Лр.6 МІЖНАРОДНІ СТАНДАРТИ ІЗ ЗАХИСТУ ІНФОРМАЦІЇ
ISO/ІЕС 27002 Ч. 2

7 МЕНЕДЖМЕНТ АКТИВІВ

7.1 Відповідальність за активи - Необхідно визначати власників всіх активів, і слід визначати відповідального за підтримку відповідних заходів і засобів контролю та управління.

7.1.1 Інвентаризація активів - Всі активи повинні бути чітко визначені, повинна складатися і підтримуватися опис всіх важливих активів.

a. інформацію: бази даних і файли даних, договори і угоди, системна документація, дослідницька інформація, керівництва користувача, навчальні матеріали, процедури експлуатації або підтримки, плани безперервності бізнесу, заходи по переходу на аварійний режим, контрольні записи і архівована інформація;

b. програмні активи: прикладні програмні засоби, системні програмні засоби, засоби розробки і утиліти;

c. фізичні активи: комп'ютерне обладнання, засоби зв'язку, знімні носії інформації та інше обладнання;

d. послуги: обчислювальні послуги і послуги зв'язку, основні підтримують послуги, наприклад, опалення, освітлення, електроенергія і кондиціонування повітря;

e. персонал, його кваліфікація, навички та досвід;

f. нематеріальні цінності, наприклад репутація та імідж організації.

7.1.2 Володіння активами - Вся інформація і активи, пов'язані із засобами обробки інформації повинні знаходитися у власності (Терміном «власник» визначається фізична або юридична особа, яка наділена адміністративною відповідальністю за керівництво виготовленням, розробкою, зберіганням, використанням та безпекою активів.

a. забезпечення впевненості в тому, що інформація і активи, пов'язані із засобами обробки інформації, класифіковані відповідним чином;

b. визначення та періодичний перегляд обмежень і класифікацій доступу, беручи до уваги застосовні політики управління доступом.

Володіння може поширюватися на:

a. процес бізнесу;

b. певний набір діяльностей;

c. прикладні програми;

d. певне безліч даних.

7.1.3 Прийнятне використання активів - Слід визначати, документально оформляти і реалізовувати правила прийнятного використання інформації та активів, пов'язаних із засобами обробки інформації.

a. правила використання електронної пошти та Інтернету

b. рекомендації щодо використання мобільних пристроїв, особливо щодо використання їх за межами приміщень організації

7.2 Класифікація інформації - Забезпечити впевненість в захищеності інформації на належному рівні.

7.2.1 Рекомендації по класифікації - Інформацію слід класифікувати, виходячи з її цінності, законодавчих вимог, чутливості та критичності для організації.

7.2.2 Маркування та обробка інформації
Міра - Відповідний набір процедур маркування та обробки інформації слід розробляти і реалізовувати відповідно до системи класифікації, прийнятої організацією.

8 БЕЗПЕКА, ПОВ'ЯЗАНА З ПЕРСОНАЛОМ

8.1 Перед працевлаштуванням. - Під словом «працевлаштування» тут розуміється охоплення всіх наступних, (які відрізняються одна від одної) ситуацій: працевлаштування людей (тимчасове або постійне), вказівку посадових функцій (ролей), зміна посадових функцій, визначення терміну дії договорів і припинення будь-якої з цих домовленостей.

8.1.1 Ролі та обов'язки - Ролі та обов'язки в галузі безпеки співробітників, підрядників і представників третьої сторони необхідно визначати і оформляти документально відповідно до політики інформаційної безпеки організації.

Ролі та обов'язки в галузі безпеки повинні включати в себе вимоги щодо:

a. реалізації і дії відповідно до політиками інформаційної безпеки організації (Див. 5.1);

b. захисту активів від несанкціонованого доступу, розголошення відомостей, модифікації, руйнувань або втручання;

c. виконання певних процесів або діяльності, пов'язаних з безпекою;

d. забезпечення впевненості в тому, що на індивідуума покладається відповідальність за їхні дії;

e. інформування про події або потенційних події, пов'язані з безпекою, або інші ризики безпеки для організації.

