Перед прийняттям план неперервності бізнесу має бути ретельно відтестований для гарантування того, що він працює в «реальних» обставинах, та доведено до відома всіх відповідних працівників. Оскільки плани неперервності бізнесу можуть швидко старіти, важливо їх регулярно обновляти. Стратегію неперервності бізнесу треба за необхідності обновляти.
Резервування
Для всіх важливих файлів та інших ділових даних, важливих системних програм та документації потрібно робити резервні копії. Частоту резервування треба узгоджувати з важливістю інформації та плану неперервності бізнесу. Резервні копії треба зберігати у безпечному та віддаленому місці, а відновлення перевіряти регулярно для надійності.
.1.7 Фізична безпека
Засоби захисту в цій сфері пов’язані з фізичним захистом. їх треба розглядати в поєднанні з визначенням навколишнього середовища, описаного в підрозділі 7.2. Положення декількох ниж- ченаведених підрозділів поширюються на будівлі, безпечні зони, комп’ютерні кімнати та офіси. Вибір засобів захисту залежить від того, яка частина будівлі розглядається. Засоби захисту в цій сфері наведено нижче.
Матеріальний захист
Фізичні засоби для захисту будівлі охоплюють паркани, фізичний контроль доступу, міцні стіни, двері та вікна. Зони будівлі, які підлягають захисту, треба захищати від несанкціонованого доступу за допомогою системи контролю фізичного доступу, охорони тощо. Зони захисту можуть бути необхідними для комп'ютерного обладнання, такого, як сервери, з відповідним програмним забезпеченням та даними, що підтримують важливі ділові операції. Доступ до таких зон захисту повинен обмежуватись мінімальною кількістю необхідного персоналу, а подробиці треба записувати в журналі. Все обладнання для діагностування та контролю треба надійно зберігати та ретельно контролювати під час використання.
Протипожежний захист
Обладнання та прилеглі зони, охоплюючі підхід до них, треба захищати від поширення вогню з будь-якого місця в будівлі чи з суміжних будівель. Небезпека загоряння поблизу кімнат/зон, де розміщено обладнання, має бути мінімізована. Також треба забезпечити захист від вогню, що займається та (або) поширюється на всі кімнати/зони, де розташоване ключове обладнання. Засоби захисту мають умикати сигналізацію на виявлення вогню та диму і систему гасіння. Потрібно потурбуватися про те, щоб захист від пожежі не призвів до пошкодження комп’ютерних систем від води чи інших засобів гасіння.
Захист від води/рідини
Цінне обладнання не треба розташовувати на майданчиках, де можливі значні затоплення та витоки води чи іншої рідини. Відповідний захист має бути забезпечений там, де є значна загроза затоплення.
Захист від стихійних лих
Будівлі, де розміщено ключове обладнання треба захищати від ударів блискавки. Також це обладнання безпосередньо треба захищати від цих ударів. Захист від інших стихійних лих можна досягти, уникаючи районів, де вони можуть статися (якщо це можливо), а також запроваджуючи стратегії та планування неперервності бізнесу.
Захист від крадіжок
Для контролю запасів кожна одиниця обладнання має бути ретельно облікована та занесена до опису майна. Охоронцям/реєстраторам треба перевіряти обладнання чи носії інформації на предмет винесення їх з кімнати/зони чи будівлі без авторизації. Секретна інформація та патентоване програмне забезпечення, що зберігається на портативних носіях інформації (наприклад, дискетах), треба захищати відповідно.
Електричне живлення та кондиціонування повітря
За потреби все комп’ютерне обладнання треба захищати від збоїв живлення. Треба забезпечити придатне електропостачання, а також за потреби впровадити безперебійне живлення. Інша мета захисту — забезпечити необхідну температуру та вологість.
Прокладання кабелю
Кабелі електричного живлення та зв’язку, які передають дані чи підтримують інформаційні послуги, потребують захисту від перехвату, пошкодження чи перевантаження. Кабелі мають бути фізично захищені від випадкового чи зловмисного пошкодження, вибрані та прокладені відповідно до їх призначення; ретельне планування, що передбачає майбутні розроблення, дозволяє уникнути багатьох проблем. Там, де це обґрунтовано і можливо, кабелі треба захищати від прослухо- вування.
