ГОСТ Р ИСО МЭК 17799 (1027767), страница 4

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

Напри­мер, риски доступа через сетевое соединение отличаются от рисков, связанных с физическим доступ ом.Типами доступа, которые следует рассматривать, являются:- физический — к офисным помещениям, компьютерным комнатам, серверным;- логический — к базам данных, информационным системам организации.4.2.1.2 Обоснования для доступаТретьей стороне может быть предоставлен доступ по ряду причин. Например, сторонним компани­ям, оказывающим услуги организациям, но не расположенным территориально в том же месте, можетбыть предоставлен физический и логический доступ, как, например:- сотрудникам третьей стороны, отвечающим за обслуживание аппаратных средств и программно­го обеспечения, которым необходим доступ на уровне систем или более низком уровне прикладнойфункциональности;-торговым и деловым партнерам, которым может потребоваться обмен информацией, доступ кинформационным системам или общим базам данных.Информация организации может быть подвержена риску нарушения безопасности при доступетретьих сторон с неадекватным управлением безопасностью.

Там, где есть производственная необхо­димость контактов с третьей стороной, следует проводить оценку риска, чтобы идентифицировать тре­бования и определить мероприятия по управлению информационной безопасностью. При этом следуетпринимать во внимание тип требуемого доступа, ценность информации, мероприятия по управлениюинформационной безопасностью, используемые третьей стороной, и последствия этого доступа дляинформационной безопасности организации.4.2.1.3 Подрядчики, выполняющие работы в помещениях в организацииТретьи стороны, размещенные в помещениях организации более срока, определенного в их кон­тракте, могут ослабить безопасность. Категории сотрудников третьей стороны, размещаемых в помеще­ниях организации:- сотрудники, осуществляющие поддержку и сопровождение аппаратных средств и программногообеспечения;- сотрудники, осуществляющие уборку, обеспечивающие питание, охрану и другие услуги;- студенты и лица, работающие по трудовым соглашениям;- консультанты.5Важно предусмотреть мероприятия по управлению информационной безопасностью, необходи­мые для управления доступом к средствам обработки информации третьей стороны.

Все требованиябезопасности, связанные с доступом третьей стороны или мероприятиями по управлению информаци­онной безопасностью, следует отражать в контракте с третьей стороной (4.2,2). Например, еслисуществует специальная потребность в обеспечении конфиденциальности информации, следуетзаключить соглашение о ее неразглашении (6.1.3).Недопустимо предоставлять третьей стороне доступ к информации и средствам ее обработки дотех пор, пока не установлены соответствующие мероприятия по управлению информационной безопас­ностью и не подписан контракт, определяющий условия предоставления связи или доступа.4.2.2 Включение требований безопасности в договоры со сторонними лицами и организа­циямиВсе действия, связанные с привлечением третьей стороны к средствам обработки информацииорганизации, должны быть основаны на официальном контракте, содержащем или ссылающемся наних, и должны обеспечиваться в соответствии с политикой и стандартами безопасности организации.Контракт должен обеспечивать уверенность в том, что нет никакого недопонимания между сторонами.Организации также должны предусмотреть возмещение своих возможных убытков со стороныконтрагента.

В контракт включаются следующие положения:а) общая политика информационной безопасности;б) защита активов, включая:1) процедуры по защите активов организации, в том числе информации и программного обес­печения;2) процедуры для определения компрометации активов, например, вследствие потери илимодификации данных;3) мероприятия по обеспечению возвращения или уничтожения информации и активов по окончании контракта или в установленное время в течение действия контракта;4) целостность и доступность активов;5) ограничения на копирование и раскрытие информации;в) описание каждой предоставляемой услуги;г) определение необходимого и неприемлемого уровня обслуживания;д) условия доставки сотрудников к месту работы, при необходимости;е) соответствующие обязательства сторон в рамках контракта;ж) обязательства относительно юридических вопросов, например, законодательства о защи­те данных с учетом различных национальных законодательств, особенно если контракт относится ксотрудничеству с организациями в других странах (12.1);з) права интеллектуальной собственности (IPRs) и авторские права (12.1.2), а также право­вая защита любой совместной работы (6.1.3);и) соглашения по управлению доступом, охватывающие:1) разрешенные методы доступа, а также управление и использование уникальных идентифи­каторов, типа пользовательских ID и паролей;2) процесс авторизации в отношении доступа и привилегий пользователей;3) требование актуализации списка лиц, имеющих право использовать предоставляемые услу­ги, а также соответствующего списка прав и привилегий;к) определение измеряемых показателей эффективности, а также их мониторинг и предо­ставление отчетности;л) право мониторинга действий пользователей и блокировки доступа;м) право проводить проверки (аудит) договорных обязанностей или делегировать проведе­ние такого аудита третьей стороне;н) определение процесса информирования о возникающих проблемах в случае непредви­денных обстоятельств;о) обязанности, касающиеся установки и сопровождения аппаратных средств и программно­го обеспечения;п) четкая структура подотчетности и согласованные форматы представления отчетов;р) ясный и определенный процесс управления изменениями;с) любые необходимые способы ограничения физического доступа и процедуры для обеспе­чения уверенности в том, что эти меры эффективны;т) обучение пользователя и администратора методам и процедурам безопасности;у) мероприятия по управлению информационной безопасностью для обеспечения защитыот вредоносного программного обеспечения (см.

