Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников

или оператора телекоммуникаций) для принятия мер защиты от атаки.

Контакт со специальными группами

Меры и средства

Должны поддерживаться надлежащие контакты со специальными группами или форумами специалистов в области ИБ, а также профессиональными ассоциациями.

Рекомендации по реализации

Членство в группах или форумах следует рассматривать как средство для:

— повышения знания о «передовом опыте» и достижений ИБ на современном уровне;

— обеспечения уверенности в том, что понимание проблем ИБ является современным и полным;

— получения раннего оповещения в виде предупреждений, информационных сообщений и патчей1, касающихся атак и уязвимостей;

— возможности получения консультаций специалистов по вопросам ИБ;

— совместного использования и обмена информацией о новых технологиях, продуктах, угрозах или уязвимостях;

— организация подходящих связей для обеспечения обработки инцидентов ИБ.

Соглашения об информационном обмене должны обеспечить улучшение кооперации и координации действий в сфере безопасности. Эти соглашения должны определить требования по защите конфиденциальной информации.

1 Патч — блок изменений для оперативного исправления или нейтрализации ошибки в исполняемой программе. чаще всего поставляемый (или размещаемый на сайте разработчика) в виде небольшой программы, вставляющей исправления в объектный код соответствующих модулей приложения.

ИБ при управлении проектом

Меры и средства

ИБ должна обеспечиваться при управлении проектом, независимо от его типа.

Рекомендации по реализации

ИБ должна быть интегрирована|интегрированной, комплексной| в метод управления проектом|структуры|, чтобы гарантировать, что|который| риски|рисковый| ИБ идентифицированы|опознает| и являются частью проекта. Это относится к любому проекту, независимо от его содержания.

Метод управления проектом при использовании должен требовать, чтобы|который|:

— цели|задача| ИБ входили в проектные цели|задачу|;

— оценка риска|рисковый| ИБ проводилась|ведет| на ранней стадии проекта, чтобы идентифицировать|опознать| необходимые меры защиты|контроль, управляет|;

— ИБ была частью всех фаз|стадии| используемой проектной методологии.

Требования|импликацию| ИБ должны обеспечиваться и пересматриваться регулярно во всех проектах. Ответственность за ИБ нужно определить и применить к ролям, определенным методами управления проектом.

2.2. Мобильные устройства и удалённая работа

Цель: обеспечить безопасность удалённой работы и использования мобильных устройств.

Этот раздел рассматривает обеспечение ИБ при использовании:

— мобильных устройств;

— удалённой работы.

Мобильные устройства

Меры и средства

Политика и меры безопасности должны обеспечить управление рисками, связанными с использованием мобильных устройств.

Рекомендации по реализации

При использовании мобильных устройств необходимо уделить внимание тому, чтобы не скомпрометировать бизнес-информацию. Политика мобильных устройств должна учитывать риски работы с мобильными устройствами в незащищенной среде.

Политика мобильных устройств должна рассматривать:

— регистрацию мобильных устройств;

— требования физической защиты;

— ограничения на установку ПО;

— требования к версиям ПО мобильных устройств и применению патчей;

— ограничения на подключение к информационным сервисам;

— управление доступом;

— криптографические средства;

— защита от вредоносного ПО;

— дистанционное выключение, удаление или блокировку;

— резервное копирование;

— использование веб-сервисов и веб-приложений.

Следует проявлять осторожность при использовании мобильных устройств в общедоступных местах, конференц-залах и других незащищенных местах. Необходимо обеспечить защиту от несанкционированного доступа или раскрытия информации, хранимой и обрабатываемой этими устройствами, например с помощью средств криптографии.

Мобильные устройства необходимо также физически защищать от краж, особенно когда их оставляют в автомобилях или других видах транспорта, гостиничных номерах, конференц-залах и местах встреч. Для случаев потери или кражи мобильных устройств должна быть установлена специальная процедура, учитывающая законодательные, страховые и другие требования безопасности организации.

