Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Рекомендации по реализации
Организационные, технические, процедурные и процессные изменения (в контексте оперативности или непрерывности) могут привести к изменениям требований непрерывности ИБ. В этих случаях непрерывность процессов, процедур и мер ИБ следует пересмотреть в соответствии с измененными требованиями.
Организация должна проверять непрерывность управления ИБ следующим:
– тренировка и тестирование функциональности процессов, процедур и мер защиты непрерывности
– тренировка и тестирование знаний и навыков работы с процессами, процедурами и мерами защиты непрерывности ИБ для гарантии их соответствия целям непрерывности ИБ;
– пересмотр актуальности и эффективности мер непрерывности ИБ при изменении ИС, процессов, процедур и мер ИБ или процессов и решений управления непрерывностью бизнеса / управления аварийным восстановлением.
Проверка мер защиты непрерывности ИБ отличается от общей проверки и тестирования ИБ и должна выполняться вне тестирования изменений. По возможности, следует интегрировать проверку мер защиты непрерывности ИБ в тесты непрерывности бизнеса и аварийного восстановления.
13.2. Избыточности средств
Цель: Обеспечить доступность средств обработки информации.
Доступность средств обработки информации
Меры и средства
Количество средств обработки информации должно быть избыточным для удовлетворения требований доступности.
Рекомендации по реализации
Организации следует определить бизнес-требования для ИС. Если существующая системная архитектура не может гарантировать доступность, следует применить избыточные компоненты и архитектуры.
По возможности, избыточные ИС следует тестировать для гарантии того, что каждый компонент отказоустойчив и работает как намечено.
Внедрение избыточностей может снизить риски для целостности и конфиденциальности информации и ИС, которые следует рассмотреть при создании ИС.
14. Соответствие требованиям
Соответствие требованиям обеспечивают следующие меры:
– выполнение требований;
– пересмотр (аудит) ИБ.
14.1. Выполнение требований
Цель: Избежать нарушения правовых, нормативных или договорных обязательств, связанных с ИБ, и любых требований безопасности.
Выполнение требований определяют следующие составляющие:
– определение требований;
– интеллектуальная собственность;
– защита записей;
– конфиденциальность;
– криптографические средства.
Определение требований
Меры и средства
Все соответствующие требования должны быть четко определены, задокументированы и поддерживаться в актуальном состоянии для каждой ИС и организации.
Рекомендации
Специальные меры защиты и индивидуальные обязанности по выполнению законодательных, нормативных и договорных требований следует также определить и задокументировать.
Менеджеры должны идентифицировать все законодательство, применяемое в организации, для определения соответствия бизнеса его требованиям. Если организация осуществляет бизнес в других странах, менеджеры должны рассмотреть его соответствие требованиям этих стран.
Интеллектуальная собственность
Меры и средства
Должны быть внедрены соответствующие процедуры для обеспечения соответствия требованиям, связанным с правами интеллектуальной собственности и использованием лицензионного ПО.
Рекомендация по реализации
Следующие рекомендации следует учитывать в отношении защиты любого материала, который может содержать интеллектуальную собственность:
– публикация политики соблюдения прав интеллектуальной собственности, определяющей законное использование ПО и информационных продуктов;
– покупка ПО у заслуживающих доверия поставщиков для гарантии того, что авторское право не нарушается;
– поддержка осведомленности сотрудников о политиках по защите прав интеллектуальной собственности и уведомление о намерении применить дисциплинарные санкции в отношении нарушителей;
– поддержка соответствующих реестров активов и выявление всех активов, к которым применимы требования по защите прав интеллектуальной собственности;
– хранение подтверждений и доказательств прав собственности на лицензии, мастер-диски, руководства по эксплуатации и т.п.;
– внедрение контроля, что максимальное число разрешенных пользователей не превышено;
– проведение проверок установки только разрешенного ПО и лицензированных продуктов;
– внедрение политики поддержки соответствующих лицензионных условий;
– внедрение политики утилизации или передачи ПО сторонним организациям;
– соблюдение сроков и условий применения ПО и информации, полученной из общедоступных сетей;
– запрет дублирования, конвертации в другой формат или извлечения из коммерческих записей (фильм, аудио), если другое не разрешено законом об авторском праве;
– запрет копирования полностью или частично книг, статей, отчетов и других документов, если другое не разрешено законом об авторском праве.
Права интеллектуальной собственности включают авторство ПО и документа, права оформления, торговые знаки, патенты и лицензии.
Фирменное ПО обычно поставляется в соответствии с лицензионным соглашением, которое определяет лицензионные сроки и условия, например, ограничение использования ПО на других машинах или ограничение копирования кроме резервного. Важность и осознание прав интеллектуальной собственности должно быть доведено до сотрудников, разрабатывающих в организации ПО.