Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Система хранения и обработки должны обеспечить идентификацию записей и срока их хранения в соответствии с национальным или региональным законодательством или правилами. Эта система разрешит уничтожение записей по окончани этого срока, если они не нужны организации.
Для соответствия целям защиты записей организация должна предпринять следующее:
– разработать рекомендации в отношении сроков, порядка хранения и обработки, а также уничтожения записей;
– составить график хранения с указанием записей и периода, в течение которого их необходимо хранить;
– поддерживать
Некоторые записи следует хранить для соблюдения законодательных, нормативных или договорных требований, а также для поддержки важной бизнес-деятельности. К ним относятся записи, которые могут потребоваться как доказательство, что организация работает по законодательным и нормативным правилам для гарантии защиты от возможного гражданского или уголовного дела или подтверждения финансового статуса организации для аукционеров, сторонних организаций и аудиторов. Национальный закон или норматив может устанавливать период времени и содержание данных для хранения информации.
Конфиденциальность
Меры и средства
Конфиденциальность и защита персональных данных должна быть обеспечена, как того требует соответствующее законодательство и нормативы.
Рекомендации по реализации
Политика данных организации по конфиденциальности и защите персональных данных должна быть разработана и внедрена. Эта политика должна быть доведена до сведения всех лиц, участвующих в обработке персональных данных.
Соблюдение этой политики и всех применимых требований законодательных и нормативных актов по защите персональных данных требует наличие соответствующей структуры управления и контроля.
Как правило, это достигается путем назначения должностного лица, отвечающего за защиту персональных данных, которое должно предоставить инструкции менеджерам, пользователям и поставщикам услуг в отношении их персональной ответственности и специальных процедур, обязательных для выполнения.
Обеспечение ответственности за обработку персональных данных и осведомленности о принципах их защиты должно осуществляться в соответствии с законодательством и нормативами. Надлежащие технические и организационные меры по защите персональных данных должны быть внедрены.
Криптографические средства
Меры и средства
Криптографические средства должны использоваться согласно всех соответствующих договоров, законов и нормативов.
Рекомендации по реализации
Следующие вопросы необходимо рассматривать по соблюдению соответствующих договоров, законов и нормативов:
– ограничения на импорт или экспорт компьютерных аппаратных и программных средств, предоставляющих криптографические функции;
– ограничения на импорт или экспорт компьютерных аппаратных и программных средств, созданных с применением криптографических функций как дополнительных;
– ограничения на применение шифрования данных;
– принудительные и произвольные методы доступа органов власти к информации, зашифрованной с помощью аппаратных и программных средств для обеспечения конфиденциальности содержания.
14.2. Проверки ИБ
Цель: Убедиться, что ИБ внедрена и управляется в соответствии с организационными политиками и процедурами.
Проверки ИБ обеспечивают следующие меры:
– независимая проверка ИБ;
– соответствие политикам и стандартам;
– проверка технического соответствия.
Независимая проверка ИБ
Меры и средства
Подход организации к управлению ИБ и ее внедрению (т.е. цели и элементы управления, политики, процессы и процедуры ИБ) должен независимо проверяться через запланированные интервалы или когда происходят значительные изменения.
Рекомендации по реализации
Независимая проверка должна инициироваться руководством. Она необходима для обеспечения уверенности в сохраняющейся работоспособности, адекватности и эффективности подхода организации к управлению ИБ. Проверка должна включать в себя оценку возможностей улучшения и необходимость изменений подхода к безопасности, в том числе политику и цели управления.
Такая проверка должна осуществляться специалистами, не зависимыми от проверяемой сферы, например, службой внутреннего аудита, независимым менеджером или сторонней организацией, специализирующейся на таких проверках. Специалисты, привлекаемые к таким проверкам, должны обладать соответствующими навыками и опытом.
Результаты независимой проверки должны записываться и сообщаться руководству, инициировавшему проверку. Эти записи следует хранить.
Если в результате независимой проверки устанавлено, что подходы организации к управлению ИБ и ее внедрению неадекватны, например, задокументированные цели и требования не соблюдаются или не соответствуют направлению ИБ, изложенному политиках ИБ, руководству следует рассмотреть корректирующие действия.
Соответствие политикам и стандартам
Меры и средства
Менеджеры должны регулярно проверять в пределах своей ответственности соответствие информационных процессов и процедур политикам, стандартам и другим требованиям безопасности.
Рекомендации по реализации
Менеджеры должны определить, как проверять то, что требования ИБ, предусмотренные политиками, стандартами и другими применимыми правилами, соблюдены. Для эффективной регулярной проверки следует использовать инструменты автоматического измерения и оповещения.
Если в результате проверки было выявлено какое-либо несоответствие, менеджерам следует:
– определить причины несоответствия;
– оценить необходимость действий для достижения соответствия;
– реализовать соответствующее корректирующее действие;
– проверить эффективность предпринятого корректирующего действия и выявить любые недостатки и слабые места.
Результаты проверок и корректирующих действий, предпринятых менеджерами, следует записывать и эти записи хранить. Менеджеры должны доложить о результатах независимому аудитору при проведении такого аудита в сфере их ответственности.