8.1.2 Попередня перевірка - Ретельна перевірка всіх кандидатів на постійну роботу, підрядників і представників третьої боку повинна проводитися згідно з відповідними законами, інструкціями і правилами етики, пропорційно вимогам бізнесу, класифікації інформації, до якої буде здійснюватися доступ, і передбачуваним ризикам.

При перевірці слід враховувати конфіденційність, захист персональних даних і (або) трудове законодавство. Така перевірка повинна включати наступні елементи:

a. наявність позитивних рекомендацій, зокрема, щодо ділових та особистих якостей претендента;

b. перевірку (на предмет повноти і точності) біографії претендента;

c. підтвердження заявленої освіти і професійної кваліфікації;

d. незалежну перевірку достовірності документів, що засвідчують особу (паспорта або його замінює);

e. більш детальну перевірку, наприклад кредитоспроможності або на наявність судимості.

8.1.3 Умови зайнятост - В рамках своїх договірних зобов'язань, співробітники, підрядники та представники третьої сторони повинні узгодити і підписати умови свого
трудового договору, що встановлює їх відповідальність і відповідальність організації щодо інформаційної безпеки.і

Умови зайнятості повинні відображати політику безпеки організації і крім того роз'яснювати і констатувати:

a. що всі співробітники, підрядники та представники третьої сторони, які мають доступ до чутливої інформації, повинні підписувати угоду про конфіденційність або нерозголошення перш, ніж їм буде надано доступ до засобів обробки інформації;

b. правову відповідальність і права співробітників, підрядників і будь-яких інших клієнтів, наприклад, в частині законів про авторське право або законодавства про захист персональних даних (див. 15.1.1 та 15.1.2);

c. обов'язки щодо класифікації інформації та менеджменту активів організації, пов'язаних з інформаційними системами та послугами, виконуються співробітником, підрядником або представником третьої сторони (див. 7.2.1 та 10.7.3);

d. відповідальність співробітника, підрядника або представника третьої сторони за обробку інформації, одержуваної від інших фірм і сторонніх організацій;

e. відповідальність організації за обробку персональної інформації, включаючи персональну інформацію, отриману в результаті або в процесі роботи в організації (див. 15.1.4);

f. відповідальність, що поширюється також і на роботу поза приміщеннями організації і в неробочий час, наприклад в разі виконання роботи на дому (див. 9.2.5 та 11.7.1);

g. дії, які повинні бути зроблені в разі, якщо співробітник, підрядник або представник третьої сторони ігнорує вимоги безпеки організації (див. 8.2.3).

8.2 Протягом зайнятості - Забезпечити впевненість в тому, що співробітники, підрядники та представники третьої сторони обізнані про загрози та проблеми, пов'язані з інформаційною безпекою, про міру їх відповідальності та зобов'язання, а також оснащені всім необхідним для підтримки політики безпеки організації, що знижує ризик людського фактора.

8.2.1 Обов'язки керівництва - Керівництво організації повинно вимагати, щоб співробітники, підрядники та представники третьої боку забезпечували безпеку відповідно до встановлених політиками і процедурами організації.

Керівництво зобов'язане забезпечити впевненість у тому, що співробітники, підрядники та представники третьої сторони:

a. були проінформовані про свої ролі і обов'язки в області інформаційної безпеки перш, ніж їм було надано доступ до чутливої інформації або інформаційним системам;

b. забезпечені рекомендаціями щодо формулювання їх передбачуваних ролей щодо безпеки в рамках організації;

c. зацікавлені слідувати політикам безпеки організації;

d. досягають рівня обізнаності щодо безпеки, відповідного їх ролям і обов'язків в організації (див. 8.2.2);

e. слідують умовам зайнятості, які включають політику інформаційної безпеки організації і відповідні методи роботи;

f. продовжують підтримувати відповідні навички та кваліфікацію.

8.2.2 Поінформованість, навчання і тренінг в області інформаційної безпеки - Всі співробітники організації і, де необхідно, підрядники та представники третьої сторони, повинні пройти відповідне навчання і отримувати на регулярній основі оновлені варіанти політик і процедур, прийнятих в організації та необхідних для виконання їх робочих функцій.

