Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная РУБРИКАТОР Обеспечение соответствия требованиям безопасности Соответствие требованиям (BS ISO/IEC 27002:2005 RU, раздел 15)
Protectiva Compliance Manager
Навигация
 

Соответствие требованиям (BS ISO/IEC 27002:2005 RU, раздел 15)

Операции с документом
Соответствие требованиям законодательства, Соответствие политикам и стандартам безопасности, а также техническим требованиям.

Соответствие требованиям законодательства

Цель: Избежать нарушения положений любых обязательств, установленных действующим законодательством, подзаконными актами, нормативной базой и договорными отношениями, а также любых требований безопасности.

Проектирование, эксплуатация, использование и управление информационными системами может быть предметом требований безопасности, установленных подзаконными актами, нормативной базой и договорными отношениями.

Вопросы, касающиеся применения конкретных требований законодательства, следует обсудить с юристами организации или независимо практикующими юристами, имеющими соответствующую квалификацию. Требования законодательства, действующие в разных странах, отличаются друг от друга, что также касается информации, созданной в одной стране и передаваемой в другую страну (т.е. межгосударственная передача информации).

Определение применимой законодательной базы

 

Механизм контроля

Все применимые требования, установленные действующим законодательством, нормативной базой и договорными отношениями, должны быть явным образом определены, документированы и поддерживаться в актуальном состоянии для каждой информационной системы и организации.

Руководство по внедрению

Аналогичным образом должны быть определены и документированы конкретные механизмы контроля и индивидуальная ответственность за обеспечение соответствия этим требованиям.

Права интеллектуальной собственности

 

Механизм контроля

Должны быть внедрены соответствующие процедуры для обеспечения соблюдения требований законодательства, нормативной базы и договорных отношений, в области использования материалов, охраняемых правом интеллектуальной собственности, а также в области использования коммерческого программного обеспечения.

Руководство по внедрению

Следует рассмотреть возможность использования для защиты любого материала, который может рассматриваться в качестве интеллектуальной собственности, следующих механизмов контроля:

  • опубликование политики соблюдения прав интеллектуальной собственности, которая определяет  правила законного использования программных и информационных продуктов;
  • приобретение программных продуктов только из известных и уважаемых источников, чтобы гарантировать, что авторское право не нарушено;
  • поддержание осведомленности о политиках соблюдения прав интеллектуальной собственности и предупреждение о намерении принятия дисциплинарных мер к персоналу, нарушающему данные политики;
  • ведение соответствующих реестров ресурсов и идентификация всех ресурсов, к которым применяются требования по защите прав интеллектуальной собственности;
  • сохранение доказательств и свидетельств наличия прав владения лицензиями, дистрибутивами, документацией и т.п.;
  • реализация механизмов контроля, не допускающих превышения максимального количества разрешенных пользователей программного продукта;
  • проведение проверок того, что в организации установлены только санкционированное программное обеспечение и лицензионные продукты;
  • подготовка политики для поддержки соответствующих условий лицензионного соглашения;
  • подготовка политики, определяющей порядок передачи программного обеспечения третьей стороне;
  • использование соответствующего инструментария для проведения аудита;
  • соблюдение требований и условий использования программного  обеспечения и информации, полученных из сетей общего пользования;
  • недопущение создания дубликатов, преобразования в другой формат или извлечение из коммерческих записей (фильмы, аудио), за исключением случаев, разрешенных законом об авторском праве;
  • недопущение копирования целиком или частями книг, статей, отчетов или других документов, за исключением случаев, разрешенных законом об авторском праве.

Дополнительная информация

Права интеллектуальной собственности включают в себя авторское право на  программное обеспечение или документы, права на дизайн, торговые марки, патенты и лицензии на исходные тексты.

Программные продукты, находящиеся в чьей-либо собственности, обычно предоставляются на основании лицензионного соглашения, которое ограничивает использование этих продуктов перечнем определенного оборудования, а копирование может разрешаться только для создания резервных копий. Ситуация с правами интеллектуальной собственности на программное обеспечение, разработанное в самой организации, должна быть разъяснена сотрудникам.

Требования законодательства, нормативных актов и договоров могут накладывать ограничения на копирование находящихся в собственности материалов. В частности, возможно применение требования об использовании только материала, разработанного внутри компании, или лицензионного, или предоставленного организации самим разработчиком. Нарушение авторского права может повлечь юридические действия, включая открытие уголовных дел.

Защита документации организации

 

Механизм контроля

Важная документация организации должна быть защищена от утери, уничтожения и фальсификации в соответствии с требованиями законодательства, нормативной базы, договорных отношений и бизнеса.

Руководство по внедрению

Документация должна быть категорирована по типу, например, бухгалтерская документация, базы данных, журналы транзакций, журналы аудита и действующие процедуры, с указанием сроков хранения документации и вида носителей, например, бумажные, микропленочные, магнитные, оптические носители. Все криптографические ключи для зашифрованных архивов или цифровых подписей должны также сохраняться, чтобы  было возможным расшифровать документы в течение всего времени их хранения.

