Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Рекомендации по реализации
Независимая проверка должна инициироваться руководством. Она необходима для обеспечения уверенности в сохраняющейся работоспособности, адекватности и эффективности подхода организации к управлению ИБ. Проверка должна включать в себя оценку возможностей улучшения и необходимость изменений подхода к безопасности, в том числе политику и цели управления.
Такая проверка должна осуществляться специалистами, не зависимыми от проверяемой сферы, например, службой внутреннего аудита, независимым менеджером
Результаты независимой проверки должны записываться и сообщаться руководству, инициировавшему проверку. Эти записи следует хранить.
Если в результате независимой проверки устанавлено, что подходы организации к управлению ИБ и ее внедрению неадекватны, например, задокументированные цели и требования не соблюдаются или не соответствуют направлению ИБ, изложенному политиках ИБ, руководству следует рассмотреть корректирующие действия.
Соответствие политикам и стандартам
Меры и средства
Менеджеры должны регулярно проверять в пределах своей ответственности соответствие информационных процессов и процедур политикам, стандартам и другим требованиям безопасности.
Рекомендации по реализации
Менеджеры должны определить, как проверять то, что требования ИБ, предусмотренные политиками, стандартами и другими применимыми правилами, соблюдены. Для эффективной регулярной проверки следует использовать инструменты автоматического измерения и оповещения.
Если в результате проверки было выявлено какое-либо несоответствие, менеджерам следует:
– определить причины несоответствия;
– оценить необходимость действий для достижения соответствия;
– реализовать соответствующее корректирующее действие;
– проверить эффективность предпринятого корректирующего действия и выявить любые недостатки и слабые места.
Результаты проверок и корректирующих действий, предпринятых менеджерами, следует записывать и эти записи хранить. Менеджеры должны доложить о результатах независимому аудитору при проведении такого аудита в сфере их ответственности.
Проверка технического соответствия
Меры и средства
ИС должны регулярно проверяться на соответствие политикам и стандартам ИБ организации.
Рекомендации по реализации
Проверка соответствия ИС техническим требованиям должна осуществляться, как правило, с помощью автоматических инструментальных средств, которые генерируют технические отчеты для последующего анализа техническим специалистом. В альтернативном случае, ручные отчеты (при необходимости, поддерживаемые соответствущими программными инструментами) оформляются опытным системным инженером.
Если проводится тестирование на проникновение или оценка уязвимостей, следует соблюдать
Любая проверка технического соответствия должна проводиться компетентным, уполномоченным персоналом или под руководством такого персонала.
Проверки технического соответствия должны включать испытания ОС для гарантии того, что аппаратные и программные средства установлены правильно. Этот тип проверки требует специальной технической экспертизы.
Проверки соответствия также содержат, например, тестирование на проникновение и оценку уязвимостей, которые могут провести независимые эксперты, специально привлеченные для этой цели по контракту. Это может быть использовано для выявления уязвимостей в ИС и проверки эффективности мер и средств защиты в предотвращении несанкционированного доступа к этим уязвимостям.
Тестирование на проникновение и оценка уязвимостей обеспечивает фиксацию специфического состояния ИС в определенный момент. Эта фиксация ограничена теми частями ИС, которые тестируются в момент попытки проникновения. Тестирование на проникновение и оценка уязвимостей не заменяет оценки риска.
4. Разработка СУИБ (стандарт ISO/IЕС 27003:2010)
В 2010 году Международная организация по стандартизации опубликовала новый стандарт ISO/IЕС 27003 «ИТ. Методы защиты. СУИБ. Руководство по реализации СУИБ».
Он посвящён вопросам успешной разработки и внедрения СУИБ в соответствии с требованиями ISO/IEC 27001. Стандарт ISO/IЕС 27003 описывает процесс формирования требований и проектирования СУИБ от начала проекта и до подготовки планов внедрения.
Указан процесс получения согласия руководства на внедрение СУИБ, дается детализация проекта внедрения СУИБ, даются рекомендации по планированию проекта внедрения СУИБ, результатом которого является окончательный план внедрения СУИБ.
Планирование внедрения СУИБ состоит из 5 этапов:
1) получение одобрения руководства для проектирования СУИБ (раздел 5);
2) определение области действия и политики СУИБ (раздел 6);
3) проведение анализа организации (раздел 7);
4) проведение анализа и планирование обработки рисков (раздел 8);
5) разработка СУИБ (раздел 9).
Каждый раздел содержит следующую информацию:
– цели (что необходимо достичь);
– действия для их достижения.
Описания действий структурированы в виде исходных данных, рекомендаций и выходных данных.
Исходные данные – описывают отправную точку, например, наличие документированных решений или выходных данных других действий, описываемых в стандарте;
Рекомендации – содержат подробную информацию, позволяющую выполнить данное действие;
Выходные данные – описывают результат (ы) или документ (ы), получаемые после выполнения действия.