Обмен информацией по вопросам безопасности должен быть ограничен для обеспечения защиты конфиденциальной информации компании от несанкционированного доступа.
1.3.8 Независимая ревизия состояния информационной безопасности
Документ, определяющий политику информационной безопасности, устанавливает ответственность должностных лиц и направления обеспечения информационной безопасности. Существующая практика обеспечения информационной безопасности должна подвергаться независимой ревизии для получения уверенности в том, что организационные меры действительно соответствуют политике безопасности, и ее проведение является эффективным.
Примечание. Возможным исполнителем такой проверки может быть внутренний аудитор, независимый руководитель высшего звена либо третья сторона, специализирующаяся в осуществлении такого рода исследованиях и экспертизе. Кандидаты на проведение такой работы должны иметь соответствующие навыки и опыт.
1.4 Ответственность субъектов информационной безопасности
Все пользователи КИС несут ответственность за обеспечение их безопасности. Однако форма и объем ответственности зависят от роли конкретного сотрудника и степени его причастности к КИС. Целесообразно рассматривать три широкие категории штатного персонала, а также их функции и ответственность в отношении обеспечения безопасности КИС. Общая (т.е. минимальная) ответственность этих категорий штатного персонала оговорена ниже:
Рядовые сотрудники - все, кто занимаются использованием, эксплуатацией, разработкой или внедрением компьютерных систем. Они ответственны за:
• знание своих обязанностей по обеспечению безопасности КИС и принятие соответствующих действий;
• проявление активной заинтересованности в поддержании безопасности КИС - выявление новыхвидов потенциальных угроз и информирование о них руководителей подразделений;
• знание своих правовых обязанностей и принятие соответствующих действий;
• соблюдение требований, обязательных в масштабе всей организации стандартов;
• соблюдение требований локальных стандартов и инструкций.
Руководители подразделений - сотрудники, уполномоченные администрацией осуществлять ежедневное руководство работой и/или развитием производственных функций и поддерживающих их компьютерных систем. Они ответственны за:
• оценку потенциальных угроз для тех направлений, которыми они руководят;
• разработку соответствующих локальных стандартов и инструкций по обеспечению безопасности КИС и согласование их с администрацией;
• обеспечение выполнения находящимся под их руководством персоналом соответствующих стандартов и инструкций;
• обеспечение надлежащего обучения для администраторов сетей;
• стремление обеспечить достаточное финансирование для нужд безопасности КИС;
• обеспечение регулярного обновления требований безопасности, информационного программного обеспечения и планов действий в экстренных случаях.
Администрация - руководители наиболее высокого ранга. Они ответственны за:
• общую безопасность находящихся в их ведении систем (как владельцы этих систем), включая принятие решений по выдаче разрешений на подключение к своей сети других сетей;
• обеспечение достаточного финансирования для нужд безопасности КИС;
• назначение АДМИНИСТРАТОРОВ БЕЗОПАСНОСТИ КИС для каждого производственного подразделения;
• определение круга основных обязанностей для координаторов по безопасности КИС и обеспечение их обучения в достаточном объеме.
Кроме рассмотренных категорий целесообразно выделить еще две категории:
Администраторы безопасности КИС - сотрудники, назначенные администрацией для обеспечения безопасности определенных ресурсов и распространения знаний по безопасности КИС в отдельных подразделениях. Они ответственны за:
• реализацию правил обеспечения безопасности информационных ресурсов подразделения или функционального комплекса;
• обеспечение администрирования установленных для них средств безопасности;
• обеспечение полной осведомленности среди сотрудников подразделений о важности поддержания безопасности КИС;
• обеспечение информирования всех сотрудников своих подразделений о существовании руководств по безопасности;
• помощь руководителям подразделений в выявлении потенциальных рисков и составлении инструкций для своих подразделений.
Администраторы сетей / системные администраторы - сотрудники, назначенные руководителями подразделений для сопровождения и эксплуатации локальных сетей (LAN) или локальных систем. Они несут определенную ответственность за вверенные им системы, которая заключается в:
• администрировании и идентификации пользователей;
• снятие резервных копий с различных систем и их данных.
