Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников

общей безопасности. Обучение должно соответствовать индивидуальным ролям, ответственностям и навыкам.

Оценка понимания сотрудников должна проводиться по завершении курса обучения для проверки уровня знаний.

Дисциплинарный процесс

Меры и средства

Должен существовать формальный и известный дисциплинарный процесс для принятия мер в отношении сотрудников, допустивших нарушение ИБ.

Рекомендации по реализации

Не следует начинать дисциплинарный процесс, не получив предварительного подтверждения того, что нарушение ИБ произошло.

Дисциплинарный процесс призван обеспечить уверенность в корректном и справедливом рассмотрении дел сотрудников, подозреваемых в совершении нарушений ИБ. Он должен обеспечивать дифференцированное реагирование, учитывающее такие факторы, как тип и тяжесть нарушения и его негативное влияние на бизнес, совершено ли нарушение впервые или повторно, получил ли нарушитель должную подготовку, законодательство, бизнес-контракты и другие требуемые факторы.

Дисциплинарный процесс должен использоваться как сдерживающий фактор для предотвращения нарушений сотрудниками политик и процедур ИБ и любых других нарушений ИБ организации. Преднамеренные нарушения требуют немедленных действий.

Дисциплинарный процесс может также стать мотивом или стимулом для уважительного отношения к требованиям ИБ.

3.3. Увольнение или изменение должности

Цель: Защищать интересы организации при увольнении или изменении должности сотрудника.

Увольнение или изменение обязанностей

Меры и средства

Ответственности и обязанности в сфере ИБ, которые остаются в силе после увольнения или изменения должности, должны быть определены, доведены до сотрудника или подрядчика и реализованы.

Рекомендация по реализации

Информирование об обязанностях при увольнении должно включать в себя актуальные требования ИБ и правовую ответственность и, при необходимости, обязанности, содержащиеся в соглашении о конфиденциальности, и условия трудоустройства, продолжающие действовать в течение определенного периода времени после увольнения сотрудника или подрядчика.

Ответственности и обязанности, которые остаются в силе после увольнения, должны быть включены в условия трудового договора сотрудника или контракта подрядчика.

Изменения обязанностей и условий труда должны приводить к расторжению существующего и заключению нового трудового договора, в котором будут установлены новые обязанности и условия труда.

4. Управление активами

Управление активами определяют следующие составляющие:

— ответственность за активы;

— безопасность активов;

— безопасность носителей информации.

4.1. Ответственность за активы

Цель: Определить активы организации и соответствующие ответственности по их защите.

Ответственность за активы обеспечивают следующие мероприятия:

— инвентаризация активов;

— принадлежность активов;

— использование активов;

— возврат активов.

Инвентаризация активов

Меры и средства

Организация должна идентифицировать активы, связанные с информацией и средствами для обработки информации, составить и вести их инвентарную опись.

Рекомендации по реализации

Организация должна идентифицировать все активы с учетом важности жизненного цикла информации и документа. Жизненный цикл информации состоит из создания, обработки, хранения, передачи, уничтожения и разрушения. Документация должна быть надлежащим образом внесена в существующие или новые описи.

Опись актива должна быть аккуратной, актуальной, последовательной и совместимой с другими описями.

Владение активом и классификация информации должны быть определены в отношении каждого актива.

Описи активов помогают обеспечивать уверенность в том, что активы организации эффективно защищены. Эти описи могут также потребоваться для других целей, таких как обеспечение безопасности труда, страховые или финансовые вопросы.

Принадлежность активов

Меры и средства

Активы, содержащиеся в описи, должны иметь владельцев.

Рекомендации по реализации

Физические лица, также как и другие субъекты, возложившие на себя одобренную руководством ответственность за жизненный цикл актива, квалифицируются как его владельцы.

Как правило, используется процесс временного назначения владения активом. Владение должно быть назначено, когда активы созданы и переданы организации. Владелец актива должен нести ответственность за надлежащее управление активом на протяжении всего его жизненного цикла.

Владелец актива должен:

— удостовериться, что активы инветаризированы;

— удостовериться, что активы надлежащим образом классифицированы и защищены;

— определять и пересматривать ограничения и классификации актива для важных активов с учетом применяемых правил разграничения доступа;

— принять надлежащие меры в случае уничтожения или разрушения актива.

В сложных ИС можно выделить группы активов, участвующих в обеспечении определенного сервиса. В этом случае владелец сервиса несет ответственность за обеспечение сервиса, включая работу этих активов.

Использование активов

Меры и средства

Правила использования информации и активов, связанных с информацией и средствами ее обработки, должны быть определены, задокументированы и внедрены.

Рекомендации по реализации

Сотрудники и представители внешних организаций, использующие или имеющие доступ к активам организации, должны быть осведомлены о требованиях ИБ в отношении активов организации, связанных с информацией, ресурсами и средствами ее обработки. Они должны нести ответственность за использование ими любых ресурсов для обработки информации и любое подобное использование в сфере их ответственности.

Возврат активов

Меры и средства

Все сотрудники организации и представители внешних организаций обязаны возвратить все активы организации, которые им были выданы, после окончания трудового договора, контракта или соглашения.

Рекомендации по реализации

Процесс увольнения должен быть формализован таким образом, чтобы включать в себя возврат ранее выданных физических и электронных активов, числящихся за организацией.

Если сотрудник или представитель внешней организации купил оборудование организации или пользуется личным оборудованием, при увольнении необходимо предусмотреть процедуры по возврату информации организации и надежному ее удалению на этом оборудовании.

Если сотрудник или представитель внешней организации знает важную информацию по обеспечению непрерывности операций, она быть задокументирована и передана организации.

Во время увольнения организация должна контролировать несанкционированное копирование соответствующей информации (например, интеллектуальной собственности) увольняемыми.

4.2. Безопасность информации

Цель: Обеспечить надлежащий уровень защиты информации в соответствии с ее важностью для организации.

Безопасность активов обеспечивают следующие мероприятия:

— классификация информации;

— маркировка информации;

— обработка активов.

Классификация информации

Меры и средства

Информация должна быть классифицирована с учетом правовых требований, ценности, критичности и чувствительности к несанкционированному разглашению или модификации.

Рекомендации по реализации

Классификации и меры защиты информации должны соответствовать требованиям бизнеса по распространению и ограничению информации с учетом правовых норм. Классификация активов может отличаться от классификации информации, которая хранится, обрабатывается и защищается активом, но при этом должна быть с нею согласована.

Владельцы информационных активов должны нести ответственность за их классификацию.

Схема классификации информации должна содержать правила и критерий пересмотра классификации с течением времени. Уровень защиты в схеме должен быть установлен путем анализа конфиденциальности, целостности и доступности и других требований к информации. Схема должна соответствовать правилам разграничения доступа.

Информация может перестать быть конфиденциальной по истечении некоторого периода времени и становится общедоступной. Эти аспекты необходимо принимать во внимание, поскольку присвоение более высокой категории может привести к реализации избыточных мер защиты и, как следствие, дополнительным расходам.

Каждый уровень должен иметь название в контексте применения схемы классификации.

Схема должна способствовать во всей организации тому, чтобы каждый мог классифицировать информацию и связанные с ней активы, иметь общее понимание требований защиты и применять надлежащую защиту.

Классификация должна быть включена в процессы организации и быть согласованной по всей организации. Результаты классификации должны показывать