Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Электронный обмен сообщениями
Меры и средства
Информация электронного сообщения должна иметь соответствующую защиту.
Рекомендации по реализации
Необходимо учитывать следующие рекомендации ИБ:
– защита сообщений от несанкционированного доступа, модификации или отказа сервиса, соизмеримая со схемой классификации;
– обеспечение правильной адресации и транспортировки;
– надежность и доступность сервиса;
– законодательные требования,
– получение одобрения до использования внешних общедоступных услуг, таких как мгновенный обмен сообщениями, социальные сети или разделение файлов;
– строгие уровни аутентификации доступа со стороны общедоступных сетей.
Существует много типов электронного обмена сообщениями, такими как электронная почта, обмен данными и социальные сети, играющие роль в бизнес-коммуникациях.
Соглашение о неразглашении
Меры и средства
Требования к соглашениям о конфиденциальности или неразглашении, отражающие потребности организации в защите информации, следует определить, регулярно пересматривать и задокументировать.
Рекомендации по реализации
Соглашение о конфиденциальности или неразглашении (англ. Non-Disclosure Agreement, NDA) должно отражать требования защиты конфиденциальной информации с применением существующих правовых понятий. Организации следует заключать NDA как со своими сотрудниками, так и с представителями сторонних организаций. Его содержание должно учитывать тип сторонней организации и возможного доступа к конфиденциальной информации или ее обработки.
Чтобы определить требования NDA, необходимо учесть следующие факторы:
– определение информации, подлежащей защите (например, конфиденциальная информация);
– предполагаемый срок действия NDA, включая случаи, когда конфиденциальность потребуется на неопределенный срок;
– необходимые действия при окончании срока действия NDA;
– обязанности и действия подписавших NDA лиц по предотвращению несанкционированного разглашения информации;
– владение информацией, коммерческой тайной и интеллектуальной собственностью и как это касается защиты конфиденциальной информации;
– разрешенное использование конфиденциальной информации и права подписавших NDA лиц по ее использованию;
– право на аудит и мониторинг деятельности, связанной с конфиденциальной информацией;
– условия возврата или уничтожения информации в случае приостановления действия NDA;
– план действий на случай нарушения NDA.
NDA должно соответствовать действующему законодательству и нормативам.
Требования NDA следует пересматривать периодически и в случае изменений, вляющих на эти требования.
NDA защищает информацию организации и обозначает обязанности подписавших его лиц по защите, использованию и неиспользованию информации с учетом своих полномочий и ответственности.
10. Покупка, разработка и сопровождение ИС
Покупка, разработка и сопровождение ИС определяют следующие составляющие:
– требования безопасности
ИС;– ИБ при разработке ИС;
– тестовые данные.
10.1. Требования безопасности ИС
Цель: Обеспечить, что ИБ является неотъемлемой частью ИС в течение всего жизненного цикла. Это также включает требования к ИС, которые предоставляют сервисы в общедоступных сетях.
Требования безопасности ИС определяют следующие составляющие:
– анализ требований ИБ;
– ИБ сервисов в общедоступных сетях;
– ИБ транзакций прикладных сервисов.
Анализ требований ИБ
Меры и средства
Требования ИБ должны быть включены в требования для новых ИС или по усовершенствованию действующих ИС.
Рекомендации по реализации
Требования ИБ следует определять разными методами, такими как использование соответствующих требований политик и нормативов, моделирование угроз, анализ инцидентов или испоьзование порогов уязвимости. Результаты определения должны документироваться и анализироваться всеми заинтересованными сторонами.
Требования ИБ и меры защиты должны отражать деловую ценность информации и потенциальный ущерб бизнесу вследствие неадекватности ИБ.
Определение и управление требованиями ИБ и связанными с этим процессами следует включать на ранних стадиях в проекты ИС. Раннее рассмотрение требований ИБ, например, на стадии проектирования может привести к более эффективным и экономически выгодным решениям.
Требования ИБ должны также содержать:
– уровень доверия, предъявляемый заявленной личности пользователей, в соответствии с требованиями пользовательской аутентификации;
– процессы подготовки и полномочий доступа, как для бизнес-пользователей, так и для привилегированных или технических пользователей;
– информирование пользователей и операторов об их обязанностях и ответственностях;
– необходимости требуемой защиты активов, в частности, доступности, конфиденциальности, целостности;
– требования, вытекающие из бизнес-процессов, такие как протоколирование и мониторинг транзакций, требования неотказуемости;
– требования, предъявляемые средствами безопасности, такими как интерфейсы протоколирования и мониторинга или систем обнаружения утечки данных.
Для приложений, обеспечивающих сервисы в общедоступных сетях и транзакции, должны быть рассмотрены специальные средства защиты.
В случае приобретения готовых продуктов необходимо соблюдение формальной процедуры покупки и тестирования. В договорах с поставщиками также должны учитываться требования ИБ.
Если защитная функциональность в предлагаемой продукции не удовлетворяет специальному требованию, то необходимо пересмотреть порождаемый этим риск и связанные с этим меры защиты прежде, чем ее покупать. Следует оценить и внедрить доступное руководство по конфигурации безопасности продукции, объединяющее окончальное множество ПО/сервисов системы.