Первая страница
Наша команда
Контакты
О нас

    Главная страница


Дополнительная информация




страница5/10
Дата01.07.2017
Размер2.38 Mb.
1   2   3   4   5   6   7   8   9   10
12. Дополнительная информация 12.1. Страхование Планируя программу обеспечения информационной безопасности, работник службы информационной безопасности и управляющий делами должны консультироваться со страховым отделом и, по возможности, со страховой компанией, что должно привести к созданию более эффективной программы обеспечения информационной безопасности и более эффективному использованию страховых премий. Страховые компании могут потребовать, чтобы до того, как страховое требование было удовлетворено, были осуществлены определенные меры управления, называемые условиями до наступления ответственности или предшествующими условиями. Условия до наступления ответственности часто связаны с мерами управления информационной безопасности. Поскольку эти меры управления используются для страховых целей, они должны быть включены в программу обеспечения информационной безопасности организации. Может также потребоваться гарантирование некоторых мер управления, т.е. демонстрация того, что они постоянно присутствовали с момента принятия политики. Страховая компенсация прерываний бизнес-процесса и, в частности, ошибок и невыполнений, должна быть включена в планирование обеспечения информационной безопасности. 12.2. Аудит Приведенная ниже цитата из Заявления Института внутренних аудиторов [32] определяет роль аудитора следующим образом: Внутренний аудит является независимой и объективной деятельностью по консультированию и обеспечению ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. доверия, предназначенной для придания значимости операциям организации и их совершенствованию, что содействует организации в достижении ее целей путем введения систематического и упорядоченного подхода к оцениванию и повышению эффективности процессов менеджмента риска, контроля и управления. При внутреннем аудите проверяется надежность и целостность информации, соответствие политикам и положениям, защита активов, экономное и эффективное использование ресурсов и действующие оперативные задачи и цели. Говоря конкретнее, в сфере информационной безопасности аудиторы должны оценивать и тестировать защитные меры информационных активов финансового учреждения и постоянно взаимодействовать с работниками службы информационной безопасности и другими лицами для выработки соответствующих перспектив идентификации угроз и рисков, а также адекватности защитных мер для существующей и новой продукции. Аудиторы должны предоставлять руководству объективные отчеты о состоянии среды управления, рекомендовать усовершенствования, которые могут быть оправданы необходимостью и анализом стоимости и эффективности, и предписывать порядок хранения и анализа информации журнала регистрации. В тех случаях, когда функция аудиторской проверки объединяется с другими функциями, для минимизации возможности конфликта интересов требуется особое внимание руководства. 12.3. Планирование восстановления деятельности организации после ее прерывания Важной частью программы обеспечения информационной безопасности является план по продолжению критического бизнеса в случае его прерывания. Восстановление деятельности организации после ее прерывания является частью планирования возобновления бизнеса, которое гарантирует быстрейшее восстановление информации и средств обработки информации. В плане восстановления деятельность организации после ее прерывания определена совокупностью факторов воздействия, против которых необходимо обеспечить защиту, и функциями и обязанностями персонала в условиях прерывания. План восстановления бизнеса после его прерывания должен включать в себя точный список действий, которые считаются наиболее важными, предпочтительно с категориями приоритета, а также периоды времени восстановления, являющиеся адекватными для выполнения бизнес-обязательств организации. В плане восстановления бизнеса должны быть определены запасные помещения для замены, обеспечивающие критически важную деятельность организации. В случае неспособности персонала организации содействовать восстановлению деятельности организации после прерывания необходимо определить замещающий персонал, способный восстановить и эксплуатировать ресурсы обработки информации. По возможности, организация должна стараться заключить соглашения с поставщиками услуг об их приоритетном восстановлении. План восстановления деятельности организации после ее прерывания должен обеспечивать доступность адекватных ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. дублирующих информационных систем, способных своевременно обнаруживать и извлекать критическую информацию. Важно, чтобы в плане восстановления деятельности организации после его прерывания была определена информация, подлежащая резервированию, и было обеспечено безопасное хранение этой информации по установленной программе. Необходимо также определить местоположение хранения информации с учетом требований локального и удаленного расположения организации. План восстановления после бедствия должен проверяться по мере необходимости для обнаружения проблем и продолжения обучения персонала в процессе его деятельности. Должна проводиться периодическая переоценка плана восстановления после прерывания бизнеса с целью проверки его актуальности. Организация должна определить минимальную периодичность проведения как проверок, так и переоценки восстановления после прерывания бизнеса. 