Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Следует четко обозначить, что никто не может получить доступ к использованию и модификации активов без идентификации и аутентификации. Инициация события должна быть отделена от его авторизации. Возможность сговора должна быть учтена при выборе мер защиты.

В маленьких организациях сложно обеспечить разделение обязанностей, но принцип разделения должен быть применен настолько, насколько это возможно.

Разделение обязанностей является методом снижения риска случайного или преднамеренного нанесения вреда активам организации.

Контакт с властями

Меры и средства

Необходимые контакты с органами власти должны поддерживаться.

Рекомендации по реализации

В организациях должны применяться процедуры, определяющие, когда и с какими инстанциями (например правоохранительными, пожарными и надзорными органами) необходимо вступить в контакт, и каким образом следует своевременно сообщать о выявленных инцидентах ИБ, если есть подозрение о возможности нарушения закона.

Организациям, подвергающимся атаке через Интернет, может потребоваться привлечение сторонней организации (например интернет-провайдера или оператора телекоммуникаций) для принятия мер защиты от атаки.

Контакт со специальными группами

Меры и средства

Должны поддерживаться надлежащие контакты со специальными группами или форумами специалистов в области ИБ, а также профессиональными ассоциациями.

Рекомендации по реализации

Членство в группах или форумах следует рассматривать как средство для:

— повышения знания о «передовом опыте» и достижений ИБ на современном уровне;

— обеспечения уверенности в том, что понимание проблем ИБ является современным и полным;

— получения раннего оповещения в виде предупреждений, информационных сообщений и патчей¹, касающихся атак и уязвимостей;

— возможности получения консультаций специалистов по вопросам ИБ;

— совместного использования и обмена информацией о новых технологиях, продуктах, угрозах или уязвимостях;

— организация подходящих связей для обеспечения обработки инцидентов ИБ.

Соглашения об информационном обмене должны обеспечить улучшение кооперации и координации действий в сфере безопасности. Эти соглашения должны определить требования по защите конфиденциальной информации.

¹ Патч — блок изменений для оперативного исправления или нейтрализации ошибки в исполняемой программе. чаще всего поставляемый (или размещаемый на сайте разработчика) в виде небольшой программы, вставляющей исправления в объектный код соответствующих модулей приложения.

ИБ при управлении проектом

Меры и средства

ИБ должна обеспечиваться при управлении проектом, независимо от его типа.

Рекомендации по реализации

ИБ должна быть интегрирована|интегрированной, комплексной| в метод управления проектом|структуры|, чтобы гарантировать, что|который| риски|рисковый| ИБ идентифицированы|опознает| и являются частью проекта. Это относится к любому проекту, независимо от его содержания.

Метод управления проектом при использовании должен требовать, чтобы|который|:

— цели|задача| ИБ входили в проектные цели|задачу|;

— оценка риска|рисковый| ИБ проводилась|ведет| на ранней стадии проекта, чтобы идентифицировать|опознать| необходимые меры защиты|контроль, управляет|;

— ИБ была частью всех фаз|стадии| используемой проектной методологии.

Требования|импликацию| ИБ должны обеспечиваться и пересматриваться регулярно во всех проектах. Ответственность за ИБ нужно определить и применить к ролям, определенным методами управления проектом.

2.2. Мобильные устройства и удалённая работа

Цель: обеспечить безопасность удалённой работы и использования мобильных устройств.

Этот раздел рассматривает обеспечение ИБ при использовании:

— мобильных устройств;

— удалённой работы.

Мобильные устройства

Меры и средства

Политика и меры безопасности должны обеспечить управление рисками, связанными с использованием мобильных устройств.

Рекомендации по реализации

При использовании мобильных устройств необходимо уделить внимание тому, чтобы не скомпрометировать бизнес-информацию. Политика мобильных устройств должна учитывать риски работы с мобильными устройствами в незащищенной среде.

Политика мобильных устройств должна рассматривать:

— регистрацию мобильных устройств;

— требования физической защиты;

— ограничения на установку ПО;

— требования к версиям ПО мобильных устройств и применению патчей;

— ограничения на подключение к информационным сервисам;

— управление доступом;

— криптографические средства;

— защита от вредоносного ПО;

— дистанционное выключение, удаление или блокировку;

— резервное копирование;

— использование веб-сервисов и веб-приложений.