Ответственность за ресурсы

Цель:   Достигнуть и поддерживать необходимый уровень защиты ресурсов организации.

Все ресурсы должны быть учтены и иметь назначенных владельцев.

Для всех ресурсов должны быть определены владельцы и назначена ответственность за поддержание необходимых механизмов контроля. В случае необходимости ответственность за механизмы контроля может быть делегирована их владельцем, но ответственность за надлежащую защиту ресурсов при этом остается за владельцем.

Инвентаризация ресурсов

Механизм контроля

Все ресурсы должны быть четко идентифицированы, а также должен быть составлен и поддерживаться в актуальном состоянии реестр всех важных ресурсов.

Руководство по внедрению

Организация должна идентифицировать все ресурсы и документировать ценность этих ресурсов. Реестр ресурсов должен включать в себя всю информацию, необходимую для восстановления после катастрофы, включая тип ресурса, его формат, размещение, информацию о резервных копиях, информацию о лицензиях, а также ценность для бизнеса. Этот реестр не должен без необходимости дублировать другие реестры, но должно быть обеспечена согласованность их содержимого.

Кроме того, для каждого ресурса должны быть согласованы и документированы владельцы и классификация информации.  Основываясь на важности ресурса и его классификации безопасности, должны быть определены уровни защиты, соответствующие важности ресурсов (дополнительную информацию о том, как оценивать ресурсы с целью определения их важности можно найти в ISO/IEC TR 13335-3).

Дополнительная информация

Существует много типов ресурсов, включая:

• информацию: базы данных и файлы данных, договоры и соглашения, системная документация, исследовательская информация, руководства пользователей, обучающие материалы, операционные процедуры или процедуры поддержки, планы обеспечения непрерывности бизнеса, процедуры восстановления, журналы аудита и архивная информация;
• программные ресурсы: прикладное программное обеспечение, системное программное обеспечение, средства разработки и утилиты;
• физические ресурсы: компьютерное оборудование, коммуникационное оборудование, переносные носители и другое оборудование;
• сервисы: вычислительные и телекоммуникационные сервисы, основные коммунальные услуги, например отопление, освещение, электроэнергия и кондиционирование;
• люди, а также их квалификации, навыки и опыт;
• нематериальные ресурсы, такие как репутация и имидж организации.

Реестры ресурсов позволяют гарантировать наличие эффективной защиты ресурсов, а также могут потребоваться для решения других бизнес задач, таких как охрана здоровья и жизнедеятельности, страхование или финансовые причины (управление активами). Процесс составления реестра ресурсов является важным предварительным условием для управления рисками.

Владение ресурсами

Механизм контроля

Вся информация и ресурсы, связанные со средствами обработки информации, должны иметь владельцев в лице назначенных подразделений организации.

Руководство по внедрению

Владелец ресурса должен нести ответственность за:

• обеспечение правильной классификации информации и ресурсов, связанных со средствами обработки информации;
• определение и периодический пересмотр классификаций и ограничений прав доступа, принимая во внимание применимые политики контроля доступа.

Право владения может быть установлено для:

• бизнес процесса;
• определенного набора действий;
• приложения; или
• определенного набора данных.

Дополнительная информация

Рутинные задачи могут быть делегированы, например, сторожу, ежедневно присматривающему за ресурсом, но ответственность остается на владельце.

В сложных информационных системах может оказаться полезным определить группы ресурсов, действующих совместно для выполнения конкретной функции в качестве «сервисов». В этом случае, владелец сервиса несет ответственность за поставку сервиса, включая функционирование ресурсов, которые его предоставляют.

Допустимое использование ресурсов

Механизм контроля

Должны быть определены, документированы и реализованы правила допустимого использования информации и ресурсов, связанных со средствами обработки информации.

Руководство по внедрению

Все сотрудники, подрядчики и пользователи третьей стороны должны выполнять правила допустимого использования информации и ресурсов, связанных со средствами обработки информации, включая:

• правила пользования электронной почтой и Интернет;
• инструкции по использованию мобильных устройств, особенно при их использовании за пределами территории организации.

