понедельник, 22 августа 2011 г.

Сертификация по ISO 27001 \ Глава 3. Основные концепции и инструменты для СМИБ

В Главе 1 мы познакомились со стандартами безопасности ISO, отметив различия и взаимосвязи стандартов ISO 27001 и ISO 27002. В Главе 2 мы познакомились с Системой менеджмента информационной безопасности (СМИБ), структурой менеджмента безопасности (СМБ) и рядом других понятий, которые устанавливают взаимосвязи между созданием и поддержанием СМИБ для управления соответствием в целом. Эта глава описывает СМБ, а также подходы и инструменты, применяемые при создании, внедрении, функционировании, мониторинге, пересмотре, поддержке и улучшении информационной безопасности и СМИБ.

В этой Главе рассмотрены следующие вопросы:
  • Применение СМБ
  • Руководство по интерпретации

Существует множество нюансов, которые оказывают влияние на эффективность СМИБ. Разделы риск-менеджмента и безопасности включают в себя организационную безопасность, управление активами, физическую безопасность, безопасность персонала, коммуникаций, функционирования, разработки и закупки информационных технологий, обеспечение непрерывности бизнеса, управление доступом и многое другое. Каждый из перечисленных разделов состоит из множества подразделов и компонентов безопасности. Например, подразделами управления доступом являются: доступ на уровне пользователей, доступ на уровне сетевой инфраструктуры, доступ на уровне компонентов операционной системы. В свою очередь, доступ на уровне сетевой инфраструктуры состоит из таких компонентов безопасности, как политика сетевого доступа, аутентификация пользователей, удаленная диагностика, управление сетевыми соединениями, управление маршрутизацией в сети. Большое количество таких компонентов, у каждого из которых могут быть свои особенности, может привести к существенным сложностям. Чтобы избежать этого, необходимо разработать структуру, в рамках которых будут определены вопросы, требующие решения. Это можно сделать с помощью СМБ.

В приведенном ниже примере структура менеджмента безопасности (СМБ) является достаточно всеобъемлющей, в качестве основы она использует стандарт ISO 27002. Но следует понимать, что это только пример СМБ. Реальная СМБ может буквально следовать ISO 27001 и ISO 27002 и ограничиваться этим, а может содержать дополнения, исключения или изменения, вызванные специфическими потребностями компании. Преимуществами всеобъемлющей структуры являются, как минимум, полное соответствие потребностям компании, наличие единой структуры, описывающей все существенные для компании вопросы безопасности. Хотя, казалось бы, все без исключения вопросы безопасности являются существенными, но это не значит, что компании нужно внедрять защитные меры в отношении каждого из них. Для отдельных вопросов правильным решением будет заявление, что воздействие на компанию в результате реализации соответствующего риска является незначительным, поэтому в настоящее время нет смысла инвестировать средства в защитные меры. В дальнейшем возможны небольшие доработки в отношении этих вопросов, особенно, когда СМИБ пересматривается новым сотрудником безопасности, или когда аудитор анализирует СМИБ для ее сертификации. Смысл заключается в том, чтобы объяснить руководству, финансовой службе или аудитору, что каждый из возможных вопросов безопасности, имеющих отношение к компании, был учтен и проанализирован с точки зрения включения в СМИБ, и что отсутствующие в ней элементы – это осознанные исключения, сделанные на основе уровня бизнес-риска и оценки возврата инвестиций, а не случайные пробелы.

Жесткий подход к реализации СМИБ заключается в точном соблюдении ISO 27002. Стандарты безопасности ISO очень хороши, но все же они не являются священным писанием. Авторы придерживаются более гибкого подхода, который допускает, а, точнее, поощряет дополнения, изменения, исключения и преобразования, которые позволят создать СМБ, максимально соответсвующую потребностям компании в области безопасности и управления рисками. Цель состоит в том, чтобы разработать СМБ, ориентированную на конкретную компанию, основанную на отраслевых стандартах и служащую руководством по созданию СМИБ и программы управления соответствием. Нужно только учитывать, что если компания планирует пройти сертификацию по ISO 27001, то она должна выполнить минимальный набор требований, содержащийся в разделах 4 – 8 стандарта ISO 27001.

СМБ является схемой, описывающей основные разделы безопасности, их подразделы и отдельные элементы, и позволяющей обеспечить их согласованность и полноту. Созданная однажды СМБ, может многократно использоваться в дальнейшем. Например, одним из дополнительных применений СМБ является возможность отслеживания хода разработки, внедрения, а также эффективности политик, стандартов и процедур, применяемых для каждого раздела безопасности. Компания может использовать те же разделы и элементы для контроля поставщиков услуг. При этом какие-то услуги могут быть внутренними, другие могут быть сервисами безопасности, реализуемыми провайдерами, могут быть услуги, переданные на аутсорсинг, а также услуги, выполняемые сторонними поставщиками или партнерами. СМБ позволяет установить границы, в рамках которых разрабатывается документация СМИБ и инструменты, необходимые для управления соответствием. В состав этих инструментов входят вопросники, аналитические инструменты для обработки полученных данных, инструменты для создания отчетов по результатам анализа и исследования, а также инструменты для отслеживания хода работ по устранению недостатков.

Очень полезно использовать СМБ в качестве основы для отслеживания соответствия программы менеджмента безопасности обязательным для компании требованиям и, в конечном итоге, ключевым бизнес-драйверам, определяющим потребности в тех или иных инициативах в области безопасности. При этом появляется возможность оценивать бюджетные запросы на безопасность и защищать их в случае общего сокращения бюджета. Средство безопасности (например, система IDS) или функция безопасности (например, команда реагирования на инциденты), предусмотренные на уровне законодательства или обязательных требований, могут быть вычеркнуты руководством из планов проектов или бюджета только в крайнем случае. Более того, такое формальное построение дает возможность получить отдачу от инвестиций в безопасность (ROSI – Return on Security Investment) за счет снижения бизнес-рисков, например, уменьшения штрафов, наложенных на компанию и руководство, что обеспечивается установлением и поддержкой приемлемого уровня соответствия законодательству.

СМБ, основанная на ISO 27002, содержит следующие разделы:
  • Политика безопасности
  • План менеджмента безопасности
  • Управление активами
  • Безопасность персонала
  • Физическая безопасность
  • Управление эксплуатацией
  • Управление доступом
  • Обеспечение качества решений (SQA – Solution Quality Assurance)
  • Управление инцидентами
  • Управление непрерывностью бизнеса и восстановлением после аварий
  • Управление соответствием
Каждый раздел может содержать подразделы и элементы, которые отражают отдельные требования безопасности. Столь детальная структура позволяет упростить определение потребностей в управлении рисками, планирование работ по управлению рисками, отслеживание их выполнения, формирование отчетов о результативности работ по управлению рисками в терминах бизнес-драйверов, которые и определяют потребности компании в управлении рисками в целом. В связи с тем, что многие требования безопасности могут трактоваться по разному, очень полезно для компании разработать документ, в котором приведена интерпретация таких требований, чтобы четко определить значение и назначение требований, входящих в состав СМБ. В следующем разделе дан пример руководства по интерпретации.


В Таблице 3.1 приведен пример СМБ и пример руководства по интерпретации. Приведенная СМБ достаточно всеобъемлюща и позволяет на ее основе определить СМИБ, матрицу для отслеживания выполнения требований, вопросники, аналитические инструменты, инструменты для создания отчетности, инструменты для отслеживания действий по снижению рисков и устранению недостатков, матрицу распределения обязанностей и другие полезные инструменты. Но не забывайте, что это просто пример. Реальная интерпретация может отличаться в разных компаниях, в зависимости от целей бизнеса, бизнес-среды, других требований, которым должна соответствовать компания и которые влияют на ее функционирование. ISO 27001 использует «нормативные ссылки» для определения словаря общих терминов и определений, что обеспечивает их одинаковое понимание всеми и правильное использование.


Категория / Подкатегория / ЭлементТребованиеИнтерпретация / Комментарии
1. Политика безопасности

1.1. Политика безопасности информации и информационных технологий
Компании нужна политика безопасности, отражающая требования, которым должна соответствовать компания, и поддерживающая миссию компании.
ДокументацияРуководство выпускает всеобъемлющую политику безопасности, которая включает в себя вопросы управления информационной безопасностью и четкие руководящие принципы по их реализации.Успешная программа безопасности должна иметь поддержку со стороны руководства. Создание эффективной программы безопасности начинается с политики.
ОзнакомлениеОзнакомьте с политикой все подразделения компании.Чтобы политика была успешной, люди должны знать о ней и знать, как ее применять.
Пересмотр политикиПересматривайте политику через определенные интервалы времени или в случае значительных изменений (наступления «событий-триггеров» для пересмотра), которые влияют на текущую политику. Кроме того, следует организовать комитет (рабочую группу по безопасности) для пересмотра этой политики и внесения в нее изменений.Определите «события-триггеры» для пересмотра политики: календарные сроки, инциденты безопасности, изменения в бизнесе и т.п. Организуйте рабочую группу по безопасности (SWG – Security Working Group) и/или комитет по стратегическому управлению безопасностью (Security Governance Group) для пересмотра политики.
2. План менеджмента безопасности

