ГОСТ Р ИСО МЭК 17799 (1027767), страница 6
Текст из файла (страница 6)
Сотрудники и подрядчики должны немедленно сообщать о любых наблюдаемых или предполагаемых инцидентах определенному контактному лицу или администратору безопасности. В организации должны быть установлены меры дисциплинарной ответственности сотрудников, нарушающихтребования безопасности.
Для того чтобы иметь возможность реагировать на инциденты нарушенияинформационной безопасности должным образом, необходимо собирать свидетельства идоказательства возможно быстрее после обнаружения инцидента (12.1.7).6.3.1 Информирование об инцидентах нарушения информационной безопасностиОб инцидентах нарушения информационной безопасности следует информировать руководство всоответствии с установленным порядком, по возможности, незамедлительно.Необходимо внедрить формализованную процедуру информирования об инцидентах, а также процедуру реагирования на инциденты, устанавливающие действия, которые должны быть предприняты10после получения сообщения об инциденте. Все сотрудники и подрядчики должны быть ознакомлены спроцедурой информирования об инцидентах нарушения информационной безопасности, а также проинформированы о необходимости незамедлительного сообщения об инцидентах. Необходимо такжепредусмотреть процедуры обратной связи по результатам реагирования на инциденты нарушенияинформационной безопасности.
Информация об инцидентах может использоваться с целью повышения осведомленности пользователей (6.2), поскольку позволяет демонстрировать на конкретных примерах возможные последствия инцидентов, реагирование на них, а также способы их исключения вбудущем (12.1.7).6.3.2 Информирование о проблемах безопасностиОт пользователей информационных сервисов необходимо требовать, чтобы они обращали внимание и сообщали о любых замеченных или предполагаемых недостатках и угрозах в области безопасности всистемах или сервисах. Они должны немедленно сообщать об этих причинах для принятия решенийсвоему руководству или непосредственно поставщику услуг. Необходимо информировать пользователей, что они не должны ни при каких обстоятельствах самостоятельно искать подтверждения подозреваемому недостатку в системе безопасности.
Это требование предъявляется в интересах самихпользователей, поскольку тестирование слабых мест защиты может быть интерпретировано какнеправомочное использование системы.6.3.3 Информирование о сбоях программного обеспеченияДля информирования о сбоях программного обеспечения необходимы соответствующие процедуры, При этом должны предусматриваться следующие действия:- симптомы проблемы и любые сообщения, появляющиеся на экране, должны фиксироваться;- по возможности, компьютер необходимо изолировать и пользование им прекратить. О проблемеследует немедленно известить соответствующее контактное лицо или администратора.
В случае необходимости провести исследования оборудования, которое должно быть отсоединено от всех сетей организации. Дискеты не следует передавать для использования в других компьютерах;- о факте сбоя программного обеспечения следует немедленно извещать руководителя службыинформационной безопасности.Пользователи не должны пытаться самостоятельно удалить подозрительное программное обеспечение, если они не уполномочены на это. Ликвидировать последствия сбоев должен соответственнообученный персонал.6.3.4 Извлечение уроков из инцидентов нарушения информационной безопасностиНеобходимо установить порядок мониторинга и регистрации инцидентов и сбоев в отношении ихчисла, типов, параметров, а также связанных с этим затрат. Эту информацию следует использовать дляидентификации повторяющихся или значительных инцидентов или сбоев. Данная информация можетуказывать на необходимость в совершенствовании существующих или внедрении дополнительныхмероприятий по управлению информационной безопасностью с целью минимизации вероятности появления инцидентов нарушения информационной безопасности, снижения возможного ущерба и расходов в будущем, кроме того, данную информацию следует учитывать при пересмотре политикиинформационной безопасности (3.1.2).6.3.5 Процесс установления дисциплинарной ответственностиДолжны существовать формализованные процедуры, устанавливающие дисциплинарную ответственность сотрудников, нарушивших политику и процедуры безопасности организации (6.1.4 и, в отношении свидетельств, 12.1.7).
Такие процедуры могут оказывать сдерживающее воздействие насотрудников, которые склонны к игнорированию процедур обеспечения информационной безопасности. Кроме того, подобные процедуры призваны обеспечить корректное и справедливое рассмотрениедел сотрудников, которые подозреваются в серьезных или регулярных нарушениях требованийбезопасности.7 Физическая защита и защита от воздействий окружающей среды7.1 Охраняемые зоныЦель: предотвращение неавторизованного доступа, повреждения и воздействия в отношениипомещений и информации организации.Средства обработки критичной или важной служебной информации необходимо размещать взонах безопасности, обозначенных определенным периметром безопасности, обладающим соответствующими защитными барьерами и средствами контроля проникновения.
Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия.11Уровень защищенности должен быть соразмерен с идентифицированными рисками. С цельюминимизации риска неавторизованного доступа или повреждения бумажных документов, носителейданных и средств обработки информации, рекомендуется внедрить политику «чистого стола» и «чистогоэкрана».7.1.1 Периметр охраняемой зоныФизическая защита может быть достигнута созданием нескольких физических барьеров (преград)вокруг помещений компании и средств обработки информации.
Барьеры устанавливают отдельныепериметры безопасности, каждый из которых обеспечивает усиление защиты в целом. Организациямследует использовать периметры безопасности для защиты зон расположения средств обработкиинформации (7.1.3). Периметр безопасности — это граница, создающая барьер, например, проходная,оборудованная средствами контроля входа (въезда) по идентификационным карточкам или сотрудникна стойке регистрации.
Расположение и уровень защиты (стойкости) каждого барьера зависят от результатов оценки рисков.Рекомендуется рассматривать и внедрять при необходимости следующие мероприятия по обеспечению информационной безопасности:- периметр безопасности должен быть четко определен;- периметр здания или помещений, где расположены средства обработки информации, долженбыть физически сплошным (то есть не должно быть никаких промежутков в периметре или мест, черезкоторые можно было бы легко проникнуть).
Внешние стены помещений должны иметь достаточно прочную конструкцию, а все внешние двери должны быть соответствующим образом защищены от неавторизованного доступа,например, оснащены устройствами контроля доступа, шлагбаумами,сигнализацией, замками и т.п.;- должна быть выделенная и укомплектованная персоналом зона регистрации посетителей илидолжны существовать другие мероприятия по управлению физическим доступом в помещения или здания. Доступ в помещения и здания должен быть предоставлен только авторизованному персоналу;- физические барьеры, в случае необходимости, должны быть расширены от пола до потолка, дляпредотвращения неавторизованных проникновений, а также исключения загрязнения окружающей среды в случае пожара или затоплений;- все противопожарные выходы в периметре безопасности должны быть оборудованы аварийнойсигнализацией и плотно закрываться.7.1.2 Контроль доступа в охраняемые зоныЗоны информационной безопасности необходимо защищать с помощью соответствующих мерконтроля входа для обеспечения уверенности в том, что доступ позволен только авторизованному персоналу.
Необходимо рассматривать следующие меры контроля:- посетители зон безопасности должны сопровождаться или обладать соответствующим допуском; дату и время входа и выхода следует регистрировать. Доступ следует предоставлять только длявыполнения определенных авторизованных задач. Необходимо также знакомить посетителей с требованиями безопасности и действиями на случай аварийных ситуаций;- доступ к важной информации и средствам ее обработки должен контролироваться и предоставляться только авторизованным лицам.
Следует использовать средства аутентификации, например, карты доступа плюс PIN-код для авторизации и предоставления соответствующего доступа. Необходимотакже надежным образом проводить аудит журналов регистрации доступа;- необходимо требовать, чтобы весь персонал носил признаки видимой идентификации, следуетпоощрять его внимание к незнакомым несопровождаемым посетителям, не имеющим идентификационных карт сотрудников;- права доступа сотрудников в зоны информационной безопасности следует регулярно анализировать и пересматривать.7.1.3 Безопасность зданий, производственных помещений и оборудованияЗона информационной безопасности может быть защищена путем закрытия на замок самого офиса или нескольких помещений внутри физического периметра безопасности, которые могут быть заперты и иметь запираемые файл-кабинеты или сейфы.
При выборе и проектировании безопасной зоныследует принимать во внимание возможные последствия от пожара, наводнения, взрыва, уличных беспорядков и других форм природного или искусственного бедствия. Также следует принимать в расчетсоответствующие правила и стандарты в отношении охраны здоровья и безопасности труда. Необходимо рассматривать также любые угрозы безопасности от соседних помещений, например затоплений.12При этом следует предусматривать следующие меры:- основное оборудование должно быть расположено в местах с ограничением доступа посторонних лиц;- здания не должны выделяться на общем фоне и должны иметь минимальные признаки своегоназначения — не должны иметь очевидных вывесок вне или внутри здания, по которым можно сделатьвывод о выполняемых функциях обработки информации;- подразделения поддержки и оборудование, например, фотокопировальные устройства и факсы,должны быть расположены соответствующим образом в пределах зоны безопасности во избежаниедоступа, который мог бы скомпрометировать информацию;- двери и окна необходимо запирать, когда в помещениях нет сотрудников, а также следует предусмотреть внешнюю защиту окон — особенно, низко расположенных;- необходимо также внедрять соответствующие системы обнаружения вторжений для внешнихдверей и доступных для этого окон, которые должны быть профессионально установлены и регулярнотестироваться.
Свободные помещения необходимо ставить на сигнализацию. Аналогично следуетоборудовать другие помещения, в которых расположены средства коммуникаций;- необходимо физически изолировать средства обработки информации, контролируемые организацией и используемые третьей стороной;-справочники и внутренние телефонные книги, идентифицирующие местоположения средствобработки важной информации, не должны быть доступны посторонним лицам;- следует обеспечивать надежное хранение опасных или горючих материалов на достаточном расстоянии от зоны информационной безопасности.
Большие запасы бумаги для печатающих устройств неследует хранить в зоне безопасности без соответствующих мер пожарной безопасности;- резервное оборудование и носители данных следует располагать на безопасном расстоянии воизбежание повреждения от последствий стихийного бедствия в основном здании.7.1.4 Выполнение работ в охраняемых зонахДля повышения степени защиты зон информационной безопасности могут потребоваться дополнительные меры по управлению информационной безопасностью и соответствующие руководства.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