12.4. Внешние поставщики услуг Финансовые учреждения требуют, чтобы к предоставляемым извне критическим услугам, например, к обработке данных, финансовым операциям, сетевым услугам и созданию программного обеспечения, применялись защитные меры и защита информации такого же уровня, что и в самой организации. Контракты с внешними поставщиками услуг должны включать в себя элементы, необходимые для убеждения финансового учреждения в том, что: - поставщики подчиняются практическим приемам и политике безопасности организации; - отчеты, подготовленные консалтинговой бухгалтерской фирмой поставщиков, доступны организации; - внутренние аудиторы организации имеют право проводить аудиты поставщиков, связанные с процедурами и защитными мерами организации; - поставщики подчиняются условным соглашениям о поставленных системах, продукции или услугах. В дополнение к вышеизложенному, специалисты конкретного финансового учреждения должны провести независимую финансовую проверку поставщика услуг до заключения с ним контракта. До получения гарантийного письма, подтверждающего наличие защитных мер информационной безопасности, деловых отношений с поставщиком услуг быть не должно. Руководитель службы обеспечения информационной безопасности должен проверить программу обеспечения безопасности поставщика услуг для определения, согласуется ли она с программой организации. Любые разногласия должны разрешаться путем обсуждения условий с поставщиком услуг либо посредством процесса принятия риска в организации. ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. В дополнение к требованиям информационной безопасности договоры с поставщиками услуг должны включать в себя требования о неразглашении информации и четкое определение ответственности за убытки, являющиеся следствием недостатков в обеспечении информационной безопасности. 12.5. Группы тестирования на проникновение в компьютерные системы Использование специалиста по тестированию на проникновение (как правило, подрядчика) для оценки эффективности безопасности системы посредством попытки проникновения в систему с ведома и при согласии соответствующего должностного лица организации является одной из предпосылок создания доверия к программе обеспечения безопасности. По мере усложнения компьютерных систем поддержание безопасности становится все более затруднительным. Использование групп тестирования на проникновение может содействовать обнаружению слабых мест в системе организации. Однако необходимо учитывать некоторые дополнительные вопросы. Подрядчик должен быть связан соответствующими обязательствами или обладать достаточными возможностями для выполнения любых обязательств, возникающих в результате его действий. Для контроля за своей программой обеспечения безопасности организация не должна полагаться только на отчеты тестирования на проникновение. Проблема неразглашения результатов тестирования должна быть решена в контракте со специалистами по тестированию на проникновение. Любое разглашение проблемы безопасности должно осуществляться по усмотрению организации. 12.6. Криптографические операции Развитие ИТ значительно усложнило традиционные методы контроля информации. Популяризация криптографических устройств предоставила финансовым учреждениям возможность вновь достичь ранее установленного уровня безопасности, связанного с банковским делом, с учетом усовершенствования технологии обработки информации. Как в случае с любой новой технологией, существует опасность неправильного использования криптографических методов решения проблем обеспечения безопасности. Важно, чтобы организации принимали адекватные решения по выбору, использованию и постоянному оцениванию своих защитных мер, основанных на применении криптографии. Предполагается, что потребность в криптографических защитных мерах общепризнана. В защитных мерах, предлагаемых в разделах 9 - 15, используются шифрование, коды аутентификации сообщений и цифровая подпись. Для каждой из этих мер также требуется разделение ключей и оказание услуг по их сертификации. ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. Криптографические защитные меры могут противодействовать угрозам нарушения конфиденциальности и целостности информации. Криптографические защитные меры, такие как шифрование и аутентификация, требуют сохранения секретности определенного материала, например криптографических ключей. Для поддержки криптографических защитных мер могут потребоваться одно или несколько средств, генерирующих, распределяющих и несущих ответственность за криптографический материал. По возможности, должны использоваться международные стандарты по распределению ключей в банковском деле. Средства, обеспечивающие управление криптографическим материалом, должны быть физически защищены на высшем уровне, и на таком же уровне должно быть управление доступом к ним. В целях безопасности информационной системы распределение ключей должно осуществляться по принципу разделенного знания. При использовании надежных криптографических практических приемов и при эффективном планировании восстановления бизнеса после его прерывания могут возникнуть цели, противоречащие друг другу. Необходимы тесные консультации лиц, отвечающих за восстановление после бедствия, и лиц, ответственных за криптографическую поддержку, с тем, чтобы одна цель не противоречила другой. Криптографический материал должен быть предоставлен клиентам так, чтобы минимизировать возможность компрометации. Клиент должен быть осведомлен о важности мер защиты криптографического материала. Взаимодействие с криптографической системой провайдера услуг, корреспондента