Необходимо учесть возможность старения носителей информации, которые используются для хранения документации. Процедуры хранения и ухода за носителями информации должны быть реализованы в соответствии с рекомендациями производителей. Для длительного хранения следует рассмотреть возможность использования бумаги или микрофиши.

В случае выбора для хранения документации электронных носителей следует обеспечить возможность доступа к информации (возможность чтения носителя и формата) в течение всего периода ее хранения с целью предотвращения утери информации из-за будущих технологических изменений.

Должны выбираться такие системы хранения данных, которые позволяют извлекать требуемые данные в приемлемые сроки и в приемлемом формате в зависимости от действующих требований.

Система хранения и ухода за носителями информации должна обеспечить четкую идентификацию документов и их хранение в течение срока, соответствующего требованиями действующего законодательства и нормативной базы. Она должна предусматривать возможность удаления документации по истечению срока хранения, если эта документации больше не нужна организации.

Для выполнения этих задач по защите документов в организации должны быть проведены следующие мероприятия:

  • должны быть выпущены руководства по обеспечению сохранности, хранению, уходу за носителями и передаче документации и информации;
  • должен быть составлен график хранения документации, идентифицирующий документы и сроки их хранения;
  • должен вестись реестр источников ключевой информации;
  • должны быть реализованы соответствующие механизмы контроля для защиты документов и информации от утери, уничтожения и фальсификации.

Дополнительная информация

Некоторая документация может нуждаться в надежном хранении в соответствии с требованиями законодательства, нормативной базы или договоров, а также для поддержки важных бизнес активностей. Примерами такой документации являются документы, подтверждающие, что деятельность компании соответствует действующим законодательным нормам и правилам, обеспечивающие адекватную защиту в случае возбуждения возможных гражданских или уголовных дел или подтверждающие финансовое состояние организации для акционеров, партнеров и аудиторов. Сроки хранения информации и ее содержание могут устанавливаться национальным законодательством или нормативной базой.

Дополнительная информация по управлению документацией организации содержится в ISO 15489-1.

Защита персональных данных

 

Механизм контроля

Должна быть обеспечена защита персональных данных в соответствии с требованиями действующего законодательства, нормативной базы и, там где это применимо, положений договоров.

Руководство по внедрению

Должна быть разработана и внедрена политика организации в области защиты персональных данных. Это политика должна быть доведена до сведения все лиц, задействованных в обработке персональной информации.

Обеспечение соответствия этой политике и всей применимой законодательной и нормативной базе в области защиты информации требует наличия соответствующей структуры управления и контроля. Часто, это лучше всего достигается путем назначения офицера по защите информации, в обязанности которого входит предоставление руководству, пользователям и провайдерам услуг руководящих указаний по вопросам их индивидуальной ответственности и конкретным процедурам, которым необходимо следовать. Ответственность за надлежащее обращение с персональными данными и обеспечение осведомленности о принципах защиты информации должна осуществляться в соответствии с применимым законодательством и нормативной базой. Должны быть реализованы соответствующие организационные и технические меры по защите персональных данных.

Дополнительная информация

Во многих странах введены в действие нормы права, устанавливающие контроль сбора, обработки и передачи персональных данных (в общем случае это информация о физических лицах, по которой их можно идентифицировать). В зависимости от соответствующего национального законодательства такой контроль может налагать обязанности на тех лиц, которые занимаются сбором, обработкой и распространением персональной информации, и может ограничивать возможность передачи этих данных в другие страны.

Предотвращение ненадлежащего использования средств обработки информации

 

Механизм контроля

Пользователи должны удерживаться от использования средств обработки информации в ненадлежащих целях.

Руководство по внедрению

Руководство должно санкционировать использование средств обработки информации. Любое использование этих средств в целях, отличных от целей бизнеса, без разрешения руководства или в несанкционированных целях следует рассматривать как ненадлежащее использование этих средств. В случае обнаружения таких действий средствами мониторинга или другими средствами этот факт должен быть доведен до сведения непосредственного руководителя лица, допустившего нарушение, с целью принятия необходимых дисциплинарных и/или правовых мер.

Прежде, чем реализовывать процедуры мониторинга, следует воспользоваться юридической консультацией.

Все пользователи должны быть осведомлены о точных границах разрешенного им доступа и о мониторинге, проводимом с целью обнаружения несанкционированного использования. Это можно осуществить путем предоставления пользователям письменного разрешения, копия которого подписывается пользователем и надежно хранится организацией. Сотрудники организации, подрядчики и пользователи третьей стороны должны быть поставлены в известность о том, что им не разрешены иные виды доступа, за исключением санкционированного.

При входе в систему на экране компьютера должно появляться сообщение, уведомляющее, что система, в которую осуществляется вход, является собственностью организации, и что несанкционированный доступ не разрешен. Для продолжения процесса входа в систему пользователь должен подтвердить свое согласие и соответствующим образом отреагировать на появление такого сообщения на экране.

Дополнительная информация

Средства обработки информации организации предназначены главным образом и исключительно для достижения целей бизнеса.

