Управление информационной безопасностью. Стандарты СУИБ (СИ) - Гребенников Вадим Викторович - Страница 26

В дополнение сотрудникам следует напоминать, что они не должны вести конфиденциальные разговоры в публичных местах или незащищенных офисах и местах встреч и по незащищенным каналам связи.

Передача информации может происходить с использованием разных типов средств коммуникаций, включая электронную почту, голос, факсимиле и видео.

Передача ПО может происходить с использованием разных типов носителей, включая загрузку из Интернета и покупку у разработчиков, продающих готовую продукцию.

Соглашения о передаче информации

Меры и средства

Соглашения должны обеспечить безопасную передачу бизнес-информации между организацией и сторонними организациями.

Рекомендация по реализации

Соглашения о передаче информации должны включать следующее:

– обязанности руководства по контролю и уведомлению о передаче, рассылке и получению информации;

– процедуры обеспечения отслеживаемости и неотказуемости;

– минимальные требования технических стандартов упаковки и передачи информации;

– эскроу соглашения (хранятся у третьего лица и вступают в силу только при выполнении определенного условия);

– стандарты идентификации курьера;

– обязанности и ответственности в случае инцидентов ИБ, таких как потери данных;

– использование согласованной системы маркировки чувствительной или критичной информации, обеспечивающей ее немедленное понимание и соответствующую защиту;

– технические стандарты записи и считывания информации и ПО;

– любые специальные меры защиты, требуемые для защиты чувствительных элементов, например, криптография;

– поддержка цепочки поставок транзитной информации;

– применимые уровни контроля доступа.

Следует установить и поддерживать политики, процедуры и стандарты по защите информации и физических носителей во время транзита, которые должны быть отражены в соглашениях о передаче информации.

Содержание ИБ в любом соглашении должно отражать чувствительность содержащейся бизнес-информации.

Соглашения могут быть электронными и ручными и иметь форму формальных контрактов. Специальный механизм передачи конфиденциальной информации должен быть совместимым со всеми организациями и типами соглашений.

Электронный обмен сообщениями

Меры и средства

Информация электронного сообщения должна иметь соответствующую защиту.

Рекомендации по реализации

Необходимо учитывать следующие рекомендации ИБ:

– защита сообщений от несанкционированного доступа, модификации или отказа сервиса, соизмеримая со схемой классификации;

– обеспечение правильной адресации и транспортировки;

– надежность и доступность сервиса;

– законодательные требования, например, по использованию ЭЦП;

– получение одобрения до использования внешних общедоступных услуг, таких как мгновенный обмен сообщениями, социальные сети или разделение файлов;

– строгие уровни аутентификации доступа со стороны общедоступных сетей.

Существует много типов электронного обмена сообщениями, такими как электронная почта, обмен данными и социальные сети, играющие роль в бизнес-коммуникациях.

Соглашение о неразглашении

Меры и средства

Требования к соглашениям о конфиденциальности или неразглашении, отражающие потребности организации в защите информации, следует определить, регулярно пересматривать и задокументировать.

Рекомендации по реализации

Соглашение о конфиденциальности или неразглашении (англ. Non-Disclosure Agreement, NDA) должно отражать требования защиты конфиденциальной информации с применением существующих правовых понятий. Организации следует заключать NDA как со своими сотрудниками, так и с представителями сторонних организаций. Его содержание должно учитывать тип сторонней организации и возможного доступа к конфиденциальной информации или ее обработки.

Чтобы определить требования NDA, необходимо учесть следующие факторы:

– определение информации, подлежащей защите (например, конфиденциальная информация);

– предполагаемый срок действия NDA, включая случаи, когда конфиденциальность потребуется на неопределенный срок;

– необходимые действия при окончании срока действия NDA;

– обязанности и действия подписавших NDA лиц по предотвращению несанкционированного разглашения информации;

– владение информацией, коммерческой тайной и интеллектуальной собственностью и как это касается защиты конфиденциальной информации;

– разрешенное использование конфиденциальной информации и права подписавших NDA лиц по ее использованию;

– право на аудит и мониторинг деятельности, связанной с конфиденциальной информацией;

– условия возврата или уничтожения информации в случае приостановления действия NDA;

– план действий на случай нарушения NDA.

NDA должно соответствовать действующему законодательству и нормативам.

Требования NDA следует пересматривать периодически и в случае изменений, вляющих на эти требования.

NDA защищает информацию организации и обозначает обязанности подписавших его лиц по защите, использованию и неиспользованию информации с учетом своих полномочий и ответственности.

10. Покупка, разработка и сопровождение ИС

Покупка, разработка и сопровождение ИС определяют следующие составляющие:

– требования безопасности ИС;

– ИБ при разработке ИС;

– тестовые данные.

10.1. Требования безопасности ИС

Цель: Обеспечить, что ИБ является неотъемлемой частью ИС в течение всего жизненного цикла. Это также включает требования к ИС, которые предоставляют сервисы в общедоступных сетях.

Требования безопасности ИС определяют следующие составляющие:

– анализ требований ИБ;

– ИБ сервисов в общедоступных сетях;

– ИБ транзакций прикладных сервисов.

Анализ требований ИБ

Меры и средства

Требования ИБ должны быть включены в требования для новых ИС или по усовершенствованию действующих ИС.

Рекомендации по реализации

Требования ИБ следует определять разными методами, такими как использование соответствующих требований политик и нормативов, моделирование угроз, анализ инцидентов или испоьзование порогов уязвимости. Результаты определения должны документироваться и анализироваться всеми заинтересованными сторонами.

Требования ИБ и меры защиты должны отражать деловую ценность информации и потенциальный ущерб бизнесу вследствие неадекватности ИБ.

Определение и управление требованиями ИБ и связанными с этим процессами следует включать на ранних стадиях в проекты ИС. Раннее рассмотрение требований ИБ, например, на стадии проектирования может привести к более эффективным и экономически выгодным решениям.

Требования ИБ должны также содержать:

– уровень доверия, предъявляемый заявленной личности пользователей, в соответствии с требованиями пользовательской аутентификации;

– процессы подготовки и полномочий доступа, как для бизнес-пользователей, так и для привилегированных или технических пользователей;

– информирование пользователей и операторов об их обязанностях и ответственностях;

– необходимости требуемой защиты активов, в частности, доступности, конфиденциальности, целостности;

– требования, вытекающие из бизнес-процессов, такие как протоколирование и мониторинг транзакций, требования неотказуемости;

– требования, предъявляемые средствами безопасности, такими как интерфейсы протоколирования и мониторинга или систем обнаружения утечки данных.

Для приложений, обеспечивающих сервисы в общедоступных сетях и транзакции, должны быть рассмотрены специальные средства защиты.

В случае приобретения готовых продуктов необходимо соблюдение формальной процедуры покупки и тестирования. В договорах с поставщиками также должны учитываться требования ИБ.