2.1. Внутриорганизационный менеджмент

Поддержка руководства высшего и среднего уровнейВысшее руководство подотчетно акционерам (stakeholder) и должно на практике реализовывать управление рисками. Руководство определяет драйверы бизнес-рисков в области безопасности, а затем организует и осуществляет надзор за функционированием информационной безопасности в компании.Чтобы программа безопасности была успешной, необходимо участие руководства, включая стратегическое управление, принятие решений (adjudication), управление соответствием, надзор за функционированием.
Согласованность информационной безопасностиОбеспечьте присутствие в рабочей группе по безопасности представителей различных подразделений компании, а также людей, обеспечивающих выполнение иной деятельности, важной с точки зрения стратегического управления безопасностью.Это требование подразумевает необходимость в корпоративном подходе к безопасности, включая бизнес-планирование, бизнес-деятельность, соответствие законодательству, а также вопросы информационных технологий. Безопасность – это гораздо больше, чем просто проблемы, связанные с ИТ.
Роли и обязанности в области безопасностиРуководство четко определяет роли и обязанности по стратегическому управлению и менеджменту безопасности. Например, обязанности по обеспечению информационной безопасности возлагают на специалистов по безопасности или других людей, обладающих широкими познаниями в области безопасности.Это касается требований по распределению ответственности за обеспечение безопасности компании, а также требований по привлечению знающих людей к выполнению мероприятий по безопасности (например, специалистов по безопасности). Эти требования не позволяют возлагать обязанности по обеспечению безопасности на сетевых или системных администраторов, которые могли бы выполнять соответствующие задачи в свободное время.
Аутентификация и авторизацияУстановите политику (политики) для деятельности, связанной со средствами обработки данных, которая содержит руководящие принципы в отношении управления доступом и управления использованием (activity management), в части, которая требует управления учетными записями и привилегиями.Необходимо организовать управление учетными записями и привилегиями, что включает в себя аутентификацию и авторизацию соответственно. Это применимо как к физическому доступу, так и к компьютерному. В наибольшей степени эти требования относятся к средствам обработки информации, включая доступ и любые изменения, которые происходят в рамках этих средств.
Соглашение о конфиденциальностиСоглашение о неразглашении (NDA – Non-disclosure agreement) должно быть составлено таким образом, чтобы руководство имело законные основания для принятия необходимых мер в случае нарушений безопасности.Соглашение о конфиденциальности обеспечивает взаимопонимание между сотрудником и работодателем. Сотрудники осведомлены о своих обязанностях и ответственности.
Взаимоотношения с внешними органамиСоздайте политики и иные документы, определяющие с какими органами необходимо контактировать в случае чрезвычайных обстоятельств; следите за актуальностью этих документов и своевременно обновляйте контактную информацию в них.Подготовьтесь к чрезвычайным обстоятельствам, в т.ч. определите, с кем нужно поддерживать контакт, в случае их возникновения. Включите обновление контактной информации в план мероприятий по подготовке к чрезвычайным обстоятельствам (Emergency preparedness plan) (непрерывность бизнеса, восстановление после аварий, план обеспечения непрерывности функционирования и т.д.).
Профессиональные организацииЧленство в профессиональных организациях по безопасности помогает быть в курсе современных методов обеспечения безопасности, передавать и получать предупреждения об опасности, обмениваться информацией о новых угрозах и уязвимостях.Полезные уроки и информацию о чужом опыте можно получать как в самой компании, так и в сторонних организациях.
Независимые оценки и аудитРуководство должно инициировать регулярный независимый анализ программы информационной безопасности, а также текущего состояния безопасности.Даже несмотря на честные намерения и профессионализм специалистов по безопасности компании, есть смысл в проведении проверок независимой третьей стороной. Кроме того, проведение независимых проверок безопасности может быть предусмотрено в законодательстве и иных обязательных для компании требованиях.
2.2. Управление взаимоотношениями с клиентами и контрагентами (Second-Party Management)

Управление рискамиДо того, как предоставить клиенту или контрагенту доступ в помещения компании, к ее информации или информационным технологиям, компания устанавливает правила, которые минимизируют связанные с таким доступом риски.Заключите соглашения между компанией и производителями, партнерами, подрядчиками, поставщиками, клиентами и любыми другими сторонними организациями и лицами, которые имеют физический или компьютерный доступ к активам компании.
Безопасность при работе с клиентамиУстановите политики, учитывающие все виды доступа, которые требуются клиентам.Имеет смысл определить различные роли (категории), в которых могут выступать клиенты и контрагенты, а затем настроить их доступ на основании ролей в соответствии с их потребностями. Предоставление клиентам или контрагентам широких прав доступа (по крайней мере, без убедительного обоснования) не является хорошей практикой.
Бизнес-соглашения (Business agreement)В качестве дополнительного средства управления рисками и обеспечения безопасности следует заключать бизнес-соглашения, такие как контракты, договоры, запросы предложений (RFP – Request for Proposal) и т.д.Включите в контракты и другие соглашения положения, которые направлены на обеспечение осведомленности, понимания и выполнения сторонними организациями правил безопасности. Смысл многих соглашений был потерян в казуистических формулировках и жестком следовании букве закона; целесообразно формулировать соглашения так¸ чтобы следовать духу закона, чтобы было ясно их назначение, однозначно указывая, какие действия разрешены, устанавливая, что запрещено все, что явным образом не разрешено.
3. Управление активами

3.1. Ответственность за активы и подотчетность

ИнвентаризацияОпределите (идентифицируйте) все активы компании и составьте их реестр, указав важность каждого актива для компании, легкость замены, расположение актива и другие применимые свойства, позволяющие отслеживать жизненный цикл актива; свяжите активы с бизнес-функциями, для выполнения которых они необходимы.Определите (идентифицируйте) и составьте перечень корпоративных активов. Решите, какие метаданные об активах имеет смысл отслеживать, чтобы иметь сведения об их физическом местонахождении, использовании, жизненном цикле, окончании срока использования, списании и т.д. Чтобы связать активы с бизнес-функциями, сначала необходимо идентифицировать ключевые бизнес-функции и определить степень критичности каждого актива для успешного выполнения каждой из функций.
Владение (Ownership)Для каждого актива определите владельца, который будет отвечать за реализацию и обеспечение соблюдения политики, определение приемлемых действий с учетом должной осмотрительности.Если за что-то отвечают все, в действительности это означает, что не отвечает никто. Определите владельца для каждого из активов и назначьте его ответственным за управление активом, которым он владеет. В его обязанности могут входить вопросы доступа к активу и совместного использования актива. Примечание: активами могут быть объекты интеллектуальной собственности, документы, компьютеры или иные компьютерные устройства и т.п.
Надлежащее использованиеУстановите политику, стандарт и процедуры надлежащего использования информации и информационных технологий.Установите корпоративную политику надлежащего использования, которая предоставит владельцам активов необходимые руководящие принципы для принятия обоснованных решений в рамках управления их активами.
3.2. Классификация информации и информационных технологий

КлассификацияКомпания разрабатывает руководство по классификации. Владелец актива проводит классификацию и обеспечивает соблюдение требований к выбранному классу в рамках всей информации и информационных технологий, чтобы тем самым защитить соответствующие активы.Разработайте классификацию для информации и информационных технологий с целью эффективного управления бизнес-рисками. Параметрами, принимаемыми во внимание при оценке рисков, могут быть, в частности: значимость (ценность) для компании, потенциальный ущерб в случае несанкционированного раскрытия, изменения, потери доступности, а также требования, которые должна соблюдать компания.
Маркировка и надлежащее обращениеПромаркируйте и установите процедуру по правильному обращению с любой информацией и информационными технологиями в соответствии с уровнем их классификации.Предоставьте персоналу и уполномоченным третьим сторонам руководящие указания по правильному обращению с информацией и информационными технологиями.
4. Безопасность персонала

4.1. Перед приемом на работу

Роли и обязанности, связанные с безопасностьюПривлекайте кадровую службу компании (HR – Human Resources) к определению ролей и обязанностей, связанных с безопасностью, для кандидатов на любые позиции. Это касается не только специалистов по безопасности, но и всех остальных.Сначала имеет смысл определить роли и обязанности, связанные с безопасностью, а затем привлечь кадровую службу, чтобы обеспечить учет требований этих ролей и обязанностей в соответствующих должностных инструкциях, решениях по приему на работу, процедурах адаптации, уведомлениях и процедурах увольнения.
Проверка предоставленной информации (Background checks)В допустимых и разумных пределах проводите (или заказывайте) проверку предоставленной кандидатами информации о себе. Такие проверки могут включать в себя проверку наличия криминального прошлого, финансовых отношений, правдивости сделанных заявлений или указанных в резюме сведений (ученые степени, сертификаты, свидетельства об обучении, подтверждение опыта).Должны быть определены обязанности по приему персонала, соответствующего требованиям к позиции. Должна быть установлена ответственность за прием на работу кандидата, не соответствующего позиции. Например, лица с криминальным прошлым – не лучший выбор для позиции охранника.
СоглашенияСотрудники, партнеры, подрядчики и другие стороны, взаимодействующие с компанией, которые имеют доступ к ее активам, подписывают соглашения об условиях сотрудничества. Такие соглашения могут предусматривать требования и обязанности по неразглашению информации, соблюдению конфиденциальности, отказ от  конкуренции, навязывания дополнительных услуг, а также иные обязанности и требования, которые минимизируют риски компании, связанные с таким сотрудничеством.Привлекайте юристов в ходе определения условий работы, чтобы обеспечить соблюдение местных, региональных и государственных законодательных требованй. Предусмотрите все необходимые условия в соглашении, заключаемом с работником или третьей стороной.
4.2. В период работы (Tenure)

ОсведомленностьПосле начала сотрудничества компания обеспечивает координацию, описывая обязанности в части безопасности.Руководство обязано убедиться, что сотрудник осведомлен, понимает и выполняет требования политик и процедур безопасности.
Обучение, тренинги и повышение осведомленности по безопасности (SETA – Security education, training, and awareness)Компания проводит первоначальные и периодические (как минимум, ежегодные) мероприятия по повышению осведомленности и тренинги персонала по вопросам безопасности, дополнительные мероприятия по повышению осведомленности руководства, а также дополнительные тренинги или обучение для специалистов по безопасности.Отслеживайте осведомленность сотрудников, понимание и выполнение ими требований, относящихся к безопасности. Примером метрики, позволяющей отслеживать осведомленность, является простая фиксация подтверждений получения сообщений по электронной почте или указание уникального логина при входе на страницу, содержащую краткий курс по ИБ. Отслеживать понимание требований сотрудниками можно с помощью тестов или опросов. Для отслеживания выполнения требований можно использовать антивирусное программное обеспечение или персональный межсетевой экран, настроенный в соответствии с положениями политики компании.
СанкцииУстановите политику и процедуры наказаний за нарушения политики безопасности, стандартов и процедур.Введение закона без обеспечения его соблюдения, превращает закон в бумажного тигра – ни когтей, ни хватки. То же самое справедливо и для политики. Предусмотрите положение, которое наделяет компанию правом (но не обязанностью) требовать соблюдения политики и контролировать ее реальное соблюдение. Такое положение оставляет компании свободу действий в различных обстоятельствах, т.е. решение о наказании зависит от тяжести нарушения.
4.3. Изменение статуса сотрудника

