Страница 4: ДСТУ ISO/IEC TR 13335-4:2005. Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту (61301)

  1. Розподіл обов’язків

Обов’язки стосовно інформаційної безпеки організації, повинні бути чітко задокументовані та розподілені відповідно до корпоративної політики інформаційної безпеки та політики безпеки інформаційної системи.

  1. Організація інформаційної безпеки

Всі ділові процеси, що можуть підтримати інформаційну безпеку (наприклад, закупки, співро­бітництво з іншими організаціями) повинні бути організовані так, щоб надійно забезпечити цю підтримку.

  1. Визначення і оцінка цінностей

Мають бути визначені всі цінності в організації та в IT системі і оцінене їх значення для ведення бізнесу.

  1. Затвердження інформаційних систем

Затвердження інформаційних систем повинне відбуватися відповідно до політики інформаційної безпеки. Процес затвердження має метою виявити, чи реалізовані засоби безпеки дійсно забез­печують відповідний рівень захисту. Треба брати до уваги, що інформаційна система може охоп­лювати мережі та основні засоби зв’язку.

  1. .1.2 Перевіряння узгодженості безпеки

Важливо, щоб підтримувалась узгодженість зі всіма необхідними засобами захисту, важливи­ми законами, правилами та нормами, оскільки будь-який засіб захисту, правило чи політика можуть працювати до тих пір, поки користувачі їх застосовують, а системи узгоджуються з ними. Засоби захисту в цій сфері наведено нижче.

  1. Узгодженість з політикой інформаційної безпеки та засобами захисту

Треба проводити регулярні перевіряння для гарантування того, що всі засоби захисту, впро­ваджені на місці, як зазначено в корпоративній політиці безпеки та інших важливих документах, наприклад документах чинних процедур безпеки та надзвичайних планах, реалізовані коректно і використовуються коректно та ефективно (кінцевими користувачами також), і за необхідності, про­ведено тестування.

  1. Узгодженість з правовими та регуляторними вимогами

Перевіряння узгодженості, згадані вище, повинні підтвердити, що виконуються всі правові та регуляторні вимоги, чинні в країні, чи країнах, де задіяна інформаційна система. Там, де це законо­давство чинне, воно охоплює і законодавство відносно захисту та недоторканності даних, копіюван­ня програмного забезпечення, захисту записів, що ведуться в організації, зловмисного використан­ня інформаційних систем чи криптографії.

  1. .1.3 Реагування на порушення

Кожен в організації має бути обізнаним з необхідністю звітувати про порушення безпеки, в тому числі і збої програмного забезпечення та виявлену недосконалість так швидко, як це мож­ливо. Організація повинна забезпечити схему звітування, яка зробить це можливим. Реагування на порушення містить:

  1. Звітування про порушення безпеки.

Кожен працівник повинен усвідомлювати, що він зобов’язаний звітувати про порушення без­пеки. Інструментальні засоби також можуть визначати порушення та звітувати про них. Для полег­шення ефективного реагування на порушення, організація повинна впровадити схему звітування та точки контакту в організації.

  1. Звітування про недосконалість безпеки.

Якщо користувачі помічають будь-яку недосконалість системи, що стосується безпеки, вони повинні повідомити про неї відповідальній особі так швидко, наскільки це можливо.

  1. Звітування про збої програмного забезпечення.

Якщо користувачі помічають будь-які збої програмного забезпечення, що стосуються безпеки, вони повинні звітувати про них відповідальній особі так швидко, наскільки це можливо.

  1. Керування інцидентами.

Має бути процес керування, що забезпечує захист від інцидентів, їх виявлення та звітування, та відповідне реагування на інцидент. Інформація про порушення повинна збиратися і оцінюватись щоб унеможливити інциденти в майбутньому та зменшити збитки від них.

  1. .1.4 Персонал

Засоби захисту в цій категорії повинні зменшувати ризики безпеки, що виникають від помилок або зловмисного чи незловмисного порушення правил безпеки персоналом (який працює постійно чи тимчасово). Засоби захисту в цій сфері наведено нижче.