или клиента должно допускаться только в соответствии с документированным гарантийным письмом. Качество безопасности, создаваемой криптографической продукцией, зависит от постоянной целостности этой продукции. Как аппаратная, так и программная криптографическая продукция требует защиты целостности, сопоставимой с уровнем безопасности, который она предназначена обеспечивать. Использование сертифицированных интегральных схем, надежных корпусов и обнуления ключей упрощает защиту аппаратных систем в отличии от программных средств. При защите наиболее важной информации целесообразно использовать криптографическое программное обеспечение продукции. Для повышения целостности системы следует максимально использовать такие свойства, как самотестирование. Использование, импорт и экспорт криптографической продукции регламентируются национальными нормативными правовыми актами государств. Национальные нормативные правовые акты в отношении использования, производства, продажи, экспорта и импорта криптографических устройств очень различаются. Рекомендуется консультация с юристом или местной властью. 12.7. Распределение криптографических ключей Как и в любой технологии, существуют относительно простые, а также другие элементы, выполнение которых требует существенных усилий реализации и поддержки. Одной из таких технологий, применение которой требует тщательного ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. планирования, обучения и точной реализации, является распределение криптографических ключей. Распределение криптографических ключей см. в стандартах серии ИСО 11568. Распределение криптографических ключей представляет собой часть криптографии, которая обеспечивает методы безопасной генерации, обмена, использования, хранения и прерывания действия криптографических ключей, используемых криптографическим механизмом. Внедрение криптографических методов, таких как шифрование и аутентификация, в компьютерные системы и сеть может способствовать достижению многих целей безопасности. Однако эти методы бесполезны без надежного распределения криптографических ключей. Основные функции распределения криптографических ключей состоят в предоставлении криптографических ключей, необходимых для криптографических методов, и защите данных ключей от любого вида компрометации. Конкретные процедуры и требования безопасности для распределения данных ключей зависят от вида системы криптографии, на которой основаны криптографические методы, их характера, характеристик и требований безопасности защищаемой компьютерной системы или сети. Наиболее важным для изучения является вопрос о достаточной гибкости распределения криптографических ключей для эффективного использования в компьютерной системе или сети, и его соответствие требованиям безопасности системы. Услуги по распределению криптографических ключей должны быть доступны в любое время и там, где они потребуются, включая резервные помещения. Распределение данных ключей должно быть частью плана организации по восстановлению компьютерной системы или сети. 12.8. Неприкосновенность частной жизни Финансовые учреждения обладают некоторой особо важной информацией об отдельных лицах и организациях. Национальные нормативные правовые акты требуют, чтобы эта информация обрабатывалась и хранилась в соответствии с определенными правилами обеспечения безопасности и неприкосновенности частной жизни. Некоторые технические и бизнес-разработки, например сети, графическое представление документов, целевой маркетинг и совместное использование информации между отделами, вызвали повышенный интерес к проблемам обеспечения неприкосновенности внутренней жизнедеятельности банков. Организационно-распорядительные документы финансовых учреждений должны учитывать нормы обеспечения неприкосновенности частной жизни, например положения (руководства), связанные с информацией о кредитах. Следует также быть в курсе новых принимаемых национальных нормативных правовых актов о неприкосновенности частной жизни путем использования источников банковской индустрии или других независимых источников информации, а также консультации специалистов юридических отделов банков. Кроме того, банковские служащие, осуществляющие международные операции, должны обладать знаниями о ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. региональных, международных и других законах и связанных с ними положениях обеспечения неприкосновенности частной жизни. Финансовые учреждения должны анализировать свои операции с целью определения адекватности защиты информации о своих клиентах и служащих. Необходимо разработать конкретную политику и процедуры, касающиеся сбора, использования и защиты информации. Данная политика и процедуры должны быть доведены до сведения соответствующих служащих. Политика и процедуры обеспечения неприкосновенности частной жизни должны предусматривать: - сбор достоверных и точных сведений, которые обеспечивают получение обозначенной финансовой потребности; - обработку информации с целью обеспечения соответствующих ограничений доступа, включая определение круга лиц, которые должны иметь доступ к информации, контроль качества во избежание ошибок при вводе или обработке данных и защиту от непреднамеренного несанкционированного доступа; - совместное использование информации посредством заранее определенных процедур с тем, чтобы информация использовалась для целей, имеющих отношение к причинам ее первоначального сбора, и коллективное использование информации не приводило к появлению новых возможностей несанкционированного вторжения в частную жизнь; - хранение