УвольнениеУстановите политику и процедуры увольнения сотрудника. Предусмотрите оба случая: как по собственному желанию, так и по инициативе руководства компании. Процедуры должны включать блокировку учетных записей или полномочий (в зависимости от ситуации), включая учетные записи для работы с внешними ресурсами компании, ограничение доступа в помещения компании и т.п.Установка процедуры обеспечивает введение перечня действий (обходного листа), гарантирующего своевременную блокировку учетных записей, отзыв полномочий, возврат идентификационных карт, банковских карт, ключей и прочего. Увольнение – это период повышенного эмоционального напряжения для обеих сторон. Установление соответствующей процедуры обеспечивает системный и рациональный подход к этому процессу.
Назначение на новую должностьУстановите политику и процедуру перевода сотрудника на новую должность.Наличие процедуры обеспечивает введение перечня действий (аналог обходного листа), гарантирующего своевременный пересмотр полномочий – отзыв старых и назначение новых, а также ознакомление сотрудника с информацией и перечнем его обязанностей в части безопасности, связанными с его новой должностью.
Контроль активов (Asset accountability)В зависимости от обстоятельств изменения статуса сотрудника, может потребоваться пересмотреть перечень предоставленных ему активов, принимая во внимание его новый статус.Ведите журнал предоставления сотрудникам активов, собирайте сведения о предоставленной сотрудикам информации и информационным активам. Это может включать в себя бумажные документы, идентификационные карты, компьютеры, ноутбуки, мобильные телефоны и т.д.
Управление доступомВ зависимости от обстоятельств изменения статуса сотрудника, может потребоваться пересмотреть предоставленные ему права и полномочия, внести в них необходимые изменения.Разработайте политику по пересмотру, анализу и отзыву прав и полномочий. Политика должна предусматривать срочный отзыв прав и полномочий, а также блокировку учетных записей, что является хорошей практикой безопасности.
5. Физическая безопасность

5.1. Физическое расположение (Physical proximity)

ПериметрУчитывая характеристики территории, здания, этажа или помещения, установите политику, стандарты и процедуры для обеспечения физической защиты периметра, в соответствии с требуемым уровнем защиты. Защита может обеспечиваться с помощью стен, ограждений, ворот, освещения, считывателей карт, пропускных пунктов, видеонаблюдения, охранников, стойки администратора (reception desk) и т.д.Учитывайте требования по защите физических активов, а также, что более важно, информационных активов, находящиеся внутри зданий или компьютерного оборудования. Например, затраты на замену ноутбука в большинстве случаев гораздо меньше ущерба от потери или компрометации информации, хранящейся на этом ноутбуке.
Вход/выходОграничьте число входов/выходов и защитите их с помощью специальных средств, которые позволяют проходить только уполномоченным лицам. Ведите журнал регистрации всех входящих и выходящих.Ограничение числа входов/выходов уменьшает затраты на обеспечение безопасности. Это также уменьшает область, которую нужно будет проконтролировать в случае необходимости.
Помещения (Rooms)Скрывайте или хотя бы не выставляйте напоказ наличие средств безопасности. Как правило, размещать защищаемые помещения следует вдали от мест общего пользования.Введите нумерацию или именование помещений, чтобы позволить сотрудникам легко ориентироваться в здании, однако не раскрывайте информации, позволяющей сделать выводы о значимости или важности этих помещений. Например, надпись на  двери «Кабинет E91.426» говорит гораздо меньше, чем надпись «Исследования и Разработки».
Внешние угрозыУстановите процедуры по действиям в аварийных ситуациях для природных катаклизмов и техногенных аварий, а также рисков, связанных с человеком. Природными угрозами могут быть наводнения, ураганы или снежные бури. Техногенные угрозы связаны с потерей снабжения, например, электричества или воды. Рисками, связанными с человеком, могут быть целенаправленные атаки (например, терроризм) или вынужденные действия (например, беспорядки или протесты). С учетом требований к доступности сервисов, закупите, установите и поддерживайте в рабочем состоянии источники бесперебойного питания (UPS – Uninterruptible Power Supply), автоматы аварийного отключения питания, резервное водоснабжение, телекоммуникационное оборудование и другие средства, обеспечивающие работоспособность компании.Набор общих процедур зачастую менее полезен, чем одна, но ориентированная на конкретную ситуацию. Физическая близость здания компании к некоторым территориям (таким как аэропорт и его взлетно-посадочная полоса, зоны частых наводнений или землетрясений) ведет к особым требованиям. Нужно предвидеть возможные чрезвычайные обстоятельства и планировать действия на случай их реализации. Запланируйте мероприятия для обеспечения непрерывной доступности коммунальных услуг. Необходимость постоянной доступности этих услуг вызвана присутствием людей, т.к. отсутствие водоснабжения может привести к запрету работы в этом здании санитарно-эпидемиологической службой. Кроме того, прекращение водоснабжения может привести к остановке системы кондиционирования воздуха, если применяются установки, использующие для охлаждения воду. Смысл вышесказанного заключается в том, чтобы подчеркнуть: электроснабжение – далеко не единственное, что должно приниматься во внимание.
Критичные области (Sensitive area)Установите политику, стандарт и процедуру, которые описывают порядок использования областей (помещений), в которых выполняются работы, требующие повышенной безопасности.Если стратегические или тактические работы (инициативы) требуют обеспечения повышенной безопасности, убедитесь, что сотрудники придерживаются установленных ограничений при выполнении этих работ. К стратегическим работам (инициативам) можно отнести исследования и разработку. К тактическим – подготовку коммерческого предложения для потенциального договора на работу, стоимостью в миллион долларов, или текущую работу по обеспечению безопасности при обработке финансовых данных.
Общедоступные области (Public area)Контролируйте общедоступные области (помещения), например, вестибюли, приемные, зоны погрузки/разгрузки. Установите средства контроля доступа между общедоступными областями и внутренними помещениями компании.Контроль (мониторинг) – это только один из аспектов, хотя и очень важный. Но кроме этого, следует ограничить доступ из общедоступных областей во внутренние помещения компании. Это можно сделать с помощью установки считывателей карт, шифрозамков, охранников и т.п.
5.2. Безопасность активов

Меры по обеспечению безопасности активовРеализуйте меры для физической защиты информационных технологий от несанкционированного доступа или случайного повреждения.Физические ограничения доступа – это важно, но кроме них нужно учитывать и вопросы размещения самих защищаемых помещений или технических средств, в частности, чтобы избежать просмотр происходящего в них неуполномоченными лицами. Например, не самой лучшей идеей будет размещение кабинета финансового директора в угловом помещении первого этажа с окном во всю стену и без жалюзи.
Прокладка кабелей (wiring)Кабели (электрические, сетевые, телефонные) имеют критически важное значение для поддержания непрерывности функционирования компании. Обеспечьте безопасность кабельной инфраструктуры для сохранения конфиденциальности передаваемой информации и доступности сервисов. Используйте такие защитные меры, как маркировка, разделение, прокладка в защищенных коробах и экранирование.Эти меры включают в себя точки разграничения (demarcation point) между общедоступными сервисами и внутренней средой компании (например, телефонные сети, сеть Интернет и т.п.). Не забывайте про защиту выделенных каналов связи, соединяющих различные здания (офисы) компании.
СопровождениеВыполняйте необходимые превентивные и восстановительные работы, чтобы обеспечить непрерывность выполнения бизнес-операций.Приобретение и внедрение оборудования и систем являются только первыми шагами. В дальнейшем необходимо эффективно и безопасно эксплуатировать и сопровождать их.
Многократное использование активов (Asset reuse)Установите политику, стандарты и процедуры для уничтожения, перезаписи или удаления критичных данных перед передачей актива (например, носителя информации) для использования другому пользователю. Проверяйте выполнение требуемых операций до передачи актива новому пользователю.Выплескивать ребенка вместе с водой так же нехорошо, как и оставлять информацию, являющуюся интеллектуальной собственностью, содержащую клиентсткие данные или иную критичную информацию, на устройстве или носителе информации, передаваемом кому-то другиму. Существует множество законодательных требований, предусматривающих необходимость использования безопасного уничтожения информации при выведении носителя информации (или устройства) из эксплуатации или перед передачей его другому пользователю. С точки зрения повторного использования, например, если вице-президенту по работе с персоналом меняют компьютер, а его старый компьютер устанавливают секретарю, занимающемуся обработкой входящей корреспонденции, следует обеспечить предварительное надежное удаление с него зарплатных ведомостей, при котором восстановление этой информации обычными общедоступными инструментами восстановления данных будет невозможно.
Выведение актива из эксплуатации (Asset disposal)Установите политику, стандарты и процедуры для уничтожения, перезаписи или удаления критичных данных перед выведением актива (например, носителя информации) из эксплуатации. Проверяйте своевременное выполнение требуемых операций. Выведение актива из эксплуатации может заключаться в выбрасывании в урну неисправного носителя информации, продаже старых компьютеров сотрудникам, передаче их в целях благотворительности и т.д.Выплескивать ребенка вместе с водой так же нехорошо, как и оставлять информацию, являющуюся интеллектуальной собственностью, содержащую клиентсткие данные или иную критичную информацию, на старых устройствах, выводимых из эксплуатации. Существует множество законодательных требований, предусматривающих необходимость использования безопасного уничтожения информации при выведении носителя информации (или устройства) из эксплуатации или перед передачей его другому пользователю. С точки зрения выведения из эксплуатации, например, если вице-президенту по работе с персоналом меняют компьютер, а его старый компьютер выбрасывают на свалку, следует обеспечить предварительное надежное удаление с него зарплатных ведомостей, при котором восстановление этой информации обычными общедоступными инструментами восстановления данных будет невозможно.
Использование активов вне офисаУстановите политику управления собственностью (property management) и соответствующие процедуры. Включите в них, как минимум, необходимость получения разрешения на вынос актива, и фиксации фактов выноса актива и его возврата.
Защита самого актива – это хорошо, но часто не менее важно позаботиться об информации, находящейстя на этом активе (например, данные или документы, записанные на ноутбуке). Ведение учета местонахождения каждого из активов, позволит вам быстро обнаружить пропажу актива и оценить последствия.
6. Управление эксплуатацией (Operation management)

6.1. Процедуры эксплуатации и обязанности

Функционирование (Operations)Для всех информационных технологий и поддерживающей их инфраструктуры разработайте эксплуатационные процедуры, такие как запуск и выключение системы, обслуживание, резервное копирование и восстановление.Мак Твен однажды сказал, что «кладбище полно незаменимых людей». Это действительно так, потеря ключевого человека всегда наносит ущерб, особенно в том случае, если вместе с ним теряются и важные знания. Способствуйте передаче важных знаний в компании. В этом может помочь разработка соответствующих процедур перевода сотрудников на другие должности внутри компании, а также разработка процедур восстановления в случае инцидентов.
Управление конфигурациями (Configuration management)Для предотвращения попадания непроверенного кода или данных в «промышленную» среду, разделите среды разработки, тестирования и промышленной эксплуатации.Предусмотрите отдельные среды для разработки и тестирования, для которых требуются отдельные процедуры входа, тестирования, проверки/утверждения, принятия и отката. Разделите обязанности персонала таким образом, чтобы разработчик не мог самостоятельно перенести код из среды разработки в промышленную среду.
Управление журналами регистрации событий (Log management)Установите политику и процедуру для ведения журналов регистрации событий, в которых фиксируются все изменения информации, информационных технологий и иных средств, а также управления этими журналами.Предусмотрите возможность отслеживания действий и, по возможности, невозможность «отказа от авторства» – отрицания выполнения пользователем тех или иных действий, отраженных в журнале (non-repudiation). Эффективная программа управления журналами регистрации событий защищает информационные активы, а также позволяет получить необходимые данные при расследовании инцидентов и проведении компьютерной экспертизы.
6.2. Аутсорсинг и иные внешние услуги (managed services)

Предоставление услуг (Service delivery)Заключите бизнес-соглашения, содержащие определение услуги, возможности контроля безопасности и требования в отношении SLA (соглашения об уровне сервиса).Договоры, предусматривающие использование услуг третьей стороны, должны содержать обязательства этой третьей стороны по соблюдению требований безопасности, установленных компанией.
Мониторинг и аудитВыполняйте мониторинг и аудит работы провайдеров услуг, оборудования, услуг, средств безопасности, контролируйте соблюдение заявлений по уровню производительности.Доверяй, но проверяй – это хороший принцип, который, к тому же, обеспечивает и хорошую безопасность.
Управление изменениями (change management)На всех стадиях – от инициирования сервиса до его эксплуатации и сопровождения – управляйте бизнес-рисками посредством управления изменениями. Оценивайте изменения с точки зрения рисков. Например, внесение изменений в ключевую информационную систему представляет собой значительный риск и требует более внимательного планирования.
Выполняйте цикл Plan-Do-Check-Act; оцените потенциальное влияние на функционирование и бизнес-процессы, проверьте планируемые изменения, будьте готовы к восстановлению первоначального состояния в случае возникновения сложностей.
Примечание: хотя приведенная интерпретация ссылается исключительно на функционирование бизнеса, тем не менее, при этом нужно учитывать все аспекты бизнес-рисков, применимые в данной ситуации. Они могут включать в себя критичные взаимосвязи, юридические последствия и т.д.
6.3. Планирование ресурсов (Capacity planning)

Управление ресурсами (Capacity management)Планируйте и контролируйте потребление ресурсов, сравнивайте фактические значения с прогнозами. Организуйте использование ресурсов таким образом, чтобы обеспечивался ожидаемый уровень сервиса.Программа менеджмента безопасности учитывает, как минимум, обеспечение конфиденциальности, целостности и доступности. На диске должно быть свободное место для того, чтобы было возможно осуществлять транзакции, вести журналы регистрации событий – должна обеспечиваться доступность сервисов при ограниченном объеме ресурсов. Аналогично, заполнение дисков выше определенного уровня может поставить под угрозу целостность существующих данных. Учитывайте это при планировании.
6.4. Управление приемкой (Acceptance management)

Приемка систем (System acceptance)Разработайте формальные планы тестирования, которые включают в себя проверку возможностей решения (бизнес-функций), уровня производительности, обеспечения безопасности. Включите проверку функций безопасности в обязательные требования.Перечислите ожидания от нового (обновленного или измененного) решения. Определите критерии успешной работы (при которой система работает вообще) и эффективной работы (при которой система работает в соответствии с условиями SLA). Определите критерии безопасной работы (при которых обеспечивается безопасность работы системы). Проверьте каждый из этих критериев. Обеспечьте соответствие проверки безопасности бизнес-драйверам в контексте управления бизнес-рисками, чтобы показать ее ценность в рамках иерархии управления.
6.5. Вредоносный код и носители вредоносного кода (Malware carrier)

Вредоносный кодПредвидьте, предотвращайте, обеспечивайте защиту, отслеживайте появление вредоносного кода в сети компании. В состав понятия вредоносного кода входят вирусы, спам, шпионские программы, троянские программы и многое другое.Подходите к обеспечению защиты от вредоносного кода с точки зрения многоуровневой защиты (defence in-depth). Внедрите защитные средства на периметре сети (например, на доступных извне устройствах, точках входа и выхода из внутренней сети). Двигайтесь изнутри. Постепенно расширяйте границы, учитывая третьи стороны, с которыми осуществляется взаимодействие, получение данных или обмен сообщениями.
Носители вредоносного кода (Malware carriers)Установите политику, стандарт и процедуру, определяющие требования к конфигурациям, которые позволят минимизировать риски, исходящие от носителей вредоносного кода. Носителями вредоносного кода могут быть: электронная почта, мобильный код (код, загружаемый и выполняемый «на лету» веб-браузером), файловый обмен и т.п.Рост использования средств электронной коммерции, преимущественно работающих на основе технологии «тонких клиентов», расширяет использование мобильного кода. Продолжается рост использования средств электронной почты в качестве корпоративного инструмента для коммуникаций. Эффективная программа безопасности продвигает соответствующую политику и внедряет необходимые средства управления, которые повышают осведомленность о носителях вредоносного кода и о правилах безопасного использования бизнес-инструментов.
6.6. Управление резервным копированием

Резервное копированиеУстановите политику, стандарты и процедуры для реализации эффективной стратегии резервного копирования, которая учитывает информацию, находящуюся на мобильных устройствах, удаленных устройствах, серверах и т.д. Интегрируйте стратегию резервного копирования, как часть общего плана обеспечения непрерывности бизнеса / восстановления после аварий.Разработайте политику, стандарт и процедуру резервного копирования. Проверяйте целостность создаваемых резервных копий. Включите проверку самих резервных носителей в проверку целостности резервных копий. Кроме того, тестируйте процедуры восстановления. Время восстановления существенно снизится, если процедуры восстановления будут проработаны и регламентированы заранее.
6.7. Управление безопасностью сети

Данные в процессе передачи (Data in transit)Используйте необходимые средства управления для минимизации бизнес-рисков, связанных с функционированием и эффективностью функционирования. Обеспечьте защиту приложений, использующих сеть, защиту передаваемых по сети данных, журналов регистрации выполняемых действий, журналов транзакций, осуществляйте мониторинг производительности сети.Продумайте многоуровневую защиту (defence in depth). Определите границы сети, защитите внешний периметр с помощью надлежащего использования демилитаризованных зон (DMZ) для доступных извне устройств, защитите точки входа/выхода с помощью VPN и т.д. Думайте о данных в процессе передачи, а не только в процессе хранения. Разработайте и внедрите политику передачи электронных сообщений (таких как электронная почта, мгновенные сообщения (instant messaging), политику использования беспроводных коммуникаций, коммуникаторов, планшетов, сотовых телефонов и IP-телефонов (VoIP).
Сетевая инфраструктураИдентифицируйте все механизмы сетевой инфраструктуры (например, маршрутизаторы, коммутаторы). Внедрите надлежащие защитные меры для их администрирования, конфигурации, функционирования. Осуществляйте мониторинг их работы и уровень производительности. Снижение производительности может быть ранним предупреждением о надвтгающемся инциденте безопасности.Сетевая инфраструктура предоставляет пути для передачи данных. Обеспечение защиты данных является одной из задач, защита путей (маршрутов) передачи данных – другой задачей.
6.8. Управление носителями информации (Media management)

Съемные носители информации (Removable media)Разработайте и внедрите процедуры для управления съемными носителями информации, включая внешние жесткие диски, ноутбуки, USB-накопители, компакт-диски, ленты и т.п. Укажите правила их приемлемого использования, перечислите ограничения.Разработайте политику в отношении управления и обеспечения безопасности съемных носителей информации. Затем разработайте стандарты и процедуры, в которых перечислены типы съемных носителей информации и требования для каждого из типов.
Выведение носителей информации из эксплуатации (Media disposal)Установите политику, стандарты и процедуры выведеня носителей информации из эксплуатации. Определите критерии для принятия решения – когда требуется безопасное удаление данных, размагничивание или физическое уничтожение носителя информации.Схема классификации информации и информационных технологий предоставит необходимые указания для разработки политики выведения из эксплуатации носителей информации, соответствующих стандартов и процедур.
Хранение и транспортировка носителей информацииУстановите политику, стандарты и процедуры хранения и перевозки носителей информации. Они должны включать в себя вопросы маркировки носителей информации, указания по способам их транспортировки, местам хранения, требования к местам хранения (например, допустимая температура, влажность воздуха в местах хранения). Также они должны содержать указания в отношении возврата носителей информации (например, способ запроса носителя информации с площадки, на которой хранятся резервные копии). Должны быть предусмотрены защитные меры, применяемые при физической транспортировке носителей информации. Для большей уверенности в соблюдении конфиденциальности и целостности носителей информации и их содержимого, используйте курьеров.Предусмотрите здесь схему классификации информации и информационных технологий. В зависимости от класса, необходимые защитные меры могут различаться. При разработке политики физической транспортировки носителей информации, принимайте во внимание чувствительность носителей информации к внешним воздействиям и способы их транспортировки. В руководстве по транспортировке носителей информации учтите вопросы классификации информации. К примеру, передавать незашифрованную информацию на флеш-накопителях по почте почти также опасно, как передавать эту незашифрованную информацию через Интернет.
6.9. Управление коммуникациями

