Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
В организациях должны применяться процедуры, определяющие, когда и с какими инстанциями (например правоохранительными, пожарными и надзорными органами) необходимо вступить в контакт, и каким образом следует своевременно сообщать о выявленных инцидентах ИБ, если есть подозрение о возможности нарушения закона.
Организациям, подвергающимся атаке через Интернет, может потребоваться привлечение сторонней организации (например интернет-провайдера или оператора телекоммуникаций) для принятия мер защиты от атаки.
Контакт
Меры и средства
Должны поддерживаться надлежащие контакты со специальными группами или форумами специалистов в области ИБ, а также профессиональными ассоциациями.
Рекомендации по реализации
Членство в группах или форумах следует рассматривать как средство для:
– повышения знания о «передовом опыте» и достижений ИБ на современном уровне;
– обеспечения уверенности в том, что понимание проблем ИБ является современным и полным;
– получения раннего оповещения в виде предупреждений, информационных сообщений и патчей1, касающихся атак и уязвимостей;
– возможности получения консультаций специалистов по вопросам ИБ;
– совместного использования и обмена информацией о новых технологиях, продуктах, угрозах или уязвимостях;
– организация подходящих связей для обеспечения обработки инцидентов ИБ.
Соглашения об информационном обмене должны обеспечить улучшение кооперации и координации действий в сфере безопасности. Эти соглашения должны определить требования по защите конфиденциальной информации.
1 Патч – блок изменений для оперативного исправления или нейтрализации ошибки в исполняемой программе. чаще всего поставляемый (или размещаемый на сайте разработчика) в виде небольшой программы, вставляющей исправления в объектный код соответствующих модулей приложения.
ИБ при управлении проектом
Меры и средства
ИБ должна обеспечиваться при управлении проектом, независимо от его типа.
Рекомендации по реализации
ИБ должна быть интегрирована|интегрированной, комплексной| в метод управления проектом|структуры|, чтобы гарантировать, что|который| риски|рисковый| ИБ идентифицированы|опознает| и являются частью проекта. Это относится к любому проекту, независимо от его содержания.
Метод управления проектом при использовании должен требовать, чтобы|который|:
– цели|задача| ИБ входили в проектные цели|задачу|;
– оценка риска|рисковый| ИБ проводилась|ведет| на ранней стадии проекта, чтобы идентифицировать|опознать| необходимые меры защиты|контроль, управляет|;
–
Требования|импликацию| ИБ должны обеспечиваться и пересматриваться регулярно во всех проектах. Ответственность за ИБ нужно определить и применить к ролям, определенным методами управления проектом.
2.2. Мобильные устройства и удалённая работа
Цель: обеспечить безопасность удалённой работы и использования мобильных устройств.
Этот раздел рассматривает обеспечение ИБ при использовании:
– мобильных устройств;
– удалённой работы.
Мобильные устройства
Меры и средства
Политика и меры безопасности должны обеспечить управление рисками, связанными с использованием мобильных устройств.
Рекомендации по реализации
При использовании мобильных устройств необходимо уделить внимание тому, чтобы не скомпрометировать бизнес-информацию. Политика мобильных устройств должна учитывать риски работы с мобильными устройствами в незащищенной среде.
Политика мобильных устройств должна рассматривать:
– регистрацию мобильных устройств;
– требования физической защиты;
– ограничения на установку ПО;
– требования к версиям ПО мобильных устройств и применению патчей;
– ограничения на подключение к информационным сервисам;
– управление доступом;
– криптографические средства;
– защита от вредоносного ПО;
– дистанционное выключение, удаление или блокировку;
– резервное копирование;
– использование веб-сервисов и веб-приложений.
Следует проявлять осторожность при использовании мобильных устройств в общедоступных местах, конференц-залах и других незащищенных местах. Необходимо обеспечить защиту от несанкционированного доступа или раскрытия информации, хранимой и обрабатываемой этими устройствами, например с помощью средств криптографии.
Мобильные устройства необходимо также физически защищать от краж, особенно когда их оставляют в автомобилях или других видах транспорта, гостиничных номерах, конференц-залах и местах встреч. Для случаев потери или кражи мобильных устройств должна быть установлена специальная процедура, учитывающая законодательные, страховые и другие требования безопасности организации.
Устройства, в котором переносится важная, чувствительная или критическая информация бизнеса, не следует оставлять без присмотра и, по возможности, для обеспечения безопасности устройства должны быть физически заблокированы или использованы специальные замки.