Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников

для определения соответствия бизнеса его требованиям. Если организация осуществляет бизнес в других странах, менеджеры должны рассмотреть его соответствие требованиям этих стран.

Интеллектуальная собственность

Меры и средства

Должны быть внедрены соответствующие процедуры для обеспечения соответствия требованиям, связанным с правами интеллектуальной собственности и использованием лицензионного ПО.

Рекомендация по реализации

Следующие рекомендации следует учитывать в отношении защиты любого материала, который может содержать интеллектуальную собственность:

— публикация политики соблюдения прав интеллектуальной собственности, определяющей законное использование ПО и информационных продуктов;

— покупка ПО у заслуживающих доверия поставщиков для гарантии того, что авторское право не нарушается;

— поддержка осведомленности сотрудников о политиках по защите прав интеллектуальной собственности и уведомление о намерении применить дисциплинарные санкции в отношении нарушителей;

— поддержка соответствующих реестров активов и выявление всех активов, к которым применимы требования по защите прав интеллектуальной собственности;

— хранение подтверждений и доказательств прав собственности на лицензии, мастер-диски, руководства по эксплуатации и т. п.;

— внедрение контроля, что максимальное число разрешенных пользователей не превышено;

— проведение проверок установки только разрешенного ПО и лицензированных продуктов;

— внедрение политики поддержки соответствующих лицензионных условий;

— внедрение политики утилизации или передачи ПО сторонним организациям;

— соблюдение сроков и условий применения ПО и информации, полученной из общедоступных сетей;

— запрет дублирования, конвертации в другой формат или извлечения из коммерческих записей (фильм, аудио), если другое не разрешено законом об авторском праве;

— запрет копирования полностью или частично книг, статей, отчетов и других документов, если другое не разрешено законом об авторском праве.

Права интеллектуальной собственности включают авторство ПО и документа, права оформления, торговые знаки, патенты и лицензии.

Фирменное ПО обычно поставляется в соответствии с лицензионным соглашением, которое определяет лицензионные сроки и условия, например, ограничение использования ПО на других машинах или ограничение копирования кроме резервного. Важность и осознание прав интеллектуальной собственности должно быть доведено до сотрудников, разрабатывающих в организации ПО.

Законодательные, нормативно-правовые и договорные требования могут ограничивать копирование приватных материалов. В частности, они могут требовать использования только тех материалов, которые разработаны организацией или внедрены в организации разработчиком. Нарушение прав собственности ведет к законному действию, содержащему процедуры штрафования и криминального преследования.

Защита записей

Меры и средства

Записи должны быть защищены от потери, уничтожения, фальсификации, несанкционированного доступа в соответствии с законодательными, нормативными, договорными и бизнес-требованиями.

Рекомендации по реализации

После принятия решения о защите определенных организационных записей должна быть продумана соответствующая классификация на базе шкалы классификации организации. Записи должны быть категоризированы по типам, например, бухгалтерия, базы данных, транзакции, аудит и операционные процедуры, с указанием сроков хранения и типа их носителей, например, бумажный, микрофиша, магнитный, оптический. Любые криптографические ключи, имеющие отношение к зашифрованным архивам и цифровым подписям, должны храниться для дешифровки записей, пока они сохраняются.

Рассмотрению следует подвергнуть возможность износа носителей, на которых хранятся записи. Процедуры обращения и хранения носителей должны быть внедрены в соответствии с рекомендациями изготовителя. При выборе электронных носителей процедуры контроля доступа к данным (читаемости носителя) в течение срока хранения носителей должны быть обеспечены для защиты от потери из-за какого-либо технологического изменения.

Системы хранения данных должны выбираться такие, чтобы требуемые данные могли быть восстановлены в течение допустимого срока и приемлемом формате в зависимости от выполненных требований.

Система хранения и обработки должны обеспечить идентификацию записей и срока их хранения в соответствии с национальным или региональным законодательством или правилами. Эта система разрешит уничтожение записей по окончани этого срока, если они не нужны организации.

Для соответствия целям защиты записей организация должна предпринять следующее:

— разработать рекомендации в отношении сроков, порядка хранения и обработки, а также уничтожения записей;

— составить график хранения с указанием записей и периода, в течение которого их необходимо хранить;

— поддерживать ведение учета источников получения записей.

Некоторые записи следует хранить для соблюдения законодательных, нормативных или договорных требований, а также для поддержки важной бизнес-деятельности. К ним относятся записи, которые могут потребоваться как доказательство, что организация работает по законодательным и нормативным правилам для гарантии защиты от возможного гражданского или уголовного дела или подтверждения финансового статуса организации для аукционеров, сторонних организаций и аудиторов. Национальный закон или норматив может устанавливать период времени и содержание данных для хранения информации.

Конфиденциальность

Меры и средства

Конфиденциальность и защита персональных данных должна быть обеспечена, как того требует соответствующее законодательство и нормативы.

Рекомендации по реализации

Политика данных организации по конфиденциальности и защите персональных данных должна быть разработана и внедрена. Эта политика должна быть доведена до сведения всех лиц, участвующих в обработке персональных данных.

Соблюдение этой политики и всех применимых требований законодательных и нормативных актов по защите персональных данных требует наличие соответствующей структуры управления и контроля.

Как правило, это достигается путем назначения должностного лица, отвечающего за защиту персональных данных, которое должно предоставить инструкции менеджерам, пользователям и поставщикам услуг в отношении их персональной ответственности и специальных процедур, обязательных для выполнения.

Обеспечение ответственности за обработку персональных данных и осведомленности о принципах их защиты должно осуществляться в соответствии с законодательством и нормативами. Надлежащие технические и организационные меры по защите персональных данных должны быть внедрены.

Криптографические средства

Меры и средства

Криптографические средства должны использоваться согласно всех соответствующих договоров, законов и нормативов.

Рекомендации по реализации

Следующие вопросы необходимо рассматривать по соблюдению соответствующих договоров, законов и нормативов:

— ограничения на импорт или экспорт компьютерных аппаратных и программных средств, предоставляющих криптографические функции;

— ограничения на импорт или экспорт компьютерных аппаратных и программных средств, созданных с применением криптографических функций как дополнительных;

— ограничения на применение шифрования данных;

— принудительные и произвольные методы доступа органов власти к информации, зашифрованной с помощью аппаратных и программных средств для обеспечения конфиденциальности содержания.

14.2. Проверки ИБ

Цель: Убедиться, что ИБ внедрена и управляется в соответствии с организационными политиками и процедурами.

Проверки ИБ обеспечивают следующие меры:

— независимая проверка ИБ;

— соответствие политикам и стандартам;

— проверка технического соответствия.

Независимая проверка ИБ

Меры и средства

Подход организации к управлению ИБ и ее внедрению (т. е. цели и элементы управления, политики, процессы и процедуры ИБ) должен независимо проверяться через запланированные интервалы или когда происходят значительные изменения.

Рекомендации по реализации

Независимая проверка должна инициироваться руководством. Она необходима для обеспечения уверенности в сохраняющейся работоспособности, адекватности и эффективности подхода организации к управлению ИБ. Проверка должна включать в себя оценку возможностей улучшения и необходимость изменений подхода к безопасности, в том числе политику и цели управления.

Такая проверка должна осуществляться специалистами, не зависимыми от проверяемой сферы, например, службой внутреннего аудита, независимым менеджером или сторонней организацией, специализирующейся на таких проверках. Специалисты, привлекаемые к таким проверкам, должны обладать соответствующими навыками и опытом.

Результаты независимой проверки должны записываться и сообщаться руководству,