Передача информацииУстановите политику, стандарты и процедуры передачи информации из компании ее клиентам и контрагентам (вторым сторонам). Включите соответствующие условия в договоры с этими сторонами, чтобы обеспечить эффективную и безопасную передачу информации любыми возможными коммуникационными способами (голос, данные, бумага).Рассмотрите вопросы передачи информации вообще. Дополнительно, рассмотрите вопросы обмена информацией между субъектами с учетом принципа «должен знать» (need to know), различных уровней критичности информации, а также уровней безопасности (уровней допуска). Для этого можно использовать традиционные принципы обмена информацией, такие как «чтение сверху» (read-up) и «запись вниз» (write-down).
Внешние подключения (external connectivity)Разработайте и внедрите политики и процедуры для установления, эксплуатации и сопровождения безопасных подключений к сетям вторых сторон.Нельзя обеспечить безопасность при использовании незащищенных каналов связи. Кто подключается к вашей сети? Насколько защищены его системы и сети?
6.10. Управление электронной коммерцией (E-Commerce Management)

Электронная коммерцияОбеспечьте безопасность информации, используемой в рамках электронной коммерции. Учтите требования законодательства и иные требования, которым должна соответствовать компания, при осуществлении обработки транзакций и обеспечения защиты персональных данных.Для реализации электронной коммерции, используются надежные механизмы управления учетными записями (identity management), которые обеспечивают «неотказуемость» от авторства транзакций, а также «неотказуемость» в рамках иных коммуникаций. Если успех компании зависит от немедленной реакции на запрос клиента, поступивший по электронной почте, существует потребность в обеспечении «неотказуемости», чтобы клиент затем не мог передумать и попытаться отказаться от оплаты.
ТранзакцииОбеспечьте защиту информации, используемой в рамках транзакций электронной коммерции. Учтите требования законодательства и иные требования, которым должна соответствовать компания в процессе обработки транзакций и персональных данных.Успех электронной коммерции зависит от эффективности передачи, получения и обработки правильных онлайн-транзакций. Получение неполных или некорректных транзакций может привести к задержкам в их обработке и оказать влияние на денежные потоки или, что еще хуже, привести к дополнительным временным или материальным затратам.
Информация о компании и имидж (Organizational information and image)Обеспечьте защиту целостности информации на веб-сайте компании, эта информация является портретом компании для общественности, представляет ее имидж.Общественное восприятие часто зависит от того, что люди видят, а от восприятия зависит репутация компании. Обеспечение правильности и точности публичной информации и имиджа компании очень важно для сохранения репутации компании.
6.11. Мониторинг

Журналы регистрации событий (Audit logs)Сохраняйте нужную информацию с адекватной степенью детализации в журналах регистрации событий. Анализируйте содержимое журналов для выявления аномальной активности. Объединяйте журналы, чтобы получить более полную картину. Выполняйте хранение и архивирование журналов регистрации событий в соответствии с корпоративной политикой и требованиями законодательства. Внедрите защитные меры для обеспечения целостности журналов регистрации событий.
Определите полезную информацию журналов регистрации событий в соответствии с особенностями системы и отслеживаемой деятельностью. Сохранение избыточно детальной информации в журналах ведет к увеличению объема данных и снижает возможности для выявления аномальной активности. Журналы регистрации событий позволяют заглянуть внутрь отслеживаемой деятельности, восстановить хронологию отдельных действий и событий, провести их расследование (например, компьютерную экспертизу). Чтобы результаты восстановления хронологии или расследования могли быть приняты в суде, необходимо обеспечить защиту целостности журналов регистрации событий. 
Функционирование ИТ-систем (Information Technology Activity)Установите процедуры мониторинга функционирования ИТ-систем, включая деятельность пользователей (вход/выход), активность приложений и сервисных процессов, и т.д. Анализируйте журналы регистрации событий для выявления аномальной активности.Определите базовый уровень нормальной активности – на уровне всей компании, отдельной площадки или определенной системы. Отслеживайте отклонения от шаблона нормальной активности, которая будет считаться аномальной активностью.
Журналирование действий администраторов и привилегированных пользователей (Administrator and power user logs)Журналируйте действия администраторов и других привилегированных пользователей.Эти учетные записи (давайте разделять пользователей и их учетные записи) имеют максимально возможные привилегии. Целесообразно отслеживать аномальное поведение, связанное с этими учетными записями.
Журналирование ошибокЖурналируйте системные сбои и сбои прикладных программ. Эти события могут быть ключом для понимания аномальной активности, не соответствующей обычному функционированию.Ожидания и исключения; выполнение большинства бизнес-операций приводит к генерации ожидаемых событий и транзакций, исходя из предположения, что большинство действий являются правильными, соответствующими целям и задачам компании. Однако необходимо выявлять исключения в событиях транзакциях, сохранять детальную информацию таких исключений, анализировать эту информацию, решая, требует ли она дополнительного расследования. Такие исключения могут быть следствием недостатков бизнес-процессов, а могут быть вызваны действиями злоумышленника. 
Синхронизация часовОпределите подходящие источники данных о времени и организуйте синхронизацию с ними системных часов всех значимых для компании систем обработки информации или создайте свой независимый домен в качестве источника данных о времени.Сеть, в которой используется несколько источников данных о времени, генерирует журналы регистрации событий, по которым невозможно определить реальную хронологию событий. Это не позволяет эффективно проводить расследования и может стать причиной невозможности использования данных журналов регистрации событий в качестве доказательства в суде. Мероприятия по обеспечению безопасности, в том числе создание базового профиля нормальной деятельности, выявление аномалий, проведение расследований, могут в значительной степени зависеть от точности указания данных о времени. Синхронизация времени систем компании или, как минимум, домена безопасности, повышает точность и эффективность.
7. Управление доступом

7.1. Политика контроля доступа

Политика контроля доступаУстановите политику контроля доступа, документируйте права доступа и осуществляйте их контроль в соответствии с установленными требованиями.Начните с политики контроля доступа, которая определяет намерения компании в отношении контроля доступа. Разработайте поддерживающие политику стандарты и процедуры контроля доступа. Стандарты могут включать требования по использованию определенного набора механизмов (например, защищенных токенов). В процедурах будут рассмотрены вопросы предоставления, отзыва и управления привилегиями доступа.
7.2. Доступ пользователей

Управление учетными записями (Identity Management)Установите официальный процесс получения пользователями уникальных учетных записей (идентификаторов). Разработайте процедуры запроса создания новой учетной записи, принятия решения по запросу, предоставления или отказа в предоставлении учетной записи, сопровождения учетной записи и ее блокировки (отзыва, удаления). Также учтите проведение оценки использующихся учетных записей.Реализуйте эти процессы для управления учетными записями (аутентификации) и управления привилегиями (авторизация). Управление учетными записями также включает процесс проверки, что реквизиты учетной записи принадлежат конкретному человеку (или иной сущности), предоставившему эти реквизиты. Такая проверка может заключаться в предъявлении токена или иного физического устройства, вводе ПИН-кода, пароля, биометрических данных и т.п. Пароли обеспечивают проверку правомерности использования соответствующей учетной записи – ввод правильного пароля часто считается достаточным для проведения аутентификации учетной записи пользователя. Формальное управление паролями, которое включает в себя первичную генерацию, периодическую смену, отзыв, обеспечение использования надежных паролей, является важнейшей частью эффективной программы безопасности.
Управление привилегиямиУстановите официальный процесс получения пользователями привилегий для использования информационных технологий и доступа к информации. Разработайте процедуры запроса привилегий, принятия решения по запросу, предоставления или отказа в предоставлении запрошенных привилегий, сопровождения привилегий и их отзыва. Также учтите проведение оценки предоставленных привилегий.Эффективная программа безопасности включает в себя управление учетными записями, а также управление привилегиями. Средства управления обеспечивают проверку и предоставление привилегий в процессе авторизации. Для повышения эффективности и управляемости, а также для того, чтобы этот процесс не стал слишком трудоемким, продумайте создание заранее определенных ролей, содержащих в себе связанные с ними стандартные привилегии. Предоставляйте специальные привилегии, не входящие в соответствующие роли, только в исключительных случаях. Это улучшит управляемость и обеспечит выделение наиболее критичных привилегий в отдельных процессах.
Пересмотр привилегийЧасто бывает, что однажды предоставленные привилегии, остаются у пользователя навсегда. Хорошей практикой является обеспечение того, чтобы у пользователей не было привилегий, которые им не нужны для выполнения своих обязанностей. Проводите пересмотр предоставленных привилегий на регулярной основе на предмет наличия их необходимости для пользователя, а также на предмет их реального использования.Учитывайте изменение обязанностей или задач, а также переводы на другие должности в контексте прав доступа пользователей. Это не означает, что в таких случаях непременно нужно блокировать права доступа, просто нужно знать – кто и к чему имеет доступ и принимать осознанные решения о сохранении прав доступа или их изменении.
Доступ к информации (information access)Продумайте и проведите классификацию информации. Используйте эту классификацию для управления доступом к информации, как часть общей схемы управления привилегиями.Приобретите, внедрите и используйте механизмы для реализации управления доступом.
Разделение (segregation)Размещение отдельных ИТ-систем или обработка критичной информации (в соответствии с классификацией информации) могут требовать изоляции от других частей сети компании.Областями, требующими изоляции, могут быть подразделения исследований и разработки (R&D), стратегического планирования или другие подразделения, работающие отдельно или на непрерывной основе.
7.3. Обязанности пользователей