Таблиця 8.1.1 — Керування інформаційною безпекою та політикою безпеки
|
|
Практичні правила керування інформаційною безпекою |
Стандарт базової безпеки ETSI — Функції та механізми |
Довідник з базового захисту IT |
Посібник з комп'ютерної безпеки NIST |
Категориза- ція безпеки та захист для інформаційних систем охорони здоров'я1 |
Настанова з інформаційної безпеки ТС 68 |
Рекомендації для комп'ютерних робочих станцій |
Канадський посібник з безпеки інформаційних технологій |
|
1 Корпоративна політика інформаційної безпеки |
3.1 |
— |
1.1, 1.2 |
5.1 |
*.3.1.1 |
3 |
— |
5.1, 5.2 |
|
2 Політика безпеки інформаційної системи |
— |
— |
1.1, 1.2 |
5.2, 5.3 |
*.3.1.1 |
3 |
— |
5.2, 5.3 |
|
3 Керування інформаційною безпекою |
4.1.1, 4.1.2 |
— |
1.1, 1.2 |
6 |
*.3.1.1 |
4 |
2.1 |
6 |
|
4 Розподіл обов’язків |
4.1.3 |
— |
1.3 |
2.4, 2.5, 3 |
*.3.1.1 |
4 |
2.1 |
2.4, 2.5, 3 |
|
5 Організація інформаційної безпеки |
4.1 |
— |
1.2 |
3.5 |
— |
4 |
2.2 |
3.5 |
|
6 Визначення і оцінювання цінностей |
5 |
— |
2.2 |
7.1 |
— |
5.6, 7.1 |
5.1 |
7.1 |
|
7 Затвердження інформаційних систем |
4.1.4 |
— |
— |
8 |
5 |
— |
6.7 |
8, 9 |
|
1 * Позначає довільне число між 6 та 11. |
||||||||
Таблиця 8.1.2 — Перевіряння узгодженості безпеки
|
|
Практичні правила керування інформаційною безпекою |
Стандарт базової безпеки ETSI — Функції та механізми |
Довід- ник 3 базового захисту IT |
Посібник з комп’ютерної безпеки NIST |
Категоризація безпеки та захист для інформаційних систем охорони здоров'я |
Настанова з інформаційної безпеки ТС 68 |
Рекомендації для комп'ютерних робочих станцій |
Канадський посібник з безпеки інформаційних технологій |
|
1 Відповідність політиці інформаційної безпеки та засобам захисту |
12.2 |
|
1.2 |
10.2.3 |
— |
10.2 |
7.1, 7.2 |
9.4, 10.2.3 |
Кінець таблиці 8.1.2
|
|
Практичні правила керування інформаційною безпекою |
•Стандарт базової безпеки ETSI — Функції та механізми |
Довід- ник 3 базового захисту IT |
Посібник з комп’ютерної безпеки NIST |
Категоризація безпеки та захист для інформаційних систем охорони здоров'я |
Настанова з інформаційної безпеки ТС 68 |
Рекомендації для комп'ютерних робочих станцій |
Канадський посібник з безпеки інформаційних технологій |
|
2 Відповідність правовим та регуляторним вимогам. |
12.1 |
— |
3.1, 3.2 |
6.3, 10.2.3 |
6.3.11 |
8.18, 10.2 |
8.1 |
1.5, 2.9, 6.3, 10.2.3 |
Таблиця 8.1.3 — Реагування на порушення
|
|
Практичні правила керування інформаційною безпекою |
Стандарт базової безпеки ETSI — Функції та механізми |
Довідник 3 базового захисту IT |
Посібник 3 комп’ютерної безпеки NIST |
Категоризація безпеки та захист для інформаційних систем охорони здоров'я |
Настанова з інформаційної безпеки ТС 68 |
Рекомендації для комп’ютерних робочих станцій |
Канадський посібник з безпеки інформаційних технологій |
|
1 Звітування про порушення безпеки |
6.3.1 |
— |
М2 |
12 |
— |
10.4 |
—— |
12 |
|
2 Звітування про слабкості безпеки |
6.3.2 |
— |
М2 |
12 |
— |
10.4 |
— |
12 |
|
3 Звітування про збої програмного забезпечення |
6.3.3 |
— |
М2 |
12 |
— |
10.4 |
— |
12 |
|
4 Керування порушеннями |
8.1.3 |
— |
М2 |
12 |
— |
10.4 |
— |
18.1.3 |
Таблиця 8.1.4 — Персонал
|
|
Практичні правила керування інформаційною безпекою |
Стандарт базової безпеки ETSI— Функції та механізми |
Довідник з базового захисту IT |
Посібник з комп'ютерної безпеки NIST |
Категоризація безпеки та захист для Інформаційних систем охорони здоров'я1 |
Настанова з інформаційної безпеки ТС 68 |
Рекомендації для комп’ютерних робочих станцій |
Канадський посібник з безпеки інформаційних технологій |
|
1 Засоби захисту постійного та тимчасового штату |
6.1 |
— |
3.2, М3 |
10.1 |
*.3.9 |
9.2 |
4.1, 2.2 |
10.1 |
|
2 Засоби захисту персоналу, що працює за контрактами |
6.1 |
— |
— |
10.3 |
*.3.9 |
9.2 |
4.1, 2.2 |
10.3 |
|
3 Усвідомлення безпеки та навчання |
6.2 |
— |
1.2, М3 |
13, 10.1.4 |
*.3.9 |
9.1 |
4.2, 2.2 |
13, 10.1.4 |
|
4 Дисциплінарний процес |
6.3.5 |
— |
3.2, М3 |
— |
*.3.9 |
9.2.6 |
2.2.1 |
13.1 |
|
' * Позначає довільне число між 6 та 11. |
||||||||
Таблиця 8.1.5 — Питання експлуатації
|
|
Практичні правила керування інформаційною безпекою |
Стандарт базової безпеки ETSI — Функції та механізми |
Довідник з базового захисту IT |
Посібник з комп’ютерної безпеки NIST |
Категориза- ція безпеки та захист для інформаційних систем охорони здоров’я1 |
Настанова з інформаційної безпеки ТС 68 |
Рекомендації для комп'ютерних робочих станцій |
Канадський посібник з безпеки інформаційних технологій |
|
1 Керування конфігурацією та змінами |
8.2, 10.5 |
— |
— |
14.3, 8.4.1 |
— |
7.4 |
9 |
14.3, 8.4.1, 8.4.4 |
|
2 Керування потужностями |
8.2.1 |
— |
— |
— |
— |
— |
— |
— |
|
3 Документація |
8.1.1, 8.6.3 |
— |
М2 |
14.6 |
— |
8.4.6, 8.5.7, 8.7 |
— |
14.6 |
|
4 Обслуговування |
7.2.4 |
— |
М2 |
14.7 |
*.3.6 |
8.1.4, 8.10.5, 10.1 |
6.5 |
14.7 |
|
5 Моніторинг змін, що стосуються безпеки |
— |
— |
1.2 |
7.3.3 |
— |
7.4, 8.1.3, 8.2.5, 8.3.7 |
6.7 |
7.3.3, 8.4.4 |
|
6 Результати аудиту та ведення журналів |
8.4 |
— |
М2 |
18 |
— |
7.3, 8.1.8, 8.2.10, 8.9.5 |
6.7 |
(18) |
|
7 Тестування безпеки |
— |
— |
М2 |
8.4.3 |
— |
8.3.5 |
6.7, 3 |
8.4.3 |
|
8 Контроль носіїв інформації |
8.6 |
— |
8, М2 |
14.5 |
*.3.5 |
8.4 — 8.14 |
5 |
14.5 |
|
9 Гарантоване вилучення інформації |
— |
— |
М4 |
— |
— |
8.1.9 |
6.3, 5 |
14.5.7 |
|
10 Розподіл обов’язків |
8.1.4 |
— |
М2 |
— |
— |
— |
— |
10.1.1 |
|
11 Правильне використання програмного забезпечення |
12.1.2 |
— |
М2 |
— |
*.3.8 |
8.3 |
6.3 |
14.2 |
|
12 Контроль змін програмного забезпечення |
10.5.1, 10.5.3 |
— |
М2 |
— |
*.3.8 |
8.3.7 |
6.3 |
8.4.4, 14.2 |
|
1 * Позначає довільне число між 6 та 11. |
||||||||
Таблиця 8.1.6 — Планування неперервності бізнесу
|
|
Практичні правила керування інформаційною безпекою |
Стандарт базової безпеки ETSI — Функції та механізми |
Довідник з базового захисту IT |
Посібник з комп'ютерної безпеки NIST |
Категориза- ція безпеки та захист для інформаційних систем охорони здоров’я1 |
Настанова з інформаційної безпеки ТС 68 |
Рекомендації для комп’ютерних робочих станцій |
Канадський посібник з безпеки інформаційних технологій |
|
1 Стратегія неперервності бізнесу |
11.1.1, 11.1.2 |
— |
3.3, М6 |
11.2, 11.3, 11.4 |
*3.3 |
8.19, 8.1.7, 8.4.5, 8.5.5, 8.6.5, 8.7.5, 8.8.3, 8.19 |
7.3, 7.4, 7.5 |
11.2, 11.3, 11.4 |