информации с гарантией ее защиты от несанкционированного доступа; - уведомление об использовании информации и наличие процедур, позволяющих лицу, чья информация находится на хранении, исправлять в ней ошибки и запрещать использование этой информации; - уничтожение ставшей ненужной информации. Кроме того, электронные и другие формы контроля за действиями сотрудников должны соответствовать требованиям организационно-распорядительных документов, которые различаются по области ответственности и распространения. В дополнение к правам работодателей должны учитываться защита персональной информации служащих и их права. Финансовые учреждения должны рассмотреть возможности проведения аудита неприкосновенности частной жизни. В ходе этого аудита проводится оценка, насколько хорошо организация выполняет защиту персональной информации, и рассматриваются способы, которыми ИТ может решать проблемы обеспечения неприкосновенности частной жизни. 13. Дополнительные защитные меры ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. 13.1. Поддержка функционирования защитных мер Поддержка функционирования защитных мер, включающая администрирование этих защитных мер, является важной частью программы обеспечения безопасности финансового учреждения. Обязанностью руководства на всех уровнях является обеспечение: - четкого определения обязанностей по поддержке защитных мер; - выделения ресурсов организации для поддержки защитных мер; - периодической проверки и переоценки защитных мер с целью обеспечения продолжения их нормального функционирования; - отсутствия воздействия изменений аппаратныхпрограммных средств и обновлений системы ИТ на предполагаемую эффективность существующих защитных мер; - отсутствия появления новых угроз или уязвимостей вследствие достижений в области технологий; - обновления защитных мер и (или) добавления новых защитных мер при появлении новых требований; - пересмотра и корректировки политики безопасности или добавление новой политики вследствие изменений защитных мер. При условии выполнения описанных выше мероприятий поддержки можно избежать неблагоприятных и дорогостоящих последствий. 13.2. Соответствие требованиям безопасности Проверка соответствия требованиям безопасности (аудит безопасности или анализ безопасности) является очень важным мероприятием и используется для обеспечения соответствия плану обеспечения безопасности информационных систем и поддержания эффективности соответствующего уровня информационной безопасности на протяжении срока службы системы или проекта ИТ. Оценку соответствия требованиям безопасности целесообразно проводить на стадиях проектирования, разработки и реализации информационных систем, а также при их совершенствовании и модернизации. Следует также соблюдать осторожность при замене или удалении компонентов системы. Проверки соответствия требованиям безопасности могут проводиться с помощью внутреннего и внешнего персонала (например аудиторов). При проведении проверок соответствия требованиям безопасности частот используются перечни контрольных вопросов, связанных с политикой безопасности системы или проекта ИТ. Данные проверки должны планироваться и интегрироваться в разработки системы или проекта ____________________________________________________________________________________ Не является официальным изданием предназначено для ознакомительных целей. Бесплатно предоставляется клиентам компании «Древград» - деревянные дома. ИТ. Дополнительным методом, особенно целесообразным при определении соблюдения требований персоналом, занимающимся операционной поддержкой, и пользователями определенных защитных мер и процедур, являются выборочные проверки. Выборочные проверки должны проводиться для гарантирования правильной реализации и использования надлежащих защитных мер безопасности, и, где это уместно, защитные меры должны проверяться тестированием. В случаях, если выясняется, что защитные меры не соответствуют плану обеспечения безопасности системы, необходимо уведомить об этом руководство проблемного сектора организации, создать, реализовать и протестировать план корректирующих мер, а результаты реализации этих мер - проанализировать. 13.3. Мониторинг Мониторинг информационных систем представляет собой важный компонент плана обеспечения информационной безопасности. Мониторинг может служить для руководства показателем реализации защитных мер, то есть являются ли эти защитные меры удовлетворительными, и была ли реализована программа поддержки защитных мер. Первоначальный план обеспечения безопасности можно сравнивать с результатами мониторинга с целью определения эффективности защитных мер. Многочисленные защитные меры вызывают необходимость создания журналов регистрации выходных данных, связанных с событиями безопасности. Эти журналы должны периодически просматриваться и, по возможности, анализироваться статистическими методами с целью раннего обнаружения изменений тенденций и повторяющихся неблагоприятных событий. Все изменения, связанные с активами, угрозами, уязвимостями и защитными мерами, потенциально могут оказывать существенное влияние на риски, а раннее обнаружение изменений позволяет принять предупредительные меры. Использование журналов регистрации только в целях анализа после событий означает игнорирование этого важного механизма защитных мер. Мониторинг должен также включать в себя процедуры регулярного предоставления отчетов соответствующему работнику службы обеспечения информационной безопасности и руководству.
1   2   3   4   5   6   7   8   9   10

  • 13. Дополнительные защитные меры