Парольные настройки (password configuration)Требуйте от пользователей соблюдения стандартов компании в части генерации и использования надежных паролей.Разработайте и внедрите парольную политику, которая включает в себя требования по использованию надежных паролей. Использование слабых паролей должно быть запрещено. Должно быть запрещено использование в качестве пароля названия компании, фамилии сотрудника и других подобных, легко угадываемых, слов и словосочетаний.
Требования на случай оставления ИТ-средств без присмотра (unattended information technology)Установите политику, стандарты и процедуры для случаев оставления ИТ-средств без присмотра. Они могут требовать использование защищенного паролем «хранителя экрана», замков на дверях кабинетов, прикрепление ноутбуков к столам с помощью специальных замков и т.д.Политика может предусматривать необходимость выполнения сотрудником блокировки системы, когда он выходит из помещения, а также автоматическую блокировку системы по прошествии определенного времени, на случай, если сотрудник забудет заблокировать систему вручную.
Управление рабочими местами (work area management)Обеспечьте защиту документов и устройств в соответствии с уровнями их классификации. Критичные документы должны храниться в закрытых сейфах. Контролируйте вынос таких документов из офиса.Даже в защищенном здании существуют риски появления неуполномоченных людей без сопровождения или получения доступа к ИТ-системам уполномоченными сотрудниками в нерабочее время.
7.4. Сетевые службы

Идентификация субъектов (Entity identification)С введением динамических сервисов в сети, эти сервисы и различные устройства стали требовать присвоения уникальных идентификаторов. Запрашивающий сервис (не человек) предоставляет свой идентификатор, который проверяется так же, как идентификатор пользователя. Провайдер услуг делает то же самое.Такая идентификация может требовать использования специфических идентификаторов самого устройства, например, MAC-адреса устройства, серийного номера или иного связанного с ним уникального идентификатора (аналогичного идентификатору пользователя).
Сетевые группы (Network communities)Группируйте пользователей и устройства в соответствии с уровнями их классификации. Выполнение особо критичных бизнес-функций может потребоваться вынести в специально выделенные области сети.Например, отделите финансовые функции от функций по исследованиям и разработкам (R&D). Хотя они зависят друг от друга на организационном уровне, на системном уровне они должны быть разделены.
Управление трафикомУстановите политику и процедуры для управления сетевым трафиком, которые предусматривают разделение трафика, прохождение трафика через различные сетевые сегменты (маршрутизация), а также трафик на внешних границах.Обеспечьте выполнение формальных процедур и отслеживайте соответствие технических средств политике, управляющей этими средствами контроля.
7.5. Операционные системы

Идентификация пользователейПрисвойте уникальный идентификатор каждому пользователю. Требуйте, чтобы каждый пользователь использовал только свой идентификатор. Запретите передачу пользователями своих идентификаторов кому бы то ни было. Реализуйте надежные механизмы аутентификации для проверки предъявленных ими идентификаторов.С ростом электронной коммерции и других онлайн-транзакций растет потребность в обеспечении «неотказуемости» (non-repudiation). Хотя это требование учитывает неотказуемость, уникальная идентификация является первостепенной. Это требование предполагает необходимость реализацииформального управления учетными записями.
Аутентификация пользователей (identity authentication)Присвойте уникальный идентификатор каждому пользователю. Требуйте, чтобы каждый пользователь использовал только свой идентификатор. Запретите передачу пользователями своих идентификаторов кому бы то ни было. Реализуйте надежные механизмы аутентификации для проверки предъявленных ими идентификаторов.
С ростом электронной коммерции и других онлайн-транзакций растет потребность в обеспечении «неотказуемости» (non-repudiation). Хотя это требование учитывает неотказуемость, уникальная идентификация является первостепенной. Это требование предполагает необходимость реализацииформального управления учетными записями.

Привилегии пользователей
Явным образом назначайте привилегии в соответствии с потребностями, основанными на выполняемой бизнес-функции.Доступ на уровне операционной системы ведет к возникновению бизнес-риска. Только сотрудники, имеющие соответствующую квалификацию и на которых возложены соответствующие задачи, должны иметь такую привилегию. Кроме того, эффективное управление привилегиями должно обеспечивать предоставление только тех привилегий, которые требуются пользователю для выполнения возложенных на него задач.
Авторизация привилегий (privilege authorization)Проверяйте запросы на получение привилегий перед тем, как будут предоставлены запрошенные права доступа или выполнены запрошенные задачи.Авторизация привилегий является традиционной частью аутентификации учетной записи, при которой статический набор привилегий перемещается вместе с идентфикатором пользователя. Введение управления доступом на основе атрибутов (ABAC – Attribute-based access control) реализует более динамичную модель, в которой пользовательские привилегии, связанные с идентификатором пользователя, перемещаются в соответствии с ситуацией в рамках выполнения бизнес-задач. Рассматривайте управление привилегиями отдельно от управления учетными записями, т.к. между ними есть существенные различия.
Управление проверкой личности (identity validation management)Установите политику и организуйте проверку личности. Например, обяжите пользователя предоставлять определенные данные для проверки его запроса на аутентификацию. Одним из методов является пароль. Используйте управление паролями, чтобы обеспечить использование приемлемых настроек парольной защиты, обеспечивающих использование надежных паролей.Примечание. Использование только паролей является одним из вариантов однофакторной аутентификации. Рассмотрите возможности использования многофакторной аутентификации, при которой от пользователя требуется что-то знать (например, пароль), что-то иметь (например, отпечаток пальца) или что-то делать (например, подпись или иное действие).
Системные утилитыУстановите политику и процедуру для управления вопросами наличия и запуска утилит.Учитывайте различные аспекты защиты, в т.ч.  защиту от системных утилит. Разграничение прав доступа на уровне операционной системы является одной из линий обороны, доступ к системным утилитам – другой. Стандартные настройки ОС предусматривают наличие системных утилит и возможность их использования, что не соответствует этому принципу.
Неактивные сеансыБлокируйте или отключайте неактивные сеансы. Требуйте повторного ввода пароля для возобновления использования заблокированного сеанса.Пользователи могут забывать выйти из системы, либо в результате сбоя на рабочей станции активный сеанс может быть потерян и стать доступным для перехвата (hijacking).
Время подключенияВведите ограничение времени подключения, как часть общей программы защиты. Определите предполагаемое рабочее время и ограничьте доступ вне этого времени (дней). Предоставьте сотрудникам возможность направлять запросы на предоставление доступа для работы в нерабочее время, в случае возникновения такой необходимости.Примите во внимание рабочее время в течение дня, рабочие дни недели, праздничные дни и т.д.
7.6. Удаленные сотрудники

Мобильные сотрудникиУстановите политику, стандарты и процедуры для обеспечения эффективной и безопасной работы мобильных сотрудников, которые должны включать в себя, в частности, вопросы по использованию и способам подключения к ИТ-системам компании извне.Мобильная работа значительно повышает продуктивность, однако при этом критичные данные компании могут передаваться за пределы компании, возможно в другие города или даже страны, что значительно увеличивает и вероятность их хищения.  Мобильные сотрудники по определению значительно чаще перемещаются из места в место, по сравнению с телеработниками.
ТелеработникиУстановите политику, стандарты и процедуры для обеспечения эффективной и безопасной работы телеработников, которые должны включать в себя, в частности, вопросы по использованию и способам подключения к ИТ-системам компании извне.Учтите требования, которым должна соответствовать компания, рассмотрите организацию рабочих процессов с учетом выполнения отдельных (или всех) входящих в них функций телеработниками. Например, ввод или обработка медицинских данных телеработником, требует учета требований HIPAA Final Security Rule. Телеработники менее мобильны, по сравнению с мобильными сотрудниками. Телеработники могут работать исключительно из домашнего офиса. Поэтому оборудование и подходы к организации работы будут различаться для мобильных сотрудников и телеработников.
8. Обеспечение качества решений (solution quality assurance)Безопасность должна рассматриваться как элемент качества разрабатываемого или приобретаемого решения
8.1. Безопасность информационных технологий

Обязательные требования (Compliance requirements)Обязательные требования могут быть как внешними (например, законодательство), так и внутренними (например, стандарт безопасности, такой как ISO 27002). Обеспечьте включение соответствующих средств управления, обеспечивающих соблюдение обязательных требований, как часть процесса разработки или приобретения решения.Принимайте решения в отношении мер безопасности на осове потребностей бизнеса. Включайте меры безопасности в формулировки бизнес-требований, особенно в отношении того, как меры безопасности помогут управлять бизнес-рисками.
8.2. Точность информации (information accuracy)

Целостность входящей информации (input integrity)Установите политику и стандарты для обеспечения гарантий получения приложениями корректных данных. Убедитесь, что все приложения контролируют правильность входных данных.Мусор на входе означает мусор на выходе. А если на входе небезопасные конструкции данных, результатом может стать нарушение безопасности. Примером таких небезопасных конструкций может быть специально сформированное значение, содержащее внедренный в формат HTML исполняемый код.
Внутренняя целостность (internal integrity)Установите политику и стандарты, требующие проведения анализа и проверки данных в приложениях, базах данных и т.д. для выявления и оценки их повреждений, что может быть сигналом о некой аномальной активности.Чтобы избежать проверки входных данных (проверка перед записью), системе могут быть переданы специально подготовленные вредоносные данные. Поэтому должна существовать вторая линия защиты, которая заключается в проверке данных перед началом их обработки (проверка перед чтением). С расширением использования средств электронной коммерции и появлением новой парадигмы «необходимо использовать совместно» (need-to-share) в дополнение к «необходимо знать», увеличило зависимость от сообщений и транзакций. Также растет использование и зависимость от метаданных. Основной сложностью здесь является понимание обеспечения надлежащей защиты и, собственно, обеспечение защиты целостности сообщений.
Целостность исходящей информации (output integrity)Обеспечьте проверку данных на выходе из бизнес-функций, сервисов и приложений, чтобы убедиться в соответствии ожиданиям формы и содержимого. Эта проверка должна включать в себя контроль возможного распространения вредоносного кода.Это еще одна линия защиты компании, способ минимизации вероятности наступления ответственности за возможный выход вредоносного кода за пределы компании. Поскольку иначе компания может быть признана виновной в организации и выполнении вредоносных действий, даже если это произошло неумышленно.
8.3. Криптография

