Международный стандарт ИСО 13335: 2006, область его применения

Может оказаться необходимым развивать отдельные специфические аспекты политики безопасности для каждой или нескольких ИТТ. Эти направления должны базироваться на оценке риска и согласовываться с политикой безопасности ИТТ, тем самым учитывая рекомендации по безопасности для тех систем, с которыми они связаны.

В качестве первого шага к процессу управления безопасностью ИТТ можно рассмотреть вопрос о том, насколько широки границы уровня риска, приемлемого для организации. Тщательное определение приемлемых рисков и, следовательно, соответствующего уровня безопасности — это ключ к успешному управлению безопасностью.

Необходимость задания широких границ допустимого риска безопасности диктуется задачами безопасности ИТТ, которые должна выполнить организация. Для решения задач обеспечения безопасности нужно идентифицировать активы организации и провести оценку их ценности. При идентификации и оценке ценности активов необходимо учитывать роль, которую они играют в поддержании деятельности организации. ИТТ является лишь частью активов организации.

Чтобы оценить, в какой мере бизнес организации зависит от ИТТ, необходимо рассмотреть вопросы о том:

- какие важные составляющие  бизнеса не могут осуществляться  без ИТТ;

- какие задачи могут  быть решены только при помощи  ИТТ;

- какие важные решения  зависят от конфиденциальности, целостности, доступности, неотказуемости, подотчетности и аутентичности информации, хранимой или обрабатываемой ИТТ, или от того, насколько эта информация актуальна;

- какая хранимая или  обрабатываемая информация должна  защищаться;

 

 

- каковы для организации  последствия инцидента безопасности?

Ответы на эти вопросы позволят установить задачи безопасности ИТТ организации. Если, например, некоторые важные или очень важные составляющие деятельности организации зависят от точности или актуальности информации, то одной из задач безопасности организации может стать обеспечение целостности и обновляемости информации в процессе ее хранения и обработки ИТТ. Определяя задачи безопасности ИТТ, необходимо также рассмотреть задачи бизнеса и их связь с безопасностью.

В зависимости от целей безопасности ИТТ необходимо согласовать стратегию достижения этих целей. Выбранная стратегия должна соответствовать ценности защищаемых активов. Если, например, ответ на один или более вопросов, рассмотренных выше, выявляет сильную зависимость от ИТТ, то организация, скорее всего, должна предъявлять высокие требования к безопасности ИТТ, и целесообразно выбирать стратегию, достаточную для выполнения этих требований.

Основные положения стратегии безопасности ИТТ сводятся к тому, как организация будет достигать своих целей в области безопасности ИТТ. Вопросы, к которым должна обращаться стратегия, будут зависеть от числа, вида и важности этих целей. Для организации обычно важно применять типовые решения этих вопросов. Характер вопросов может быть как очень конкретным, так и общим.

Примеры

1. Конкретный вопрос: организация (в силу специфики своей деятельности) может иметь первоочередной целью безопасности ИТТ обеспечение постоянной доступности всех своих систем. В этом случае одна из составляющих стратегии может быть направлена на уменьшение вероятности заражения вирусами путем установки антивирусного программного обеспечения.
2. Общий вопрос: организация, осуществляющая продажу своих информационно-телекоммуникационных услуг, может поставить целью безопасности ИТТ доказать потенциальным клиентам, что ее собственные системы организации защищены. В этом случае частью стратегии будет аттестация системы по требованиям безопасности информации, проведенная уполномоченной сторонней организацией.

Другими возможными аспектами стратегии безопасности ИТТ, в силу специфических задач или их комбинаций, могут быть:

 

- стратегия оценки риска  и методы, адаптируемые в рамках  организации;

- комплексная политика  безопасности ИТТ для каждой  системы;

- организационные методы  безопасности для каждой системы;

- схема классификации  ИТТ систем;

- осознание необходимости  безопасности и повышение квалификации  в области безопасности;

- условия безопасности  соединений, которые должны выполняться и проверяться перед осуществлением соединения с другими устройствами;

- стандартные схемы управления  инцидентами информационной безопасности в рамках всей организации.