  1. Засоби захисту для постійного та тимчасового штату.

Всі працівники мають знати про свої обов’язки стосовно безпеки. Усі процедури стосовно без­пеки, яких слід дотримуватись персоналу, мають бути сформульовані у документі. Працівників тре­ба перевіряти перед влаштуванням на роботу, та, за потреби, підписувати договір про нерозголо- шення інформації.

  1. Засоби захисту для договірного персоналу

Договірний персонал (наприклад прибиральники чи обслуговувальний персонал) треба кон­тролювати так само, як інших відвідувачів. Договірний, звичайно довгостроковий, персонал пови­нен підписувати договір про нерозголошення перед тим, як отримає доступ (фізичний чи логічний) до комп’ютерного обладнання організації.

  1. Обізнаність у питаннях безпеки та навчання

Для підтримання поінформованості весь персонал, що використовує, розробляє, підтримує чи має доступ до комп’ютерного обладнання, повинен отримувати регулярні інструкції та інші мате­ріали. Це має забезпечити персоналу розуміння важливості для бізнесу оброблюваної інформації, пов’язаних з нею загроз, ризиків тощо, і, отже, розуміння того, для чого потрібні засоби захисту. Користувачі також мають бути навчені використовувати комп'ютерне обладнання коректно, щоб унеможливити помилки. Для вибраного персоналу, наприклад, керівників інформаційної безпеки, адміністраторів безпеки, можливо необхідно більш специфічне навчання безпеці.

  1. Дисциплінарний процес.

Всі працівники повинні знати про наслідки (зловмисних чи незловмисних) порушень політи­ки безпеки організації в цілому та політик безпеки окремих інформаційних систем, або будь-яких інших задокументованих домовленостей, пов’язаних з безпекою.

  1. .1.5 Питання експлуатації

Засоби захисту в цій сфері охоплюють процедури підтримування безпечного, правильного та надійного функціонування комп’ютерного обладнання та пов’язаних з ним систем. Більшість цих засобів захисту може бути реалізована шляхом запровадження організаційних процедур. Експлу­атаційні засоби захисту треба запроваджувати в поєднанні з іншими, наприклад, фізичними та технічними засобами. Засоби захисту в сфері питань експлуатації наведено нижче.

  1. Керування конфігурацією та змінами

Керування конфігурацією — це процес відстежування змін інформаційних систем. Основна його мета щодо безпеки — переконатися, що ці зміни в IT системах не зменшують ефективність засобів захисту та безпеки в цілому. Керування змінами може сприяти визначенню нових включень засобів захисту безпеки, коли трапляються зміни в IT системах.

  1. Керування навантаженнями

Керування навантаженнями треба використовувати, щоб уникнути збоїв через неадекватні потужності. Коли оцінюються необхідні навантаження для інформаційної системи, треба брати до уваги майбутні навантаження та поточні тенденції.

  1. Документація

Всі аспекти конфігурацій та діяльності IT систем повинні документуватися для забезпечення неперервності та стабільності. Безпеку інформаційної системи також треба документувати в ча­стині політики безпеки інформаційної системи, в документах чинних процедур безпеки, та звітах і планах, що стосуються стратегії забезпечення неперервності бізнесу. Документація має бути ак­туалізованою та доступною.

  1. Обслуговування

Комп'ютерне обладнання потрібно правильно обслуговувати для забезпечення постійної на­дійності, доступності та цілісності. Всі вимоги безпеки, що мають задовольнятись постачальниками обслуговування, повинні бути повністю задокументовані в договорах на обслуговування. Обслуговування треба виконувати відповідно до договору з постачальником та тільки уповноваженим персоналом.

  1. Відстежування змін, що стосуються безпеки.

Зміни впливів, загроз, вразливостей та ризиків, а також їхніх характеристик треба відстежу- вати. Відстежування має охоплювати як нові, так і старі аспекти. Навколишнє середовище, в якому розташована система, також треба відстежувати.

  1. Результати аудиту та ведення журналів.