1.5 Классификация ресурсов и контроль за ними
Обеспечение соответствующей защиты ресурсов организации невозможно без их идентификации. Все основные информационные ресурсы должны быть четко определены, взяты на соответствующий учет с назначением ответственного лица.
1.5.1 Отчетность по ресурсам
Отчетность за использование ресурсов помогает обеспечить адекватность мер безопасности. По основным ресурсам должны определяться их владельцы с возложением на них ответственности за поддержание соответствующих мер безопасности. Реализация этих мер может быть делегирована другим лицам, но ответственность по отчетности остается на назначенных владельцах ресурсов.
1.5.2 Инвентаризация ресурсов
Инвентаризация ресурсов помогает обеспечить эффективность мер безопасности и может способствовать достижению других целей, например, обеспечению здоровья и личной безопасности, страхованию и управлению активами. Инвентаризация должна проводиться в отношении основных ресурсов каждой информационной системы. Каждый компонент ресурсов должен быть четко определен в соответствии с классификацией по его принадлежности и применяемым к нему мерам безопасности. Примерами ресурсов, ассоциирующихся с информационными системами, могут быть:
• информационные ресурсы: базы и файлы данных, системная документация, руководства для пользователей, учебные материалы, операционные процедуры и процедуры поддержки, схемы обеспечения непрерывного функционирования, схемы нейтрализации неисправности;
• программные ресурсы: прикладное программное обеспечение, системное программное обеспечение, средства разработки приложений и утилиты;
• физические ресурсы: компьютеры и коммуникационное оборудование, магнитные носители информации (ленты и диски), другое техническое оборудование (источники питания, кондиционеры),мебель, помещения;
• услуги: вычислительные и коммуникационные услуги, другие технические (отопление, освещение,энергоснабжение, кондиционирование воздуха).
1.5.3 Классификация информации
Классификация информации должна использоваться для определения необходимости принятия мер безопасности, их объема и приоритетности.
Информация имеет различную степень уязвимости и важности. Отдельные компоненты информации могут нуждаться в дополнительной защите или в особом обращении. Для определения соответствующих уровней обеспечения безопасности и информирования пользователей о необходимости особого обращения с информацией должна использоваться система классификации мер безопасности.
1.5.4 Принципы классификации
При классификации мер безопасности и определении соответствующих мероприятий по защите информации следует принимать во внимание необходимость предоставления информации, а также последствия несанкционированного доступа или разрушения информации. В частности, следует обратить внимание на следующие факторы:
• конфиденциальность: производственная необходимость предоставления или ограничения доступа к информации с соблюдением конфиденциальности и контроля, требуемых в отношении ограниченного доступа к информации;
• целостность: производственная необходимость проверки изменений информации и контроль,необходимый для защиты правильности и полноты информации;
• доступность: производственная необходимость иметь доступ к информации и соблюдение принятых видов контроля для ее получения.
Ответственность за определение классификационной принадлежности единицы информации, например, документа, записи данных, файла данных или дискеты, а также за периодичный пересмотр классификации должна лежать на лице, подготовившем данные, или на владельце данных.
Следует уделить особое внимание интерпретации классификационных меток на документах, поступающих от других организаций, которые могут быть различными в отношении одной и той же информации либо похожими.
1.5.5 Маркирование информации
Информация ограниченного доступа и выходные данные систем, обрабатывающих подобную информацию, должны быть снабжены соответствующими метками. Однако зачастую информация перестает быть уязвимой по истечении некоторого периода времени, например, когда она становится достоянием широкой публики. Этот факт следует принимать во внимание, поскольку обеспечение излишней секретности приводит к неоправданным дополнительным расходам.
Выходные данные, поступающие от информационных систем, содержащих информацию ограниченного доступа, должны иметь соответствующую метку. Маркировка должна отражать степень секретности наиболее уязвимых сведений в выходных данных. Это относится к распечатанным отчетам, экранным дисплеям, магнитным носителям (лентам, дискетам, кассетам), электронным сообщениям и электронной передаче файлов.