Политика в области криптографииУстановите политику, стандарты и процедуры для установления потребностей компании в использовании криптографии, а также правила приемлемого и эффективного использования криптографии.Обдумайте практическое применение криптографии в компании.
Управление ключамиУстановите политику, стандарты и процедуры по управлению ключами, которые учитывают запросы на выпуск криптографических ключей, процедуры генерации ключей, отзыва ключей и их доверительное хранение (депонирование).Потеря криптографического ключа может привести к тому, что данные или устройство может стать невозможно использовать. Т.е. эти данные или устройство могут стать бесполезны для компании. Эффективное управление ключами позволит обеспечить безопасное хранение и восстановление ключа, а также удовлетворить иные потребности компании в отношении криптографических ключей.
8.4. Безопасность файлов

Приложения в промышленной эксплуатации (production applications)Установите политику, стандарты и процедуры для контроля установки программного обеспечения и переноса файлов в промышленную среду.Эти требования могут охватывать как серверы, так и рабочие станции, находящиеся в промышленной эксплуатации. При разработке политик и процедур следует соблюдать баланс между эффективностью работы и управлением бизнес-рисками. Учтите, что последнее может включать в себя требования законодательства, которым должна соответствовать компания, а также помните, что пользователи склонны пытаться обойти все то, что мешает эффективности их работы.
Тестовые данныеКак правило, тестовые данные должны довольно близко отражать реальные данные промышленной среды. Многие компании просто переносят копию реальных данных из промышленной среды в тестовую, требуя для нее обеспечения аналогичных защитных мер для обеспечения безопасности персональных данных и, возможно, классифицированных данных.Хорошие тестовые данные отражают реальные. Часто тестовые данные являются полной или частичной копией реальных данных, а реальные данные подлежат защите с учетом требований законодательства и иных обязательных требований.
Защита исходных кодовВключите в управление конфигурациями вопрос разделения сред разработки, тестирования и промышленной эксплуатации. Среда разработки содержит реальную или потенциальную интеллектуальную собственность компании, поэтому она должна быть соответствующим образом защищена.Существует множество причин для реализации защитных мер, направленных на обеспечение целостности кода. Это актуально как с эксплуатационной точки зрения, так и с точки зрения ограничения возможностей внедрения в код вредоносных функций.
8.5. Среда разработки (development environment)

Управление изменениями (change control)Установите и внедрите политику формального управления изменениями для управления исходным кодом приложений и тестовыми данными.Не только злоумышленные действия, но и то, что делается из лучших побуждений, может привести к потере данных или нарушению их целостности. Такими данными могут быть исходные коды или иные данные, являющиеся интеллектуальной собственностью. Формальный процесс управления изменениями включает в себя контроль версий, ведение хронологии модификаций с указанием кто и что сделал.
Обновления операционной системы (ОС)Проверяйте работу бизнес-функций, сервисов и приложений на новой версии ОС, прежде чем внедрять ее в промышленную среду.Подстрахуйтесь на тот случай, если при внедрении новой ОС в промышленную среду произойдет что-то непредвиденное. Предусмотрите для этого возможность возврата к предыдущей версии ОС.
Обновления прикладных систем (application upgrades)Перед внедрением новой версии приложения в промышленную среду, проверяйте работу в нем бизнес-функций, сервисов и приложения в целом. Влияние обновлений может выходить за рамки самого приложения, поэтому должна быть проверена правильная работа с ним всей промышленной среды.Значительные изменения увеличивают риск негативного влияния на функционирование приложения. Жесткий контроль включает в себя планирование функциональных потребностей, чтобы минимизировать влияние на продуктивность работы. В особенности нужно обратить внимание на определение событий, которые будут означать необходимость отката к старой версии, а также самого процесса отката, который позволит восстановить исходное состояние. Среди таких событий могут быть неожиданные сбои, выявление негативного влияния изменений на работу или невозможность установки самих изменений (ошибки при установке).
Утечки памяти и иных ресурсов (memory and other leaks)Приобретение новых приложений, обновления операционных систем и приложений вносит потенциальные уязвимости. Одной из категорий уязвимостей являются утечки памяти и иных ресурсов, при реализации которых данные могут перемещаться в неожиданные места (например, переполнение буфера).Учтите такие недостатки безопасности, как ошибки в программном обеспечении, проводите анализ обеспечения качества программного обеспечения с учетом процесса его разработки.
Приобретение (acquisition)Все требования безопасности, которые компания предъявляет для внутренней разработки программного обеспечения собственными программистами, должны учитываться и при покупке решений сторонних разработчиков.Установите требования безопасности и отслеживайте разработку решения, чтобы убедиться, что над разработкой кода работает достаточно квалифицированный персонал. Установите процедуры тестирования, которые анализируют не только функциональные аспекты, но и вопросы безопасности в исходного кода, обеспечивают тестирование реализованных в приложении функций безопасности.
8.6. Управление уязвимостями

Управление патчамиУстановите и внедрите политику, стандарты и процедуры для выявления уязвимостей операционных систем, приложений, утилит и т.д. Выявление уязвимостей должно охватывать системы в промышленной среде, рабочие станции пользователей, техническую инфраструктуру, а также инфраструктуру безопасности.Это включает в себя, как минимум, процесс управления патчами для всех используемых операционных систем (с учетом используемых версий операционных систем), приложений (также с учетом версий) и т.д.
9. Управление инцидентами

9.1. Команда реагирования на инциденты компьютерной безопасности (CSIRT – Computer Security Incident Response Teams)

Функционирование CSIRT (CSIRT operations)Установите политику и организуйте функционирование CSIRT, как часть общего управления сетью (network management) или эксплуатацией сети (operation management).Сервис CSIRT включает в себя обеспечение выявления, уведомления, установки очередности (triage), эскалации, реагирования, обработки (treatment), анализа корневых причин и предоставления обратной связи в отношении событий безопасности.
Выявление (detection)Установите политику и процедуру выявления событий безопасности. Это может включать в себя проведение автоматического мониторинга, а также проведение обучения сотрудников для повышения их осведомленности, чтобы они могли заметить потенциальный инцидент и знали, как сообщить о нем.Мониторинг и выявление являются первыми шагами эффективного функционирования CSIRT.
Уведомление (notification)Установите и обеспечьте соблюдение политики информирования о событиях безопасности с помощью соответствующих сервисов CSIRT. Например, с помощью создания системы Help Desk, в которой сотрудники могут оставлять свои уведомления.Уведомление о событиях безопасности требует, чтобы система Help Desk могла работать как с обычными (рутинными) происшествиями, так и с исключительными событиями, что обеспечивает эскалацию события нужному эксперту, в зависимости от самого события (subject matter expert (SME)).
Упреждающие действия (Preemptive)Установите политику, стандарты и процедуру, которые добавляют упреждающие действия в обучение по безопасности, тренинги и повышение осведомленности (SETA – Security education, training, and awareness).Упреждающие шаги включают в себя повышение осведомленности в отношении ранних предупреждающих сигналов (например, снижение уровня сервиса) и знание, как нужно уведомлять об этом соответствующие внутренние службы (например, Help Desk или CSIRT).
9.2. Управление CSIRT

Роли и обязанностиУстановите политику, стандарты и процедуру, определяющую роли и обязанности в рамках сервиса CSIRT. Они должны учитывать соответствие CSIRT стратегическим инициативам и обязательным требованиям, а также поддерживать работу бизнес-функций, имеющих ключевое значение с точки зрения миссии компании.Для этого требуется разработать инструкцию для руководства, а также инструкцию по эксплуатации. Возможно, более правильно сначала постараться минимизировать последствия, а уже потом искать корень проблемы. Подготовленное руководство будет готово реагировать надлежащим образом.
Изученные уроки (lessons learned)Установите и обеспечьте соблюдение политики по выделению и формализации изученных уроков по результатам инцидентов безопасности в функционировании компании.Растет важность метрик безопасности, которые позволяют подтвердить эффективность внедрения и последующего функционирования безопасности. Метрики, связанные с количеством инцидентов, помогут показать преимущества безопасности и предоставить входные данные для модели ROSI.
Юридические  процедуры (submissibility)Установите политику, стандарты и процедуры, определяющие критерии для выявления и сбора доказательств, относящихся к инцидентам безопасности. Принимайте решение о целесообразности судебного преследования на основе пользы для бизнеса, а не на основе наличия (или отсутствия) подходящих доказательств.Требования в значительной степени зависят от юрисдикции. В международной компании может применяться единая корпоративная политика, однако стандарты и процедуры будут различными в зависимости от юрисдикции.
10. Управление непрерывностью бизнеса (BC – Business Continuity) и восстановлением после аварий (DR – Disaster Recovery)