8.2.3 Дисциплінарний процес - Повинен існувати формальний дисциплінарний процес, застосовуваний щодо співробітників, які вчинили порушення безпеки.

8.3 Припинення або зміна зайнятості - Забезпечити впевненість в тому, що співробітники, підрядники та представники третьої сторони залишають організацію чи змінюють зайнятість належним чином.

8.3.1 Припинення обов'язків - Обов'язки щодо припинення зайнятості або зміни зайнятості повинні бути чітко визначені і встановлені.

8.3.2 Повернення активів - Всі співробітники, підрядники та представники третьої сторони зобов'язані повернути організації всі активи, що знаходяться в їх користуванні, при припиненні їх зайнятості, договору або угоди.

8.3.3 Анулювання прав доступу - Права доступу всіх службовців, підрядників і представників третьої сторони до інформації та засобів обробки інформації повинні бути анульовані
у разі припинення зайнятості, договору або угоди, або скориговані при зміні зайнятості.

9 ФІЗИЧНА БЕЗПЕКА І ЗАХИСТ ВІД ВПЛИВІВ НАВКОЛИШНЬОГО СЕРЕДОВИЩА

9.1 Зони безпеки - Запобігти неавторизований фізичний доступ, пошкодження і вплив щодо приміщень та інформації організації.

9.1.1 Периметр зони безпеки - Для захисту зон, що містять інформацію і засоби обробки інформації, слід використовувати периметри безпеки (бар'єри, наприклад стіни, керовані картами доступу ворота або турнікети, керовані особою).

Відносно фізичних периметрів безпеки рекомендується розглядати і реалізовувати, при необхідності, такі рекомендації:

a. периметри безпеки повинні бути чітко визначені, а розміщення і надійність кожного з периметрів повинні залежати від вимог безпеки активів, які перебувають у межах периметра, і від результатів оцінки ризику;

b. периметри будівлі або приміщень, де розташовані засоби обробки інформації, повинні бути фізично міцними (тобто не повинно бути ніяких проміжків в периметрі або місць, через які можна було б легко проникнути); зовнішні стіни приміщень повинні мати тверду конструкцію, а все зовнішні двері повинні бути

c. повинна бути виділена і укомплектована персоналом зона реєстрації відвідувачів, або повинні існувати інші заходи для контролю фізичного доступу в приміщення або будівлі; доступ в приміщення та будівлі повинен надаватися тільки авторизованому персоналу;

d. коли це доцільно, повинні бути побудовані фізичні бар`єри, що запобігають неавторизований фізичний доступ і забруднення навколишнього середовища;

e. всі аварійні виходи на випадок пожежі в периметрі безпеки повинні бути обладнані аварійною сигналізацією, повинні піддаватися моніторингу та тестування разом зі стінами, щоб створити необхідний рівень стійкості відповідно до застосовних регіональними, національними і міжнародними стандартами; вони повинні експлуатуватися відповідно до місцевої системою протипожежних правил безвідмовним чином;

f. слід встановлювати необхідні системи виявлення вторгнення, що відповідають національним, регіональним або міжнародним стандартам, і регулярно тестувати їх на предмет охоплення всіх зовнішніх дверей і доступні вікон, вільні приміщення необхідно ставити на сигналізацію; аналогічно слід обладнати і інші зони, наприклад серверну кімнату або приміщення, де розташовані засоби комунікацій;

g. необхідно фізично ізолювати засоби обробки інформації, контрольовані організацією, від засобів, контрольованих сторонніми організаціями.

9.1.2 Заходи і засоби контролю і управління фізичним входом - Зони безпеки необхідно захищати за допомогою відповідних заходів і засобів контролю та управління входу, щоб забезпечити впевненість у тому, що доступ дозволений тільки авторизованому персоналу.