После определения стратегия безопасности и ее составляющие должны быть включены в политику безопасности ИТТ организации.

Элементы политики безопасности информационно-телекоммуникационных технологий организации.

Политика безопасности ИТТ должна формироваться, исходя из согласованных целей и стратегий безопасности ИТТ организации. Необходимо выработать и сохранять политику безопасности ИТТ, соответствующую законодательству, требованиям регулирующих органов, политике в области бизнеса, безопасности и политике ИТТ.

Чем более организация полагается на ИТТ, тем важнее ее безопасность, которая обеспечивает выполнение бизнес-задач. При формировании политики безопасности ИТТ следует помнить об особенностях культуры, окружающей среды организации, поскольку они влияют на подход к безопасности, например на защитные меры, которые могут быть легко приняты в одной среде и быть абсолютно неприемлемы в другой. Деятельность в области безопасности, изложенная в политике безопасности ИТТ, может основываться на организационных целях и стратегиях, результатах предыдущих исследований по оценке и управлению риском, результатах мероприятий по сопровождению создаваемых защитных мер, мониторинге, аудите и анализе безопасности ИТТ в процессе текущей деятельности и отчетах об инцидентах безопасности. Любая серьезная угроза или уязвимость, замеченная в ходе данных мероприятий, должна быть соотнесена с политикой организации, описывающей общий подход к решению этих проблем безопасности.

 Детальные действия излагаются в различных политиках безопасности ИТТ или других вспомогательных документах, например в организационных методах безопасности.

В разработке политики безопасности ИТТ организации должны принимать участие представители направлений, связанных с:

- аудитом;

- правом;

- финансами;

- информационными системами (специалисты и пользователи);

- коммунальными службами/инфраструктурой (лица, отвечающие за здания, размещение, электроснабжение и кондиционирование);

- персоналом;

- безопасностью;

- руководством.

В соответствии с целями безопасности и стратегией, принятой организацией для достижения этих целей, определяется надлежащий уровень детализации политики безопасности ИТТ организации. Политика безопасности ИТТ должна распространяться на:

- предмет и задачи безопасности;

- цели безопасности с  учетом правовых и регулирующих  обязательств, а также с учетом  бизнес-целей;

- требования безопасности  ИТТ к обеспечению конфиденциальности, целостности, доступности, безотказности, подотчетности и аутентичности информации и средств ее обработки;

- ссылки на стандарты, лежащие в основе данной политики;

- администрирование информационной  безопасности, охватывающее организационные и индивидуальные ответственности и полномочия;

- подход к управлению  риском, принятый в организации;

- метод определения приоритетов  реализации защитных мер;

 

- уровень безопасности  и остаточный риск, определяемый  руководством организации;

- общие правила контроля  доступа (логический контроль доступа, а также контроль физического доступа в здания, помещения, к системам и информации);

- подходы к осведомленности  о безопасности и повышение  квалификации в области безопасности  в рамках организации;

- процедуры проверки и  поддержания безопасности;

- общие вопросы защиты  персонала;

- способы, которыми политика  безопасности будет доведена  до сведения всех заинтересованных  лиц;

- условия анализа или  аудита политики безопасности;

- метод контроля изменений  в политике безопасности.

Организации должны оценить свои требования, окружающую среду и уровень развития и определить наиболее отвечающую им специфическую проблему безопасности. Эта проблема включает в себя:

- требования безопасности  ИТТ, например требования конфиденциальности, целостности, доступности, неотказуемости, аутентичности и достоверности, особенно с учетом мнений владельцев активов;

- организационную инфраструктуру  и распределение обязанностей;

- интеграцию безопасности  при совершенствовании системы  и закупках;

- определение методов  и уровней классификации информации;

- стратегию управления  рисками;

- планирование непрерывности  бизнеса;

- вопросы, связанные с  персоналом (особое внимание должно  быть уделено персоналу, занимающему ответственные должности, такому как технический персонал и системные администраторы);

- осведомленность и обучение  персонала;

- правовые и регулирующие  обязательства;

- менеджмент, осуществляемый  независимым экспертом;

 

- управление инцидентами  информационной безопасности.