10.1. Аспекты информационной безопасности в управлении непрерывностью бизнеса

Процесс управления BC/DRИспользуйте комбинацию анализа угроз, анализа рисков, анализа уязвимостей, анализа воздействия на бизнес (BIA). Разработайте план обеспечения непрерывности бизнеса и восстановления после аварий.Непрерывность бизнеса – это «надмножество» восстановления после аварий. Учитывайте потребности компании с точки зрения целевых значений допустимого времени простоя (downtime tolerance) и времени функционирования (uptime). Это поможет принять решение в отношении целесообразности обеспечения возможности восстановления в режиме реального времени (низкое допустимое время простоя), либо возможности восстановления работы на внешней резервной площадке, что может занять часы или даже дни.
Оценка угрозИдентифицируйте события и сущности, которые могут стать причиной прерывания бизнес-процессов.Проанализируйте простанство угроз компании. Определите реалистичную вероятность реализации каждой из угроз. Результаты позволят понять, где нужно сосредоточить ограниченные ресурсы для управления бизнес-рисками. Обычно снижают высоковероятные риски и принимают низкие риски. Такое правило может быть не идеальным, однако с экономической точки зрения оно наиболее оптимально.
Оценка рисковИспользуя результаты оценки угроз в качестве входящей информации, идентифицируйте события и сущности, которые могут стать причиной прерывания бизнес-процессов. Обратите внимание на правило, что возможность не обязательно является вероятностью (если событие возможно, это еще не значит, что оно вероятно).Это подразумевает необходимость проведения оценки уязвимостей, а также анализа воздействия на бизнес (BIA), при котором сначала определяются ключевые бизнес-процессы, ключевой персонал, поддерживающий эти процессы, а также ключевые элементы инфраструктуры, поддерживающий эти процессы и персонал. Имеющиеся ограниченные ресурсы (а ресурсы безопасности всегда ограничены), сконцентрируйтесь на подмножестве бизнес-деятельности, которая генерирует наибольшую прибыль (или иную выгоду) для компании, обеспечивая максимальный возврат на сделанные бизнесом инвестиции.
Планирование BC/DRРазработайте и обеспечьте выполнение планов по поддержке функционирования бизнеса на определенных уровнях обслуживания. Сюда должен входить план восстановления функционирования до приемлемого уровня обслуживания в случае его падения ниже этого уровня. Предусмотрите события-триггеры для активации выполнения операций по восстановлению (DR operations) (например, X часов неприемлемого уровня обслуживания).Это предполагает необходимость разработки SLA для определения базового уровня для измерения относительно него приемлемой производительности работы. Для каждого ключевого бизнес-процесса разработайте планы обеспечения непрерывности и восстановления. Пройдите по таким сценариям, как утрата площадки (например, в результате пожара), длительная потеря доступа к площадке (например, карантин),  кратковременная потеря доступа к площадке (например, снежная буря), потеря ключевого персонала, потеря ключевых активов или инфраструктуры. Непрерывность бизнеса – это вопрос корпоративного уровня. Даже если компания является холдингом, в который входят различные и независимые дочерние компаниии, существует необходимость в обеспечении и проверке защиты интересов компании. Использование корпоративного подхода к безопасности в целом и, особенно, к непрерывности бизнеса, обеспечивает слаженную работу компании.
Сопровождение BC/DRРегулярно тестируйте, пересматривайте и обновляйте планы BC/DR, чтобы обеспечить уверенность, что они актуальны и соответствуют операционным целям компании.Проводите пересмотр планов в т.ч. в случае изменения бизнес-окружения или по техническим причинам (например, окончание сроков поддержки производителем ключевых инструментов обеспечения непрерывности).
11. Управление соответствием

11.1. Внешние обязательные требования (external compliance requirements)

Законодательство, требования регуляторов, кодексы и стандартыСоздайте четкий перечень всех имеющих отношение к компании обязательных требований, включая требования законодательства, требования регуляторов, различные кодексы, стандарты и т.д. Детализируйте эти документы до уровня конкретных требований к бизнесу с учетом организации работы компании.Формально учтите потребность в управлении соответствием (compliance management). Продумайте, какие нужны процессы и процедуры, чтобы обеспечить соблюдение всех применимых обязательных требований. Границы внешних требований включают положительные утверждения (например, thou shall), а также отрицательные ограничения (например, thou shall not). Например, они могут включать в себя правила разрешенного использования программного обеспечения, музыки, документов и любых других вещей, подпадающих под требования законодательства. Представители музыкальной индустрии могут предъявить претензии к компании за нелегальное распространение музыкальных произведений ее сотрудниками, в частности за то, что она не проявила должной осмотрительности и не предусмотрела мер для того, чтобы предотвратить незаконную деятельность. Как минимум установление правил этики и политики допустимого использования, ознакомление с ними сотрудников, снизит (если не исключит) вину компании и последствия для нее.
Сохранение записей (record retention)Установите политику, стандарты и процедуры для формирования, хранения и сохранения необходимых записей в нужной форме, с нужным содержимым, и в течение нужного времени в соответствии с требованиями, которым должна соответствовать компания.Это включает в себя налоговые записи, документацию компании, журналы аудита и многое другое. Границы этих работ устанавливаются требованиями законодательства и хорошими бизнес-практиками.
Управление персональными данными (privacy management)Убедитесь, что политика, стандарты и процедуры реализуют и обеспечивают адекватную защиту персональных данных, удовлетворяющую требованиям, которым должна соответствовать компания.В дополнение к законодательным требованиям в отношении защиты персональных данных, следует учитывать вопросы повышения осведомленности клиентов в отношении защиты собственной информации.
Защита данныхУстановите политику, стандарты и процедуры обеспечения защиты данных, которыми владеет или которые оберегает (under the custodianship) компания. Это включает в себя соблюдение правил допустимого использования данных (для бизнес-целей) и предоставление доступа к ним только уполномоченному персоналу.Это предполагает необходимость установления политики допустимого использования, которая определяет правила приемлемого использования, а также содержит примеры неприемлемого использования. Целью является определение правил, выход за пределы которых считается неприемлемым. Противоположным методом является попытка определения перечня неприемлемых действий. При этом предполагается, что все, что не указано в этом перечне является допустимым. Первый метод передает «дух закона», второй – устанавливает «букву закона». Руководство должно быть обучено распознаванию неприемлемых действий и действиям, которые нужно предпринимать в таких случаях.
11.2. Внутренние обязательные требования (internal compliance requirements)

Политики безопасности, стандарты и процедурыУбедитесь, что весь персонал осведомлен и учитывает требования политик безопасности, стандартов и процедур при выполнении своих обязанностей, как сотрудника компании.Внешние требования, которым должна соответствовать компания, являются условиями, наложенными на компанию извне. Обязательные внутренние требования – это ограничения, которые наложила на себя сама компания во имя хорошей работы бизнеса и обеспечения управления бизнес-рисками. Вам нужно учесть все требования, которым должна соответствовать компания – и внешние, и внутренние, явно или неявно установленные политиками.
Средства управления безопасностью (security controls)Анализируйте и проверяйте, что применение средств управления безопасностью информации и ИТ-систем по-прежнему соответствуют отраслевым стандартам (например, ISO 27001, ISO 27002).Для этих целей могут использоваться оценки соответствия политикам, аудиты и проверки технических средств управления. Организационная политика устанавливает периодичность и глубину проводимых проверок.
11.3. Управление аудитом

Аудит средств управления безопасностью (security control audit)Средства управления безопасностью устанавливают ограничения на функционирование бизнеса, чтобы управлять бизнес-риском. Аудит средств управления безопасностью обеспечивает уверенность, что они действительно существуют и работают надлежащим образом.Аудит средств управления безопасностью не должен оказывать воздействия на ИТ-системы. Аудит, в который входит проверка технических средств управления, должен включать автоматическое сканирование уязвимостей, а также ручные проверки. Любая деятельность, которая затрагивает устройства или каналы связи (traverses mediums), обеспечивающие функционирование, могут препятствовать нормальной работе. Внимательное планирование, определение времени (или дней) с наименьшей нагрузкой или некритичных дней месяца (например, периодов, в которые минимальна отчетная и финансовая деятельность). Такая предусмотрительность минимизирует потенциальные воздействия в процессе аудита.
Инструменты аудита безопасности (security audit tools)Установите политику и процедуры приемлемого использования инструментов аудита. Явным образом запретите использование и доступ к инструментам аудита неуполномоченного персонала. Убедитесь, что уполномоченный персонал обучен и компетентен в части использования инструментов аудита безопасности.Средства проверки безопасности (например, сканеры уязвимостей) потенциально являются объектом вредоносного использования. Даже с хорошими намерениями, неопытный пользователь может нанести огромный ущерб, нарушив функционирование компании из-за неправильного использования средств аудита.
Таблица 3-1 Структура менеджмента безопасности и Руководство по интерпретации

В качестве философии управления безопасности, авторы продвигают сначала разработку сути программы управления безопасностью (СМИБ), а затем добавление дополнительных характеристик, учитывающих требования, которым должна соответствовать компания. Такими характеристиками могут быть средства управления безопасностью из раздела 404 SOX или специфика Австралийского акта по безопасности 2003 года (Australian Security Industry Act 2003), либо Европейской директивы по защите данных и т.п. Разработка политики безопасности SOX или политики безопасности в отношении персональных данных не является заменой основной политики безопасности компании, такие политики являются втооростепенными. Кроме того, набор дополнительных политик (один набор для SOX, другой – для персональных данных, третий – для безопасности) добавляет административной работы, т.к. необходимо пересматривать и поддерживать все эти политики. Лучше начать с монолитной основы в виде хороших политик безопасности и добавлять характеристики, относящиеся к требованиям законодательства, регуляторов и иным обязательным требованиям.

Столбец «Требование» в Таблице 3-1 достаточно близко следует пунктам ISO 27002 и переформулирует требования ISO в виде положительных утверждений, например, «установите и обеспечьте соблюдение» или «руководство реализует». Интерпретация и комментарии являются умозрительными. Для всех таких требований, их применимость и интерпретация будут зависеть от компании.

Многие сложности возникают из-за неверной интерпретации терминов и отдельных фраз. Применение в компании глоссария терминов помогает обеспечить единое понимание. При этом могут остаться разногласия в отношении отдельных значений, но поскольку базовые вещи все будут понимать одинаково, шансы на успешную реализацию СМИБ возрастают. Аналогичным образом отраслевые стандарты и законодательные требования требуют единого понимания положений, из которых они состоят. Это увеличивает согласованность при планировании средств управления безопасностью, их внедрении, оценки их соответствия требованиям, подготовке материалов для аудиторов и т.д.

1 комментарий:

Solaris24 комментирует...

Спасибо за труд! Жду продолжения.