Слід брати до уваги наступні рекомендації:

a. дату і час входу і виходу відвідувачів слід реєструвати, і всіх відвідувачів необхідно супроводжувати, чи вони повинні володіти відповідним допуском; доступ слід надавати тільки для виконання певних авторизованих завдань, а також необхідно інструктувати відвідувачів на предмет вимог безпеки, і дій в разі аварійних ситуацій;

b. доступ до зон, де обробляється або зберігається чутлива інформація, повинен контролюватися і надаватися тільки авторизованим особам; слід використовувати засоби аутентифікації, наприклад контрольну карту доступу з персональним ідентифікаційним номером (ПІН) для авторизації і

c. необхідно вимагати, щоб всі співробітники, підрядники та представники третьої сторони носили ту чи іншу форму видимого ідентифікатора і негайно повідомляли співробітників служби безпеки про помічені без супроводу відвідувачів та осіб, що не носять видимого ідентифікатора;

d. доступ в зони безпеки або до засобів обробки чутливої інформації персоналу допоміжних служб третьої сторони слід надавати тільки при необхідності; такий доступ повинен бути санкціонований і супроводжуватися відповідним контролем;

e. права доступу в зони безпеки слід регулярно аналізувати, переглядати, і анулювати при необхідності (див. 8.3.3).

9.1.3 Безпека будівель, виробничих приміщень і обладнання - Необхідно розробити і реалізувати фізичний захист будівель, виробничих приміщень і обладнання.

Відносно захисту будівель, виробничих приміщень і обладнання необхідно враховувати наступні рекомендації:

a. слід брати до уваги відповідні правила і стандарти, що стосуються охорони здоров'я і безпеки праці;

b. основне обладнання повинно бути розташоване в місцях, де обмежений доступ стороннім особам;

c. будівлі, де це може бути застосовано, повинні давати мінімальну інформацію щодо їх призначення, не повинні мати явних ознак зовні або всередині будівлі, що дозволяють встановити наявність діяльності по обробці інформації;

d. довідники та внутрішні телефонні книги, які вказують на місце розташування засобів обробки чутливої інформації, не повинні бути легкодоступними для сторонніх осіб.

9.1.4 Захист від зовнішніх загроз і загроз з боку навколишнього середовища - Необхідно розробити і реалізувати фізичний захист від нанесення шкоди, який може з'явитися результатом пожежі, повені, землетруси, вибуху, громадських заворушень та інших форм природних або антропогенних лих.

Для запобігання шкоди від пожежі, повені, землетруси, вибуху, громадських заворушень та інших форм природних або антропогенних лих, слід враховувати наступні рекомендації:

a. забезпечити надійне зберігання небезпечних або горючих матеріалів на достатній відстані від зони, що охороняється; великі запаси, наприклад паперу для друкуючих пристроїв, не слід зберігати в межах зони безпеки;

b. резервне обладнання та носії даних слід розміщувати на безпечній відстані, щоб запобігти пошкодженню від наслідків стихійного лиха в основній будівлі;

c. слід забезпечити і відповідним чином розмістити необхідні засоби пожежогасіння.

9.1.5 Робота в зонах безпеки - Необхідно розробити і реалізувати фізичний захист і рекомендації по роботі в зонах безпеки.

Необхідно розглянути наступні рекомендації:

a. про існування зони безпеки і проводяться там роботах персонал повинен бути обізнаний з «принципом необхідного знання»;

b. з міркувань безпеки і запобігання можливості зловмисних дій в зонах безпеки необхідно уникати виконання роботи без належного контролю з боку уповноваженого персоналу;

c. порожні зони безпеки повинні бути фізично замкнені і їх стан необхідно періодично перевіряти;

d. використання фото-, відео-, аудіо- та іншого обладнання для запису, наприклад камер, наявних в мобільних пристроях, має бути заборонено, якщо тільки на це не отримано спеціальний дозвіл.

9.1.6 Зони загального доступу, приймання та відвантаження - Місця доступу, наприклад зони приймання та відвантаження, і інші місця, де неавторизовані особи можуть проникнути в приміщення, повинні перебувати під контролем і, по можливості, повинні бути ізольовані від засобів обробки інформації, щоб уникнути несанкціонованого доступу.