Можливості аудиту та ведення журналів серверів (наприклад, записування результатів аудиту та засоби аналізування), мереж (наприклад, засоби аудиту брандмауерів та маршрутизаторів) і програмного забезпечення (наприклад, засоби аудиту програм обміну повідомленнями чи програм оброблення транзакцій) треба використовувати для запису деталей подій, що стосуються безпе­ки. Вони охоплюють деталі подій, визнаних неповноваженими чи помилковими, а також деталі зви­чайних подій, що мають бути проаналізовані пізніше. Результати аудиту та журнали треба регуляр­но переглядати для виявлення неповноважних дій, що дозволить приймати відповідні корегувальні заходи. Події, записані в журналах, треба аналізувати також з метою виявлення повторення схо­жих подій, що можуть вказувати наявність вразливостей чи загроз, засоби захисту від яких є не­адекватними. Такий аналіз може також виявити закономірності в непов’язаних, на перший погляд, подіях, що може дозволити ідентифікувати людей, що виконують неповноважні дії, чи кореневу причину проблеми з безпекою.

Примітка. В цьому тексті «можливості аудиту» систем та програмного забезпечення, а також «можливості веден­ня журналів» використовують для позначення одного й того ж. Доки такі можливості можна використовувати для підтри­мування аудиту фінансової цілісності, вони задовольняють тільки частині вимог для такої діяльності, і читач повинен усвідомлювати використання цієї термінології.

  1. Тестування безпеки

Тестування безпеки треба використовувати, щоб все комп’ютерне обладнання та всі пов’язані програмні компоненти працювали безпечно. Тестування безпеки здійснюють, щоб перевірити на відповідність вимогам безпеки, визначеним у політиці безпеки інформаційної системи та планах проведення тестування, а також має бути встановлено критерій прийняття для демонстрування того, що необхідний рівень безпеки досягнуто.

  1. Контроль носіїв інформації.

Контроль носіїв інформації охоплює низку засобів захисту для забезпечення фізичного захи­сту та захисту, що стосується навколишнього середовища, і також обліку стрічок, дисків, роздру- ківок та інших носіїв інформації. Вони містять марковання, ведення журналів, перевіряння цілісності, захист від фізичного доступу, від навколишнього середовища, передавання та безпеч­не знищення.

  1. Гарантоване вилучення інформації

Конфіденційність інформації, попередньо записаної на запам’ятовувальний пристрій, має бути збереженою, якщо ця інформація більше не потрібна. Треба забезпечити, щоб файли, які містять конфіденційні матеріали, були стерті та фізично перезаписані, або ж знищені іншим способом — активація функцій вилучення не завжди це робить. Засоби, схвалені відповідальним персоналом (наприклад, керівником інформаційної безпеки) мають бути доступні всім користувачам для повно­го та безпечного вилучення даних.

  1. Розподіл обов’язків

Для мінімізації ризиків та можливостей зловживання правами треба запроваджувати розподіл обов’язків там, де це потрібно та можливо. Зокрема, обов’язки та функції, що в поєднанні можуть призвести до обминання засобів захисту чи аудиту, або надмірних привілеїв для працівника, по­трібно тримати роздільно.

  1. Правильне використання програмного забезпечення

Щоб матеріал не копіювався, треба забезпечити захист авторського права, через виконання ліцензійної угоди для використовування комерційного програмного забезпечення.

  1. Контроль змін програмного забезпечення

Контроль змін може бути запроваджений для підтримування цілісності програмного забезпе­чення, коли вносять зміни (контроль змін програмного забезпечення застосовується тільки до про­грам, оскільки керування конфігурацією та змінами розглянуто в позиції переліку 1 цього пункту, застосовується до інформаційних систем та їх оточення як цілого). Треба встановити процедури контролю змін до програмного забезпечення, що керують всіма змінами та гарантують, що безпека підтримується протягом всього процесу. Вони охоплюють авторизацію змін, розгляд безпеки про­міжних рішень та перевіряння безпеки остаточного рішення.