8.3);6ф) процедуры отчетности, уведомления и расследования инцидентов нарушения информа­ционной безопасности и выявления слабых звеньев системы безопасности;х) привлечение третьей стороны вместе с субподрядчиками.4.3 Привлечение сторонних организаций к обработке информации (аутсорсинг)Цель: обеспечение информационной безопасности, когда ответственность за обработку инфор­мации передана другой организации.Договоренности, связанные с привлечением третьих сторон, должны учитывать оценки рисков,мероприятия по управлению информационной безопасностью и процедуры в отношении информацион­ных систем, сетей и/или настольных компьютеров и должны быть отражены в контракте.4.3.1 Включение требований безопасности в договоры на оказание услуг по обработкеинформации сторонними организациями (аутсорсингу)Требования безопасности в случае, когда организация передает для управления и контроля всеили некоторые из своих информационных систем, сетей и/или персональных компьютеров, следует ука­зать в контракте, согласованном между сторонами и учитывающем:- выполнение требований законодательства, например, в отношении защиты данных;-достижение договоренностей, обеспечивающих уверенность в том, что все стороны, включаясубподрядчиков, осведомлены о своих обязанностях, касающихся безопасности;- как будут обеспечиваться и тестироваться параметры целостности и конфиденциальности биз­нес-активов организации;- типы физических и логических методов по управлению информационной безопасностью, исполь­зуемых при предоставлении необходимого доступа к чувствительной служебной информации организа­ции сторонним пользователям;- обеспечение доступности сервисов в случае бедствия;- уровни физической безопасности, которые должны быть обеспечены в отношении оборудования,используемого в рамках аутсорсинга;- право на проведение аудита.Условия, приведенные в пункте 4.2.2, следует также рассматривать как часть контракта.

Необходи­мо, чтобы контрактом была предусмотрена возможность дальнейшей детализации и реализации требо­ваний и процедур безопасности в согласованном между сторонами плане мероприятий в областибезопасности.Несмотря на то, что контракты по привлечению третьих сторон могут включать ряд сложных вопро­сов, правила и рекомендации по управлению информационной безопасностью, включенные в настоя­щий стандарт, должны служить отправной точкой при согласовании структуры и содержания плана поуправлению безопасностью,5 Классификация и управление активами5.1 Учет активовЦель: обеспечение соответствующей защиты активов организации.Все основные информационные активы должны быть учтены и закреплены за ответственнымивладельцами.Учет активов помогает обеспечивать уверенность в их надлежащей защите.

Необходимо иденти­фицировать владельцев всех основных активов и определить их ответственность за поддержание соот­ветствующих мероприятий по управлению информационной безопасностью. Осуществлениемероприятий по управлению информационной безопасностью может быть делегировано, но ответ­ственность должна оставаться за назначенным владельцем актива.5.1.1 Инвентаризация активовОписание активов дает уверенность в том, что обеспечивается эффективная защита активов, и ономожет также потребоваться для целей обеспечения безопасности труда, страхования или решенияфинансовых вопросов (управление активами). Процесс составления описи активов — важный аспектуправления риском. Организация должна быть в состоянии идентифицировать свои активы с учетом ихотносительной ценности и важности.

Основываясь на этой информации, организация может обеспечи­вать заданные уровни защиты, соответствующие ценности и важности активов. Описи следует состав­лять и поддерживать для важных активов, связанных с каждой информационной системой. Каждыйактив должен быть четко идентифицирован и классифицирован с точки зрения безопасности (5.2), еговладельцы должны быть авторизованы, а данные о них документированы. Кроме того, должно быть ука7зано фактическое местоположение актива (это важно в случае восстановления активов при потере илиповреждении). Примерами активов, связанных с информационными системами, являются:- информационные активы: базы данных и файлы данных, системная документация, руководствапользователя, учебные материалы, процедуры эксплуатации или поддержки (обслуживания), планы пообеспечению непрерывности функционирования информационного обеспечения, процедуры действийпри сбоях, архивированная информация;- активы программного обеспечения: прикладное программное обеспечение, системное програм­мное обеспечение, инструментальные средства разработки и утилиты;- физические активы: компьютерное оборудование (процессоры, мониторы, переносные компью­теры, модемы), оборудование связи (маршрутизаторы, частные автоматические телефонные станции свыходом в сеть общего пользования, факсы, автоответчики), магнитные носители (ленты и диски), дру­гое техническое оборудование (электропитание, кондиционеры), мебель, помещения;- услуги: вычислительные услуги и услуги связи, основные коммунальные услуги, например, ото­пление, освещение, электроэнергия, кондиционирование.5.2 Классификация информацииЦель: обеспечение уверенности в том, что информационные активы защищены на надлежащемуровне.Информацию следует классифицировать, чтобы определить ее приоритетность, необходимость истепень ее защиты.Информация имеет различные степени чувствительности и критичности.

Характеристики

Список файлов учебной работы