Необхідно розглянути наступні рекомендації:

a. доступ до зони приймання та відвантаження з зовнішньої сторони будівлі повинен бути дозволений тільки певному і авторизованому персоналу;

b. зона приймання та відвантаження повинна бути організована так, щоб надходять матеріальні цінності могли бути розвантажені без надання персоналу постачальника доступу до інших частин будівлі;

c. повинна бути забезпечена безпека зовнішніх дверей зони приймання та відвантаження в той час, коли внутрішні двері відкриті;

d. надходять матеріальні цінності повинні бути перевірені на предмет потенційних загроз (Див. Перелік d) 9.2.1) перш, ніж вони будуть переміщені із зони приймання та відвантаження до місця використання;

e. при надходженні матеріальні цінності повинні реєструватися відповідно до процедур менеджменту активів (див. 7.1.1);

f. там, де можливо, що ввозяться і вивозяться вантажі повинні бути фізично розділені.

9.2 Безпека обладнання - Запобігти втраті, пошкодження, крадіжку або компрометацію активів і переривання діяльності організації.

9.2.1 Розміщення та захист обладнання - Обладнання повинно бути розміщено і захищено так, щоб зменшити ризики від загроз навколишнього середовища і можливості несанкціонованого доступу.

Необхідно розглянути наступні рекомендації щодо захисту обладнання:

a. обладнання слід розміщувати таким чином, щоб звести до мінімуму зайвий доступ в робочі зони;

b. засоби обробки інформації, що обробляють чутливі дані, слід розміщувати і обмежувати кут огляду таким чином, щоб зменшити ризик перегляду інформації неавторизованими особами під час їх використання, а кошти зберігання інформації слід захищати від несанкціонованого доступу;

c. окремі елементи обладнання, що вимагають спеціального захисту, слід ізолювати для зниження загального рівня необхідного захисту;

d. заходи і засоби контролю і управління повинні бути впроваджені таким чином, щоб звести до мінімуму ризик потенційних фізичних загроз (крадіжка, пожежа, вибухи, задимлення, затоплення або несправність водопостачання, пил, вібрація, хімічний вплив, перешкоди в електропостачанні, перешкоди в роботі ліній зв'язку, електромагнітне випромінювання і вандалізм);

e. необхідно встановлювати правила щодо прийому їжі, пиття і куріння поблизу коштів обробки інформації;

f. слід проводити моніторинг стану навколишнього середовища по виявленню умов, наприклад температури і вологості, які могли б мати несприятливий вплив на функціонування засобів обробки інформації;

g. на всіх будівлях повинен бути встановлений захист від блискавки, а фільтри захисту від блискавки повинні бути встановлені на вході всіх ліній електропередачі та ліній комунікації;

h. щодо обладнання, розташованого в промисловому середовищі, слід використовувати спеціальні засоби захисту, наприклад захисні плівки для клавіатури;

i. обладнання, обробляє чутливу інформацію, має бути захищене, щоб звести до мінімуму ризик витоку інформації внаслідок випромінювання.

9.2.2 Послуги підтримки - Устаткування необхідно захищати від перебоїв подачі електроенергії та інших збоїв, пов'язаних з перебоями в забезпеченні підтримують послуг.

9.2.3 Безпека кабельної мережі - Силові та телекомунікаційні кабельні мережі, по яких передаються дані або підтримують інформаційні послуги, необхідно захищати від перехоплення інформації або руйнування.

Відносно безпеки кабельної мережі слід розглянути наступні рекомендації:

a. силові та телекомунікаційні лінії, пов'язані із засобом обробки інформації, повинні, по можливості, розташовуватися під землею або мати адекватну альтернативну захист;

b. мережевий кабель повинен бути захищений від неавторизованих підключень або пошкодження, наприклад за допомогою використання спеціального кожуха або вибору маршрутів прокладки кабелю в обхід загальнодоступних ділянок;

c. силові кабелі повинні бути відокремлені від комунікаційних, щоб запобігати перешкоди;

d. слід використовувати кабель та обладнання з чіткою маркіровкою, щоб звести до мінімуму експлуатаційні помилки, наприклад випадкового внесення виправлень при ремонті мережевих кабелів;

e. для зменшення ймовірності помилок слід використовувати документально оформлений перелік виправлень;

f. додаткові заходи і засоби контролю і управління для чутливих або критичних систем включають:

1) використання армованого кабельного каналу, а також закритих приміщень або шаф в контрольних і кінцевих точках;

2) використання дублюючих маршрутів прокладки кабелю і (або) альтернативних способів передачі, що забезпечують відповідну безпеку;

3) використання оптико-волоконних ліній зв'язку;

4) використання електромагнітного екранування для захисту кабелів;

5) проведення технічних оглядів і фізичних перевірок підключення неавторизованих пристроїв до кабельної мережі;

6) керований доступ до комутаційних панелей і електрощитових.

9.2.4 Технічне обслуговування обладнання - Має проводитися належне технічне обслуговування обладнання для забезпечення його безперервної доступності і цілісності.

Відносно технічного обслуговування обладнання слід розглянути наступні рекомендації:

a. обладнання повинно обслуговуватися відповідно до рекомендованими постачальником періодичністю і специфікаціями;

b. технічне обслуговування та ремонт обладнання повинні проводитися тільки авторизованим персоналом;

c. слід зберігати записи про всіх передбачуваних або фактичних несправності і всіх видах профілактичного обслуговування;

d. якщо заплановано технічне обслуговування обладнання, слід вживати відповідних заходів і засоби контролю і управління, при цьому необхідно враховувати, чи буде технічне обслуговування проводитися персоналом організації або за її межами; при необхідності, чутлива інформація з обладнання повинна бути видалена, або фахівці з технічного обслуговування і ремонту повинні мати відповідний допуск;

e. повинні дотримуватися всі вимоги, що встановлюються полісами страхування.

9.2.5 Безпека обладнання поза приміщеннями організації
Міра - При забезпеченні безпеки обладнання, що використовується поза місцем його постійної експлуатації, слід враховувати різні ризики, пов'язані з роботою поза приміщеннями організації.

Наступні рекомендації необхідно враховувати щодо захисту обладнання, що використовується поза приміщеннями організації:

a. обладнання і носії інформації, узяті з приміщень організації, не слід залишати без нагляду в загальнодоступних місцях; під час поїздок портативні комп'ютери потрібно перевозити як ручну поклажу і по можливості маскувати;

b. необхідно дотримуватися інструкції виробників щодо захисту обладнання, наприклад щодо захисту від впливу сильних електромагнітних полів;

c. для роботи на дому слід визначити відповідні заходи і засоби контролю і управління, виходячи з оцінки ризиків, наприклад використання замикаються шаф для зберігання документів, дотримання політики «чистого стола», управління доступом до комп'ютерів і зв'язок з офісом по захищеним мережам (див. також ISO / IEC 18028 «Мережева Безпека»);

d. з метою захисту устаткування, використовуваного поза приміщеннями організації, повинно проводитися адекватне страхування, яке покриває зазначені ризики.

9.2.6 Безпечна утилізація або повторне використання обладнання - Всі компоненти обладнання, які містять носії даних, слід перевіряти з метою забезпечення впевненості в тому, що будь-які чутливі дані і ліцензійне програмне забезпечення були видалені або перезаписані безпечним чином до їх утилізації.

9.2.7 Переміщення майна - Устаткування, інформацію або програмне забезпечення можна використовувати поза приміщеннями організації тільки при наявності відповідного дозволу.

Необхідно враховувати наступні рекомендації:

a. обладнання, інформацію або програмне забезпечення можна використовувати поза приміщеннями організації тільки при наявності відповідного дозволу;

b. співробітники, підрядники та представники третьої сторони, які мають право дозволяти переміщення активів за межі місця експлуатації, повинні бути чітко визначені;

c. терміни переміщення обладнання повинні бути встановлені і перевірені на відповідність при повернення;

d. там, де необхідно і доречно, обладнання слід реєструвати при переміщенні з приміщень організації та при поверненні.