ISO/ІЕС 27002 Талда А. Ю.
ОБЛАСТЬ ЗАСТОСУВАННЯ
Реалізація цілей управління, а також заходів і засобів контролю та управління справжнього національного стандарту спрямована на задоволення вимог, визначених оцінкою ризиків. Даний стандарт може служити практичним посібником з розробки стандартів безпеки організації, для ефективної практики менеджменту безпеки організацій та сприяє зміцненню довіри у відносинах між організаціями.
ВСТУП
Вибір заходів і засобів контролю та управління
Після того як були визначені вимоги до безпеки і ризики безпеки і прийняті рішення щодо обробки ризиків, слід вибрати і впровадити такі заходи і засоби контролю і управління, які забезпечать впевненість у зниженні ризиків до прийнятного рівня. Заходи і засоби контролю і управління можуть бути обрані з цього документа та інших джерел, а також можуть бути розроблені нові заходи і засоби контролю і управління, що задовольняють специфічні потреби організації. Вибір заходів і засобів контролю та управління залежить від рішень організації, заснованих на критеріях прийняття ризиків, варіантах обробки ризиків і загальний підхід до менеджменту ризиків, що застосовується в організації. При цьому необхідно також враховувати всі відповідні національні та міжнародні закони і норми.
Чому необхідна інформаційна безпека?
Інформація та підтримуючі її процеси, системи та мережі є важливими діловими активами. Визначення, досягнення, підтримка і поліпшення інформаційної безпеки можуть бути істотними аспектами для підтримки конкурентоспроможності, грошового обороту, прибутковості, дотримання законів і комерційного іміджу.
Що таке інформаційна безпека?
Інформація - це актив, який, подібно до інших активів організації, має цінність і, отже, повинен бути захищений належним чином, що важливо для бізнес-середовища, де спостерігається все зростаюча взаємозв'язок. Як результат такої дедалі більшою взаємозв'язку, інформація в даний час піддається зростаючої кількості і які охоплюють ширший діапазон загроз і вразливостей (див. Також Керівництво ОЕСР - організація економічного співробітництва та розвитку - OECD - Organization for Economic Cooperation and Development) щодо забезпечення безпеки інформаційних систем і мереж [16].
Як визначити вимоги до інформаційної безпеки?
Організація повинна визначити свої вимоги до інформаційної безпеки. Існують три основних джерела вимог безпеки.
Одне з джерел складається з оцінки ризиків організації, беручи до уваги загальну стратегію і цілі бізнесу організації. За допомогою оцінки ризиків ідентифікуються загрози активам організації, оцінюються уразливості і ймовірності виникнення загроз, а також оцінюються можливі наслідки.
Оцінка ризиків безпеки
Вимоги безпеки визначаються за допомогою систематичної оцінки ризиків. Витрати на заходи і засоби контролю і управління повинні бути порівнянні з можливими збитками бізнесу в результаті відмови від забезпечення безпеки.
Відправна точка інформаційної безпеки
Окремі заходи і засоби контролю і управління можуть розглядатися як відповідна відправна точка інформаційної безпеки. Такі заходи і засоби контролю і управління або ґрунтуються на ключових вимогах законодавства, або розглядаються як загальноприйнята практика в області інформаційної безпеки.
ТЕРМІНИ ТА ВИЗНАЧЕННЯ
Ризик (risk) – Поєднання ймовірності події та її наслідків.
[ISO / IEC Керівництво 73: 2002]
Інцидент інформаційної безпеки (information security incident) – Будь-який інцидент інформаційної безпеки, що є наслідком одного або кількох небажаних або несподіваних подій інформаційної безпеки, які мають значну ймовірність компрометації операції бізнесу або створення загрози інформаційній безпеці.
[ISO / IEC ТО 18044: 2004]
Інформаційна безпека (information security) – Захист конфіденційності, цілісності та доступності інформації; крім того, сюди можуть бути віднесені й інші властивості, наприклад автентичність, підзвітність, неспростовності і надійність.
Рекомендація (guideline) – Опис, пояснює дії і способи їх виконання, необхідні для досягнення цілей, викладених в політиці.
[ISO / IEC 13335-1: 2004]
Актив (asset) – Все, що має цінність для організації.
[ISO / IEC 13335-1: 2004]
Міра і засіб контролю і управління (control) – Засіб менеджменту ризику, що включає в себе політики, процедури, рекомендації, інструкції або організаційні структури, які можуть бути адміністративного, технічного, управлінського або правового характеру.
Засоби обробки інформації (information processing facilities) – Будь-яка система обробки інформації, послуга чи інфраструктура, або їх фактичне місце розташування.
Подія інформаційної безпеки (information security event) – Будь-яка подія інформаційної безпеки, яка дозволяє ідентифікувати вас появою певного стану системи, сервісу або мережі, що вказує на можливе порушення політики ІБ або відмова захисних заходів, або виникнення невідомої раніше ситуації, яка може мати відношення до безпеки.
[ISO / IEC ТО 18044: 2004]
Політика (policy) – Загальний намір і напрямок, офіційно вираженей керівництвом.