  1. 1.6 Планування неперервності бізнесу

  1. Для захисту бізнесу, особливо критичних ділових процесів, від наслідків великих збоїв чи ка­тастроф та для мінімізації пошкоджень, спричинених такими подіями, має існувати чинник ефек­тивної неперервності бізнесу, охоплюючи планування непередбачуваних обставин/відновлення після катастроф, стратегію і план(и). Він містить такі засоби захисту.Стратегія неперервності бізнесу

Стратегія неперервності бізнесу, охоплюючи планування непередбачуваних обставин/відновлення після катастроф, повинна бути сформульована та задокументована відповідно до інформаційної системи, що розглядається, на основі визначених потенційних ударів спричинених недоступністю, модифікаціями та знищенням, нанесених недружнім бізнесом.

  1. План неперервності бізнесу

На основі стратегії неперервності бізнесу, треба розробити та задокументувати план(и) непе­рервності бізнесу, охоплюючи плани непередбачуваних обставин та відновлення після катастроф.

  1. Тестування та оновлення плану неперервності бізнесу

Скачать бесплатно
Предыдущий документ
Следующий документ
Предыдущая страница
Следующая страница


Нормативні акти про охорону праці Основні законодавчі акти Будівельні норми і правила (ДБН, СНиП) Стандарти (ГОСТ, ДСТУ) Санітарні норми і правила Пожежна безпека (НАПБ) Інструкції з охорони праці Реестр НПАОП 2020-2021 - Нормативно-правові акти з охорони праці

ГОСТ 8732-78 ОСТ 8732-78. Трубы стальные бесшовные. Сортамент ОСТ 92-9143-79 Системы автоматизированного проектирования изделий. Информационная карта Государственного фонда алгоритмов и программ. Содержания и правила оформления ДСаНПіН 2.2.1 СанПиН 2.2.1/2.1.1.567-96 Санитарно-защитные зоны и санитарная классификация предприятий, сооружений и иных объектов Условные знаки для топографических планов масштабов ДБН А.2.2-3-2011 Склад та зміст проектної документації на будівництво об’єктів Закон України "Про трубопровідний транспорт" Закон України "Про транспорт" ДБН В.2.2-10-2001 Заклади охорони здоров'я Про механізм впровадження Закону України "Про приватизацію державного житлового фонду" ДСТУ 4339:2005 Масло вершкове
ДСТУ EN 10025-1:2007 Вироби гарячекатані з конструкційної сталі. Частина 1. Загальні технічні умови постачання СТОРІНКА: 4 ГОСТ 24660-81 Статистический приемочный контроль по альтернативному признаку на основе экономических показателей СТОРІНКА: 4 Господарський процесуальний кодекс України СТОРІНКА: 4 ГОСТ 22782.4-78 Электрооборудование взрывозащищенное с видом взрывозащиты "Заполнение или продувка оболочки под избыточным давлением". Технические требования и методы испытаний СТОРІНКА: 2 ДСТУ Б В.2.7-22-95 В’яжучі композиційні низькоактивні безклінкерні. Загальні технічні умови укр/рус СТОРІНКА: 2 ГОСТ 25970-83 Протяжки для шестишлицевых отверстий с прямобочным профилем с центрированием по внутреннему диаметру комбинированные переменного резания двухпроходные. Конструкция и размеры СТОРІНКА: 3 ГОСТ 8281-80 Швеллеры стальные гнутые неравнополочные. Сортамент (в ред. 1986 г) СТОРІНКА: 5 ГОСТ 495-92 Листы и полосы медные. Технические условия СТОРІНКА: 2 ДБН Д.2.4-2000 Изменения СТОРІНКА: 4 ДСТУ Б В.2.7-117-2002 Плитки керамічні для підлог. Технічні умови СТОРІНКА: 3
Смотрите также
Приказ від 10.08.2007 року N 468 Наказ від 10.08.2007 року N 468 Щодо подовження терміну дії галузевих стандартів О проекте государственных строительных норм "Мости и трубы. Правила проектирования О принятии национального стандартаНАОП 9.1.50-5.08-85 Типовая инструкция по технике безопасности при работе в стерилизационных