Конкретные правила или инструкции должны быть предоставлены соответствующим руководством. Сотрудники, подрядчики и пользователи третьих сторон, использующие или имеющие доступ к ресурсам организации, должны быть осведомлены об ограничениях, накладываемых на использование информации организации и активов, связанных со средствами обработки информации, а также ресурсов. Они должны нести ответственность за использование любых ресурсов для обработки информации, а также за любое использование этих ресурсов под их ответственность.

Классификация информации

Цель: Обеспечить необходимый уровень защиты информации.

Информация должна быть классифицирована для определения потребности, приоритетов и степени защиты при обращении с ней.

Информация обладает различными степенями конфиденциальности и критичности. Для некоторых видов информации может потребоваться дополнительный уровень защиты или особое обращение. Система классификации информации должна использоваться для определения необходимого набора уровней защиты и потребности в принятии мер по особому обращению.

Руководства по классификации

Механизм контроля

Информация должна классифицироваться в терминах ее ценности, требований законодательства, конфиденциальности и критичности для организации.

Руководство по внедрению

Классификация информации и ассоциированные с ней механизмы защиты, должны учитывать потребности бизнеса в совместном использовании или ограничении доступа к информации, а также связанное с такими потребностями влияние на бизнес.

Руководство по классификации должно включать в себя правила для первоначальной классификации и проведения повторной классификации через определенный промежуток времени; в соответствии с некоторой предопределенной политикой контроля доступа.

Ответственность за классификацию ресурса, за периодический пересмотр этой классификации, а также за обеспечение ее соответствия текущему положению дел и необходимого уровня классификации должна быть возложена на владельца информации.  При классификации должен учитываться эффект агрегации.

Необходимо определить число категорий классификации и выгоды, получаемые от их использования. Чрезмерно сложные схемы могут стать слишком громоздкими и неэкономичными в использовании или непригодными на практике. Необходимо проявлять осторожность при интерпретации классификационных меток на документах, полученных из других организаций, которые могут вкладывать иной смысл в названия меток.

Дополнительная информация

Уровень защиты может оцениваться на основе анализа конфиденциальности, целостности и доступности, а также любых других требований, предъявляемых к рассматриваемой информации.

Часто информация перестает быть конфиденциальной или критичной через определенный период времени, например, когда она становится общедоступной. Эти аспекты должны приниматься во внимание, поскольку избыточная классификация может повлечь реализацию избыточных механизмов контроля, связанную с дополнительными расходами.

Объединение документов, к которым предъявляются схожие требования безопасности, при определении уровня классификации, может облегчить решение задачи классификации.

В целом, присвоение информации классификации является кратчайшим путем для определения способов обращения с ней и защиты этой информации.

Маркирование и обработка информации

Механизм контроля

Должен быть определен и реализован необходимый набор процедур для маркирования и обработки информации, соответствующий схеме классификации, принятой в организации.

Руководство по внедрению

Процедуры маркирования информации должны охватывать информационные ресурсы, представленные в физическом и электронном форматах.

Выходные данные систем, содержащих конфиденциальную или критичную информацию, должны содержать соответствующую классификационную метку (на выходе). Маркирование должно соответствовать правилам классификации. Маркируемые информационные объекты включают в себя распечатываемые отчеты, изображение на экране монитора, записываемые носители информации (например, ленты, диски, компакт диски), электронные сообщения и пересылаемые файлы.

Для каждого уровня классификации должны быть определены процедуры обращения с информацией, включая безопасную обработку, хранение, передачу, понижение уровня классификации и уничтожение. Они также должны включать в себя процедуры  отслеживания и журналирования любых событий, имеющих отношение к безопасности.

Соглашения с другими организациями, предусматривающие совместное использование информации, должны включать процедуры для определения классификации этой информации и для интерпретации классификационных меток других организаций.

Дополнительная информация

Маркирование и безопасное обращение с информацией ограниченного доступа является ключевым требованием для соглашений о совместном использовании информации. Наиболее распространенным видом маркирования являются физические метки. Однако на некоторые информационные ресурсы, такие как документы в электронной форме, физические метки не могут быть нанесены. В этом случае необходимо использовать электронные средства маркировки. Например, маркировка может появляться на экране дисплея. Когда маркирование не осуществимо, могут применяться другие средства определения классификации информации, например, процедуры или мета данные.