Как отмечено выше, результаты исследований по оценке риска, проверок соответствия безопасности и инцидентов безопасности могут оказывать влияние на политику безопасности ИТТ организации. Это, в свою очередь, может потребовать пересмотра или совершенствования ранее определенной стратегии или политики безопасности.

Для обеспечения адекватной поддержки всех связанных с безопасностью мер политика безопасности ИТТ должна быть одобрена руководством организации.

На основе политики безопасности ИТТ должны быть подготовлены директивные указания, обязательные для всех руководителей и сотрудников организации. Это может потребовать подписания каждым сотрудником документа, подтверждающего его обязанности в рамках безопасности данной организации. Далее следует развивать и осуществлять программу осведомленности о безопасности, разъясняющую эти обязанности.

Должен быть назначен ответственный за политику безопасности ИТТ, который должен обеспечивать соответствие политики требованиям и актуальному статусу данной организации. Обычно им является сотрудник службы безопасности, который несет ответственность за следующие действия: проверку соответствия безопасности, ревизию, аудит, обработку инцидентов, выявление слабых мест в безопасности и внесение изменений в политику безопасности ИТТ организации, которые могут потребоваться по результатам подобных действий.

 

 

 

 

 

 

 

 

 

 

 

2. Международный стандарт ИСО 27001: 2005
1. Общие положения и область применения

Этот международный стандарт был подготовлен для того, чтобы предоставить модель для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения Системы Менеджмента Защиты Информации (СМЗИ). Рекомендуется, чтобы принятие СМЗИ было стратегическим решением для организации. На проектирование и реализацию СМЗИ организации влияют ее потребности и цели, требования защиты, применяемые процессы, а также размер и структура организации. Ожидается, что все эти элементы, а также их вспомогательные системы будут со временем меняться. Ожидается, что реализация СМЗИ будет масштабироваться в соответствии с потребностями организации, например, простая ситуация требует простого решения СМЗИ.

Этот международный стандарт можно использовать для оценки соответствия заинтересованными внутренними и внешними сторонами.

Этот международный стандарт охватывает все типы организаций (например, коммерческие предприятия, государственные органы, некоммерческие организации). Этот международный стандарт определяет требования для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения документированной СМЗИ в контексте общих деловых рисков организации. Он определяет требования для реализации средств управления защитой, приспособленных к потребностям отдельных организаций или их подразделений.

СМЗИ разрабатывается для того, чтобы обеспечить выбор адекватных и пропорциональных средств управления защитой, которые защищают информационные активы и придают уверенность заинтересованным сторонам.

 

 

 

 

 

 

 

 

2. Термины и определения

Для целей этого документа, применяются следующие термины и определения.

актив [asset] - что-либо, что имеет ценность для организации;

доступность [availability] - свойство быть доступным и годным к употреблению по требованию уполномоченного лица;

конфиденциальность [confidentiality] - свойство, что информация не сделана доступной или не разглашена неуполномоченным лицам, организациям или процессам;

защита информации [information security] - сохранение конфиденциальности, целостности и доступности информации; кроме того, также могут быть включены другие свойства, такие как аутентичность, подотчетность, неотрекаемость и надежность событие в системе защиты информации [information security event] выявленный случай системы, услуги или состояния сети, указывающий на возможное нарушение политики защиты информации или нарушения в работе средств защиты, или прежде неизвестная ситуация, которая может иметь значение для защиты;

инцидент в системе защиты информации [information security incident] - одно или серия нежелательных или неожиданных событий в системе защиты информации, которые имеют большой шанс скомпрометировать деловые операции и поставить под угрозу защиту информации;

система менеджмента защиты информации (СМЗИ) [information security management system] [ISMS] - часть общей системы менеджмента, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации;

ПРИМЕЧАНИЕ: Система менеджмента включает организационную структуру, политику, деятельность по планированию, ответственность, практики, процедуры, процессы и ресурсы.

целостность [integrity] - свойство оберегания точности и полноты активов;