Устройства, в котором переносится важная, чувствительная или критическая информация бизнеса, не следует оставлять без присмотра и, по возможности, для обеспечения безопасности устройства должны быть физически заблокированы или использованы специальные замки.

Необходимо провести обучение сотрудников, использующих мобильные устройства, с целью повышения осведомленности о дополнительных рисках, связанных с таким способом работы, и мерах защиты, которые должны быть выполнены.

Там, где политика мобильных устройств разрешает использование личных мобильных устройств, политика и связанные с ней меры безопасности должны предусмотреть:

— разделение личного и делового использования устройств с применением ПО, которое поддерживает разделение и защищает бизнес-данные на личном устройстве;

— предоставление доступа пользователей к бизнес-информации только после заключения трудового договора, определяющего их обязанности (физическая защита, обновление ПО и т. д.), отказ в собственности на бизнес-данные, разрешение на удаленное уничтожение организацией данных в случае кражи или потери устройства или после завершения срока использования сервиса. Эта политика разрабатывается с учетом законодательства о конфиденциальности.

Беспроводная коммуникация мобильных устройств похожа на другие типы сетевой коммуникации, но имеют важные отличия, которые надо учитывать при выборе мер защиты.

Типовые различия:

— некоторые протоколы беспроводной безопасности несовершенны и имеют известные недостатки;

— невозможность резервного копирования информации, хранящейся на мобильных устройствах, из-за ограниченной сетевой пропускной способности или отсутствия подключения мобильных устройств во время запланированного копирования.

Удалённая работа

Меры и средства

Должна быть принята политика и меры по обеспечению ИБ для защиты доступа к информации, ее обработки и хранения при удаленной работе.

Рекомендации по реализации

Организация, использующая удаленную работу, должна разработать политику, определяющую условия и ограничения такой работы. При этом необходимо принимать во внимание следующее:

— существующую физическую безопасность места удаленной работы, включая физическую безопасность здания и окружающей среды;

— предлагаемые условия удаленной работы;

— требования в отношении безопасности коммуникаций, учитывая потребность в удаленном доступе к внутренним системам организации, чувствительность информации, к которой будет осуществляться доступ, и чувствительность внутренней системы;

— внедрение доступа к виртуальному рабочему столу, предотвращающего обработку и хранение информации на личном оборудовании;

— угрозу несанкционированного доступа к информации или ресурсам со стороны других лиц, находящихся в месте удаленной работы, например членов семьи и друзей;

— использование домашних компьютерных сетей, а также требования или ограничения в отношении конфигурации услуг беспроводных сетей;

— политики и процедуры защиты прав интеллектуальной собственности, разработанной на личном оборудовании;

— доступ к личному оборудованию, который может быть запрещен законодательно (для определения безопасности машины или на время расследования);

— лицензионные соглашения в отношении ПО, что касается ответственности за лицензирование клиентского ПО на рабочих станциях, являющихся личной собственностью сотрудников или внешних организаций;

— требования в отношении антивирусной защиты и межсетевых экранов.

Руководства и соглашения должны содержать следующее:

— предоставление необходимого оборудования и материалов для удаленной работы, где используется личное оборудование, не контролируемое организацией;

— определение разрешенной работы, часов работы, внутренних систем и сервисов, задействованных при удаленной работе, и классификация обрабатывающейся информации;

— предоставление приемлемого коммуникационного оборудования, в том числе безопасного удаленного доступа;

— физическую безопасность;

— роли и директивы семейного и гостевого доступа к оборудованию и информации;

— обслуживание и поддержку аппаратного и программного обеспечения;

— предоставление страховки;

— процедуры резервного копирования и непрерывности бизнеса;

— аудит и мониторинг безопасности;

— аннулирование пользователя, его прав доступа и возврат оборудования после завершения удаленной работы.

3. Безопасность, связанная с персоналом

Безопасность, связанную с персоналом, обеспечивают мероприятия:

— перед приемом на работу;

— во время работы;

— при увольнении или изменении должности.

3.1. Перед приемом на работу

Цель: Гарантировать, что сотрудники и подрядчики понимают свою ответственность и подходят для