БЕЗПЕКА, ПОВ'ЯЗАНА З ПЕРСОНАЛОМ
Припинення або зміна зайнятості
Анулювання прав доступу
Припинення обов'язків
Повернення активів
Перед працевлаштуванням.
Умови зайнятості
Ролі та обов'язки
Попередня перевірка
Протягом зайнятості
Дисциплінарний процес
Обов'язки керівництва
Поінформованість, навчання і тренінг в області інформаційної безпеки
СТРУКТУРА ЦЬОГО СТАНДАРТУ
Розділи
Основні категорії безпеки
МЕНЕДЖМЕНТ АКТИВІВ
Відповідальність за активи
Прийнятне використання активів
Інвентаризація активів
Володіння активами
Класифікація інформації
Рекомендації по класифікації
Маркування та обробка інформації
ОЦІНКА І ОБРОБКА РИЗИКІВ
Оцінка ризиків безпеки
Оцінка ризиків повинна ідентифікувати ризики, визначити кількість і пріоритети ризиків на основі критеріїв для прийняття ризику і цілей, які є значущими для організації. Результати повинні служити орієнтиром і визначати відповідні дії керівництва і пріоритети менеджменту ризиків інформаційної безпеки, а також реалізацію заходів і засобів контролю та управління, обраних для захисту від цих ризиків. Може виникнути необхідність в неодноразовому виконанні процесу оцінки ризиків і вибору заходів та засобів контролю і управління для того, щоб охопити різні підрозділи організації або окремі інформаційні системи.
Обробка ризиків безпеки
Щодо кожного з виявлених ризиків, слідом за оцінкою ризиків, необхідно приймати рішення по його обробці. Можливі варіанти обробки ризиків включають в себе:
запобігання ризикам шляхом недопущення дій, які можуть стати причиною виникнення ризиків;
застосування відповідних заходів і засобів контролю та управління для зниження ризиків;
свідоме та об'єктивне прийняття ризиків в тому випадку, якщо вони, безсумнівно, задовольняють політиці і критеріям організації щодо прийняття ризиків;
перенесення взаємодіючих ризиків шляхом поділу їх з іншими сторонами, наприклад страховиками або постачальниками.
ФІЗИЧНА БЕЗПЕКА І ЗАХИСТ ВІД ВПЛИВІВ НАВКОЛИШНЬОГО СЕРЕДОВИЩА
Безпека обладнання
Переміщення майна
Безпека обладнання поза приміщеннями організації
Безпека кабельної мережі
Розміщення та захист обладнання
Послуги підтримки
Технічне обслуговування обладнання
Безпечна утилізація або повторне використання обладнання
Зони безпеки
Робота в зонах безпеки
Безпека будівель, виробничих приміщень і обладнання
Периметр зони безпеки
Заходи і засоби контролю і управління фізичним входом
Захист від зовнішніх загроз і загроз з боку навколишнього середовища
Зони загального доступу, приймання та відвантаження
ПОЛІТИКА БЕЗПЕКИ
Політика інформаційної безпеки
Документування політики інформаційної безпеки
Перегляд політики інформаційної безпеки
МЕНЕДЖМЕНТ КОМУНІКАЦІЙ І РОБІТ
Експлуатаційні процедури і обов'язки
Розподіл обов'язків
Документальне оформлення експлуатаційних процедур
Управління змінами
Поділ засобів розробки, тестування та експлуатації
Поводження з носіями інформації
Процедури обробки інформації
Менеджмент змінних носіїв інформації
Утилізація носіїв інформації
Безпека системної документації
Менеджмент надання послуг третьою стороною
Управління змінами послуг третьої сторони
Надання послуг
Моніторинг та аналіз послуг третьої сторони
Резервування
Резервування інформації
Планування та приймання систем
Управління продуктивністю
Приймання систем
Менеджмент безпеки мережі
Заходи і засоби контролю і управління мережами
Безпека мережевих послуг
Захист від шкідливої і мобільного програми
Заходи і засоби контролю і управління проти шкідливої
Заходи і засоби контролю і управління при використанні мобільного програми
Послуги електронної торгівлі
Загальнодоступна інформація
Електронна торгівля
Транзакції в режимі онлайн
Обмін інформацією
Інформаційні системи бізнесу
Фізичні носії інформації при транспортуванні
Політики та процедури обміну інформацією
Угоди з обміну інформацією
Електронний обмін повідомленнями
ОРГАНІЗАЦІЙНІ АСПЕКТИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Завдання, які вирішуються всередині організації
Контакт зі спеціалізованими професійними групами
Угоди про конфіденційність
Розподіл обов'язків по забезпеченню інформаційної безпеки
Зобов'язання керівництва по відношенню до інформаційної безпеки
Координація питань інформаційної безпеки
Процес отримання дозволу на використання коштів обробки інформації
Контакт з різними інстанціями
Незалежна перевірка інформаційної безпеки
Аспекти взаємодії зі сторонніми організаціями
Розгляд вимог безпеки в договорах з третьою стороною
Ідентифікація ризиків, які є наслідком роботи зі сторонніми організаціями
Розгляд питань безпеки при роботі з клієнтами