информации;- оценивает адекватность и координирует внедрение конкретных мероприятий по управлениюинформационной безопасностью для новых систем или услуг;- проводит анализ инцидентов нарушения информационной безопасности;- способствует демонстрации поддержки информационной безопасности со стороны высшегоруководства организации.4.1.3 Распределение обязанностей по обеспечению информационной безопасностиСледует определить обязанности по защите отдельных активов и по выполнению конкретных процедур, связанных с информационной безопасностью.Политика информационной безопасности (раздел 3) должна устанавливать общие принципы иправила распределения функций и обязанностей, связанных с обеспечением информационной безопасности в организации.
Политику следует дополнить, где необходимо, более детальными руководствами для конкретных областей, систем или услуг, Кроме этого, должна быть четко определена конкретнаяответственность в отношении отдельных материальных и информационных активов и процессов, связанных с информационной безопасностью, например, таких как планирование непрерывности бизнеса.Во многих организациях на руководителя службы информационной безопасности возлагаетсяобщая ответственность за разработку и внедрение системы информационной безопасности, а также заоказание содействия в определении мероприятий по управлению информационной безопасностью.В то же время ответственность за определение подлежащих защите ресурсов и реализациюмероприятий по управлению информационной безопасностью в большинстве случаев возлагается наруководителей среднего звена. Общепринятой практикой является назначение ответственного лица(администратора) для каждого информационного актива, в чьи повседневные обязанности входит обеспечение безопасности данного актива.Администратор информационных активов может передавать свои полномочия по обеспечениюбезопасности какому-либо руководителю среднего звена или поставщикам услуг, Тем не менее, администратор остается ответственным за обеспечение безопасности актива и должен быть в состоянииопределить, что любые переданные полномочия реализуются должным образом.Следует устанавливать границы ответственности каждого руководителя и выполнять следующиеправила:3- различные активы и процессы (процедуры) безопасности, связанные с каждой отдельной системой, должны быть выделены и четко определены;- необходимо назначить ответственных (администраторов) за каждый актив или процедуру безопасности, и детали этой ответственности должны быть документированы;- уровни полномочий (авторизации) должны быть ясно определены и документированы.П р и м е ч а н и е — Под авторизацией понимается определение уровней доступа пользователя к определенным массивам информации; в более широком смысле — разрешение определенных действий.4.1.4 Процесс получения разрешения на использование средств обработки информацииНеобходимо определить процедуры получения разрешения на использование новых средствобработки информации.При этом могут осуществляться следующие мероприятия по управлению информационной безопасностью:- новые средства должны быть соответствующим образом одобрены со стороны руководствапользователей и администраторов средств управления, авторизующих их цель использования.
Одобрение следует также получать от менеджера, ответственного за поддержание среды безопасности локальной информационной системы, чтобы обеспечить уверенность в том, что все соответствующие политикибезопасности и требования соблюдены;- аппаратные средства и программное обеспечение следует проверять на совместимость с другими компонентами системы.Примечания1 Одобрение может потребоваться для соединений некоторых типов.2 Использование личных средств обработки информации для обработки служебной информации и любыхнеобходимых мероприятий по управлению информационной безопасностью должно быть авторизовано.3 Использование личных средств обработки информации на рабочем месте может быть причиной новых уязвимостей и, следовательно, должно быть оценено и авторизовано.Эти мероприятия по управлению информационной безопасностью особенно важны в сетевой среде.4.1.5 Консультации специалистов по вопросам информационной безопасностиКонсультации специалистов по вопросам безопасности требуются многим организациям.
В идеале, их должен обеспечивать опытный консультант по информационной безопасности, являющийсясотрудником организации. Но не все организации могут иметь в своем штате профессионала-консультанта. В таких случаях рекомендуется назначение выделенного сотрудника (администратора) для обобщения знаний и опыта внутри организации с целью обеспечения согласованности и поддержки впринятии решений по безопасности. Этот сотрудник должен также иметь доступ к необходимым внешним консультантам для получения профессиональных консультаций по вопросам, выходящим за рамкиего собственной компетенции.Перед консультантами по информационной безопасности или администраторами должна бытьпоставлена задача по обеспечению консультаций по всем аспектам информационной безопасности, втом числе и с привлечением внешних консультантов.
От качества их оценки угроз безопасности и разработки рекомендаций относительно мероприятий по управлению информационной безопасностьюсущественным образом зависит ее эффективность в организации. Для обеспечения максимальнойэффективности и результативности деятельности консультантов (администраторов) им должна бытьпредоставлена возможность непосредственного доступа к высшему руководству организации.С консультантом по информационной безопасности или администратором следует советоваться,по возможности, незамедлительно, в случае подозрения на выявление инцидента нарушения информационной безопасности или уязвимости безопасности для обеспечения получения квалифицированногосовета или выделения ресурсов.
Несмотря на то, что большинство внутренних расследований в отношении безопасности обычно выполняют под контролем руководства, может быть целесообразным обращение к консультанту (администратору) по информационной безопасности с целью разработкирекомендаций, а также его участия в расследовании или в его руководстве.4.1.6 Сотрудничество между организациями в области информационной безопасностиСоответствующие контакты с органами, отвечающими за соблюдение законов, с регулирующимиорганами, поставщиками информационных услуг и операторами связи следует поддерживать для того,чтобы гарантировать, что и в случае нарушения информационной безопасности можно быстро предпринять соответствующие действия и получить правильный совет.
С аналогичной целью следует рассматривать участие в профессиональных сообществах и в отраслевых мероприятиях в областибезопасности.4При обменах информацией по вопросам информационной безопасности следует обеспечиватьзащиту конфиденциальной информации организации от несанкционированного доступа.4.1.7 Независимая проверка (аудит) информационной безопасностиДокумент политики информационной безопасности (подраздел 3.1) устанавливает цели и обязанности в области информационной безопасности.
Его выполнение должно проверяться в интересах обеспечения уверенности в том, что разработанные в организации мероприятия должным образом отражаютполитику и что она является выполнимой и эффективной (подраздел 12.2).Такая проверка (аудит) может быть выполнена внутренним аудитом, независимым менеджеромили сторонней организацией, специализирующейся на таких проверках, при этом специалисты, привлекаемые к проверке, должны обладать соответствующими навыками и опытом.4.2 Обеспечение безопасности при наличии доступа к информационным системам сторонних организацийЦель: поддерживать безопасность средств обработки информации организации и информационных активов при доступе третьих сторон.Доступ к средствам обработки информации организации третьих сторон должен контролироваться.Там, где есть потребность бизнеса в таком доступе третьей стороны, следует производить оценкуриска, определять последствия для безопасности и устанавливать требования к мероприятиям поуправлению информационной безопасностью.
Такие мероприятия следует согласовывать и определять в контракте с третьей стороной.Контракты, разрешающие доступ третьей стороне, должны включать процедуру определения прави условий доступа других участников.Настоящий стандарт может использоваться как основа для составления таких контрактов, а такжепри рассмотрении и привлечении сторонних организаций для обработки информации (outsourcing).4.2.1 Определение рисков, связанных с наличием доступа сторонних лиц и организаций кинформационным системам4.2.1.1 Типы доступаОпределение типа доступа, предоставленного третьей стороне, имеет особое значение.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