Средства обнаружения вторжений, инспектирования содержания и другие средства мониторинга могут быть полезны для предотвращения и обнаружения ненадлежащего использования средств обработки информации.

Во многих странах существует законодательство по защите от ненадлежащего использования компьютера. Несанкционированное использование компьютера может являться уголовным преступлением.

Легальность мониторинга использования компьютера варьируется от страны к стране и может требовать от руководства уведомления всех пользователей о таком мониторинге и/или согласования с ними. Если система, в которую осуществляется вход, используется для общего доступа (например, публичный Web-сервер) и подлежит мониторингу безопасности, должно выводиться сообщение, предупреждающее об этом.

Правовое регулирование в области использования криптографических средств

 

Механизм контроля

Криптографические средства должны использоваться в соответствии со всеми относящимися к делу соглашениями, законодательными актами и нормативными документами.

Руководство по внедрению

Для обеспечения соответствия с относящимися к делу соглашениями, законодательными актами и нормативными документами должны рассматриваться следующие механизмы:

  • ограничения на импорт и/или экспорт компьютерного оборудования и программного обеспечения, предназначенного для выполнения криптографических функций;
  • ограничения на импорт и/или экспорт компьютерного оборудования и программного обеспечения, спроектированных с учетом возможности добавления в них криптографических функций;
  • ограничения на использование шифрования;
  • мандатные или дискреционные методы доступа к информации, зашифрованной при помощи программного обеспечения или технических средств для обеспечения конфиденциальности ее содержания, уполномоченных государственных органов.

Для получения гарантий соблюдения национального законодательства и нормативной базы следует воспользоваться юридической консультацией. Прежде чем зашифрованная информация или криптографические средства будут перемещены в другую страну, следует также воспользоваться юридической консультацией.

Соответствие политикам и стандартам безопасности, а также техническим требованиям

Цель: Обеспечить соответствие систем политикам и стандартам безопасности, принятым в организации.

Безопасность информационных систем должна регулярно проверяться.

Такие проверки должны проводиться на соответствие политикам безопасности, а технические платформы и информационные системы подлежат аудиту на предмет их соответствия стандартам по реализации механизмов безопасности и документированным механизмам безопасности.

Соответствие политикам и стандартам безопасности

 

Механизм контроля

Руководители должны обеспечить корректное выполнение всех процедур по обеспечению безопасности в области своей ответственности с целью обеспечения соответствия политикам и стандартам безопасности.

Руководство по внедрению

Руководители должны регулярно проверять соответствие обработки информации в области своей ответственности применимым политикам, стандартам  и другим требованиям безопасности.

Если по результатам проверки было обнаружено какое-либо несоответствие, руководители должны:

  • определить причины несоответствия;
  • оценить целесообразность принятия мер по предотвращению повторения данного несоответствия;
  • определить и реализовать необходимые корректирующие меры;
  • проверить реализацию корректирующих мер.

Результаты проверок и корректирующих мер, предпринимаемых руководством, должны протоколироваться и протоколы должны сохраняться. Руководители должны сообщать о результатах лицам, проводящим независимые проверки в случае, когда независимая проверка затрагивает область их ответственности.

Дополнительная информация

Операционный мониторинг использования систем описан в 10.10.

Проверка соответствия техническим требованиям

 

Механизм контроля

Информационные системы должны регулярно проверяться на соответствие стандартам в области реализации механизмов безопасности.

Руководство по внедрению

Проверки соответствия техническим требованиям должны проводиться вручную (при необходимости, с использованием соответствующего программного инструментария) опытным системным инженером и/или при помощи автоматизированного программного инструментария, генерирующего технический отчет для последующей интерпретации техническим специалистом.

Если используются тесты на проникновение или оценки уязвимостей, необходимо проявлять осторожность, поскольку такие действия могут повлечь нарушение безопасности системы. Такие тесты должны быть спланированы, документированы и воспроизводимы.

Любая проверка соответствия техническим требованиям должна выполняться только компетентными и уполномоченными лицами, либо под надзором таких лиц.

Дополнительная информация

Проверки соответствия техническим требованиям включают в себя исследование действующих систем с целью получения гарантий того, что программные и аппаратные средства были корректно внедрены. Этот тип проверок соответствия должен проводиться специалистами, имеющими технический опыт.

Проверки соответствия также охватывают, например, тестирование на проникновение и оценки уязвимостей, которые должны выполняться независимыми экспертами, специально нанятыми для этой цели. Это может быть полезным для обнаружения уязвимостей в системе и для проверки того, насколько эффективно механизмы контроля предотвращают несанкционированный доступ, причиной которого являются эти уязвимости.

Тестирование на проникновение и оценки уязвимостей предоставляют мгновенный снимок системы в определенном состоянии в определенный момент времени. Этот мгновенный снимок ограничивается теми частями системы, которые были реально протестированы по время осуществления попыток проникновения. Тестирование на проникновение и оценка уязвимостей не заменяют оценки рисков.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2019 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex