O zi buna, dragilor!
Nu i-am mai scris lui Habr de mult timp, nu era timp, era mult de lucru. Dar acum m-am descărcat și mi-am format gânduri pentru o nouă postare.
Am vorbit cu unul dintre tovarășii care era însărcinat cu munca de securitate a informațiilor în organizație (tovarăș administrator de sistem) și mi-a cerut să spun de unde să încep și unde să mă deplasez. Și-a pus puțin ordine în gândurile și cunoștințele și i-a dat un plan brut.
Din păcate, această situație este departe de a fi izolată și apare frecvent. Angajatorii, de regulă, doresc să aibă atât un elvețian, cât și un secerător, și un jucător pe țeavă, și toate acestea la un preț. Voi reveni la întrebarea de ce securitatea informațională nu trebuie să fie atribuită IT mai târziu, dar acum ne vom gândi în continuare de unde să începem dacă s-a întâmplat acest lucru și te-ai înscris la o astfel de aventură, adică crearea unei securități informaționale. sistem de management (ISMS).
Analiza de risc
Aproape totul în securitatea informațiilor începe cu analiza riscurilor, aceasta este baza și începutul tuturor proceselor de securitate. Voi desfășura un scurt program educațional în acest domeniu, deoarece multe concepte nu sunt evidente și sunt cel mai adesea confundate.Deci, există 3 concepte principale:
- Probabilitatea de realizare
- Vulnerabilitate
Riscul este posibilitatea de a suferi orice pierderi (monetare, reputaționale etc.) ca urmare a implementării unei vulnerabilități.
Probabilitatea implementării este cât de probabil este ca o anumită vulnerabilitate să fie exploatată pentru a materializa un risc.
Vulnerabilitatea este direct o lacună în sistemul dumneavoastră de securitate, care, cu un anumit grad de probabilitate, poate provoca un rău, adică să realizeze un risc.
Există multe metode, abordări diferite ale managementului riscului, vă voi spune despre elementele de bază, restul nu veți avea nevoie la început în formarea unui ISMS.
Așadar, toată munca de gestionare a riscurilor se reduce fie la reducerea probabilității implementării, fie la minimizarea pierderilor din implementare. În consecință, riscurile pot fi acceptabile și inacceptabile pentru organizație. Acceptabilitatea riscului este cel mai bine exprimată în cantități specifice de pierderi din implementarea sa (în orice caz, chiar și pierderile reputaționale aparent intangibile duc în cele din urmă la pierderi de profit). Este necesar să decideți împreună cu conducerea ce sumă pentru ei va fi pragul de acceptabilitate și să faceți o gradare (de preferință 3-5 niveluri pentru pierderi). Apoi, faceți o gradare în termeni de probabilitate, precum și cu pierderi, apoi evaluați riscurile prin suma acestor indicatori.
După lucrările pregătitoare, evidențiați vulnerabilitățile reale ale organizației dumneavoastră și evaluați riscurile implementării și pierderii acestora. Ca rezultat, veți obține 2 seturi de riscuri - acceptabile și inacceptabile. Cu riscuri acceptabile, pur și simplu le suporti și nu vei lua măsuri active pentru a le minimiza (adică acceptăm că minimizarea acestor riscuri ne va costa mai mult decât pierderile din cauza lor), iar cu cele inacceptabile, există 2 scenarii.
Minimizați - reduceți probabilitatea de apariție, reduceți posibilele pierderi sau chiar luați măsuri pentru eliminarea riscului (închiderea vulnerabilității).
Transfer - pur și simplu transferați grijile cu privire la risc către o altă persoană, de exemplu, asigurați organizația împotriva cazurilor de risc sau transferați un activ cu risc (de exemplu, mutați serverele în centrul de date, astfel încât centrul de date va fi responsabil pentru neîntrerupte puterea și siguranța fizică a serverelor) .
Cântare
În primul rând, desigur, este necesar să se evalueze amploarea dezastrului. Nu voi atinge problemele protecției datelor cu caracter personal, există deja o mulțime de articole pe acest subiect, există recomandări practice și algoritmi de acțiuni descriși de mai multe ori.Permiteți-mi să vă reamintesc, de asemenea, că securitatea informațiilor se referă în primul rând la oameni, așa că avem nevoie de documentație de reglementare. Pentru a o scrie, mai întâi trebuie să înțelegeți ce să introduceți acolo.
Există 3 documente principale pentru securitatea informațiilor în acest sens:
Politica de securitate a informațiilor
Documentul dvs. principal, manualul, Biblia și alte titluri importante. În el sunt descrise toate procedurile de securitate a informațiilor, este descris nivelul de securitate pe care îl urmați în organizația dumneavoastră. Ca să zic așa - o tăietură ideală de securitate, documentată și acceptată în conformitate cu toate regulile.Politica nu ar trebui să aibă o greutate mare, documentul ar trebui să fie viu, ar trebui să se schimbe sub influența noilor amenințări, tendințe în securitatea informațiilor sau dorințe. În acest sens, politica (ca, în principiu, orice document de proces) ar trebui revizuită în mod regulat pentru relevanță. Cel mai bine este să faceți acest lucru cel puțin o dată pe an.
Conceptul de securitate a informațiilor
Un mic fragment din politică, care descrie elementele de bază ale securității organizației dvs., nu există procese specifice, dar există principii pentru construirea unui ISMS și principii pentru construirea securității.Acest document este mai mult un document imagine, nu trebuie să conțină nicio informație „sensibilă” și ar trebui să fie deschis și accesibil tuturor. Așezați-l pe site-ul dvs., puneți-l într-o tavă la standul de informații, astfel încât clienții și vizitatorii dvs. să se familiarizeze cu acesta sau pur și simplu să vadă că vă pasă de siguranță și sunteți gata să o demonstrați.
Reglementări privind secretele comerciale (informații confidențiale)
În paranteze indicați un nume alternativ pentru un astfel de document. În general, com. secretul este un caz special de confidențialitate, dar există foarte puține diferențe.Acest document trebuie să indice următoarele: cum și unde documentele care compun com. secretul cine este responsabil pentru stocarea acestor documente, cum ar trebui să arate șablonul unui document care conține astfel de informații, care va fi pentru dezvăluirea informațiilor confidențiale (în condițiile legii și în conformitate cu acordurile interne cu conducerea). Și, desigur, o listă de informații care, pentru organizația dvs., sunt secrete comerciale sau sunt confidențiale.
Conform legii, fără măsurile luate pentru protejarea informațiilor confidențiale, nu le aveți, așa cum ar fi :-) Adică informația în sine pare să fie acolo, dar nu poate fi confidențială. Și aici există un punct interesant că un acord de confidențialitate este semnat de 90% din organizație cu noi angajați, dar puțini au luat măsurile cerute de lege. Lista maximă de informații.
Audit
Pentru a scrie aceste documente, mai precis, pentru a înțelege ce ar trebui să fie în ele, trebuie să auditați starea actuală a securității informațiilor. Este clar că în funcție de activitățile organizației, distribuția teritorială etc., există o mulțime de nuanțe și factori pentru fiecare organizație specifică, dar există câteva puncte principale care sunt comune tuturor.Politica de acces
Există 2 filiale - acesta este accesul fizic la sediu și accesul la sistemele informaționale.Acces fizic
Descrieți sistemul dvs. de control al accesului. Cum și când sunt emise cardurile de acces, cine determină cine are acces la ce sediu (cu condiția ca spațiile să fie echipate cu ACS). Tot aici merită menționat sistemul de supraveghere video, principiile construcției acestuia (absența punctelor moarte în incinta monitorizată, controlul obligatoriu al intrărilor și ieșirilor în/din clădire, controlul intrării în camera serverelor etc. .). De asemenea, nu uitați de vizitatori, dacă nu aveți o recepție comună (și chiar dacă aveți una), ar trebui să indicați cum intră vizitatorii în zona controlată (abonamente temporare, însoțitor).Pentru camera serverului, ar trebui să existe și o listă de acces separată cu un jurnal al vizitelor (este mai ușor dacă ACS este instalat în camera serverului și totul se face automat).
Accesul la sistemele informatice
Descrieți procedura de eliberare a accesului, dacă se utilizează autentificarea cu mai mulți factori, apoi emiterea de identificatori suplimentari. Politica de parole (expirarea parolei, complexitatea, numărul de încercări de autentificare, timpul de blocare a KM după depășirea numărului de încercări) pentru toate sistemele cărora li se acordă acces dacă nu aveți Single Log On peste tot.Construirea unei rețele
Unde se află serverele de acces extern (DMZ), cum sunt accesate din interior și din exterior. Segmentarea rețelei, cum este furnizată. Firewall-uri, segmentele pe care le protejează (dacă există în cadrul rețelei dintre segmente).Acces de la distanță
Cum este organizat și cine are acces. În mod ideal, ar trebui să fie așa: doar VPN, acces numai în acord cu managementul de vârf și cu o rațiune a necesității. Dacă aveți nevoie de acces la terți (vânzători, personal de service etc.), atunci accesul este limitat în timp, adică se emite un cont pentru o anumită perioadă, după care este blocat automat. Desigur, cu acces la distanță, orice drepturi trebuie limitate la minimum.Incidente
Cum sunt procesate, cine este responsabil și cum este construit procesul de gestionare a incidentelor și probleme de management (dacă există, desigur). Am avut deja o postare despre lucrul cu incidente: puteți citi mai multe.De asemenea, este necesar să determinați tendințele din organizația dvs. Adică ce incidente apar mai des, care sunt mai dăunătoare (pierderea simplă, directă de bunuri sau bani, daune reputației). Acest lucru va ajuta la controlul și analiza riscurilor.
Active
În acest caz, active înseamnă tot ceea ce are nevoie de protecție. Adică servere, informații pe hârtie sau suporturi amovibile, hard disk-uri ale computerelor etc. Dacă vreun bun conține informații „sensibile”, atunci ele ar trebui marcate în consecință și ar trebui să existe o listă de acțiuni permise și interzise cu acest activ, cum ar fi transferul către terți, transferul prin e-mail în cadrul organizației, postarea în public. în cadrul organizaţiei etc.Educaţie
Un moment pe care mulți îl uită. Angajații trebuie să fie învățați despre măsurile de siguranță. Nu este suficient să vă familiarizați cu instrucțiunile și politicile împotriva semnăturii, 90% nu le vor citi, ci pur și simplu le vor semna pentru a scăpa de ele. Am realizat și o publicație despre antrenament: Sunt principalele puncte care sunt importante în antrenament și despre care nu trebuie să le uiți. Pe lângă training-ul propriu-zis, astfel de evenimente sunt utile în ceea ce privește comunicarea dintre angajați și ofițerul de securitate (nume frumos, îmi place foarte mult :-). Puteți afla despre unele incidente minore, dorințe și chiar probleme despre care cu greu ați fi știut într-un ritm normal de lucru.Concluzie
Asta, probabil, este tot ceea ce am vrut să le spun începătorilor în domeniul securității informațiilor. Înțeleg că, cu o astfel de postare, s-ar putea să-i privez pe unii dintre colegul meu de muncă, deoarece un potențial angajator va atribui pur și simplu aceste atribuții administratorului, dar voi proteja și multe organizații de integratori-scurcați cărora le place să stoarcă bani pentru audituri și să scrie pamflete cu mai multe pagini despre ce, pretinzându-le drept normative (http://website/post/153581/).Data viitoare voi încerca să vorbesc despre organizarea serviciului de securitate a informațiilor ca atare.
P.S. Daca pui un minus te rog sa comentezi, ca pe viitor sa nu mai fac astfel de greseli.
Etichete:
- Securitatea informațiilor
- documentație
- educaţie
Promovați conștientizarea angajaților
Un factor esențial în implementarea eficientă a acestor principii este un ciclu de activități de legătură pentru a se asigura că managementul securității informațiilor este în mod constant concentrat pe riscurile curente. Este important ca managementul de vârf al organizației să recunoască riscurile de întrerupere a proceselor de afaceri asociate cu securitatea sistemelor informaționale. Baza pentru dezvoltarea și implementarea politicilor și selectarea controalelor necesare este evaluarea riscurilor aplicațiilor individuale de afaceri. Pașii luați vor crește gradul de conștientizare a utilizatorilor cu privire la riscuri și politicile asociate. Eficacitatea controalelor este supusă evaluării prin diverse studii și audituri. Rezultatele obținute oferă o abordare a evaluării ulterioare a riscurilor și determină schimbările necesare în politici și controale. Toate aceste acțiuni sunt coordonate central de către serviciul de securitate sau un colectiv de specialiști, format din consultanți, reprezentanți ai unităților de afaceri și conducerea organizației. Ciclul de management al riscului este ilustrat în figură.
Metode de implementare a unui program de securitate a informațiilor
Următoarele șaisprezece metode utilizate pentru implementarea celor cinci principii ale managementului riscului sunt evidențiate în ilustrația următoare. Aceste practici sunt esențiale pentru implementarea eficientă a programului de securitate a informațiilor unei organizații.
Evaluează riscul și identifică nevoile
Evaluarea riscurilor este primul pas în implementarea unui program de securitate a informațiilor. Securitatea nu este considerată în sine, ci ca un set de politici și controale aferente menite să securizeze procesele de afaceri și să atenueze riscurile aferente. Astfel, identificarea riscurilor de afaceri asociate cu securitatea informațiilor este punctul de plecare al ciclului de management al riscului (securitatea informațiilor).
Recunoașteți resursele informaționale ca active esențiale (inalienabile) ale organizației
Recunoașterea riscurilor de securitate a informațiilor de către conducerea organizației, precum și un set de măsuri care vizează identificarea și gestionarea acestor riscuri, reprezintă un factor important în dezvoltarea unui program de securitate a informațiilor. Această abordare de management va asigura că securitatea informațiilor este luată în serios la nivelurile organizaționale inferioare ale organizației, iar profesioniștilor în securitatea informațiilor li se oferă resursele necesare pentru implementarea eficientă a programului.
Dezvoltați proceduri practice de evaluare a riscurilor care să leagă cerințele de securitate și de afaceri
Există diverse metodologii de evaluare a riscurilor, de la discuții informale despre risc până la metode destul de complexe care implică utilizarea unor instrumente software specializate. Cu toate acestea, experiența mondială a procedurilor de management al riscului de succes descrie un proces relativ simplu care implică participarea diferitelor departamente ale instituțiilor financiare cu implicarea specialiștilor cu cunoștințe de procese de afaceri, specialiști tehnici și specialiști în securitatea informațiilor.
Merită subliniat faptul că înțelegerea riscurilor nu prevede cuantificarea lor precisă, inclusiv probabilitatea unui incident sau costul daunelor. Asemenea date nu sunt disponibile, deoarece este posibil ca pierderile să nu fie detectate și conducerea să nu fie informată. În plus, datele sunt limitate cu privire la costul total al reparării daunelor cauzate de controalele de securitate slabe, precum și costurile de funcționare ale acestor mecanisme (controale). Datorită schimbărilor constante ale tehnologiei, precum și instrumentelor software și instrumentelor disponibile atacatorilor, aplicarea statisticilor colectate în anii anteriori este discutabilă. Ca urmare, este dificil, dacă nu imposibil, să compare cu acuratețe costul controalelor cu riscul de pierdere pentru a determina care control este cel mai rentabil. În orice caz, managerii unităților de afaceri și specialiștii în securitatea informațiilor ar trebui să se bazeze pe cele mai bune informații disponibile atunci când decid asupra alegerii controalelor (metodelor) necesare.
Stabiliți responsabilitatea pentru managerii unităților de afaceri și managerii implicați în programul de securitate
Managerii unităților de afaceri ar trebui să fie în primul rând responsabili pentru determinarea nivelului de securitate (confidențialitate) al resurselor de informații care susțin procesele de afaceri. Managerii unităților de afaceri sunt cei mai capabili să determine care dintre resursele informaționale este cea mai critică, precum și impactul posibil asupra afacerii, în cazul încălcării integrității, confidențialității sau disponibilității acesteia. În plus, managerii unităților de afaceri pot indica controale care pot dăuna proceselor de afaceri. Astfel, prin implicarea acestora în selecția controalelor, se poate asigura că controalele îndeplinesc cerințele și vor fi implementate cu succes.
Gestionați continuu riscul
Securității informațiilor ar trebui să i se acorde o atenție continuă pentru a asigura caracterul adecvat și eficacitatea controalelor. După cum sa menționat mai devreme, informațiile moderne și tehnologiile conexe, precum și factorii legați de securitatea informațiilor, sunt în continuă schimbare. Astfel de factori includ amenințările, tehnologiile și configurațiile sistemului, vulnerabilitățile software cunoscute, nivelul de fiabilitate al sistemelor automate și al datelor electronice și criticitatea datelor și a operațiunilor.
Instalați managementul centralizat
Grupul de conducere acționează în primul rând ca consilier sau consultant al unităților de afaceri și nu poate impune metode (mijloace) de securitate a informațiilor.
Definiți o echipă de conducere care să realizeze acțiunile cheie
În general, grupul de conducere ar trebui să fie (1) un catalizator (accelerator) al procesului, asigurându-se că riscurile de securitate a informațiilor sunt luate în considerare în mod continuu; (2) o resursă centrală de consultanță pentru unitățile organizaționale; (3) un mijloc de comunicare către conducerea organizației a informațiilor despre starea securității informațiilor și măsurile luate. În plus, grupul de conducere vă permite să gestionați central sarcinile atribuite, altfel aceste sarcini pot fi duplicate de diferite departamente ale organizației.
Oferiți echipei de conducere acces ușor și independent la conducerea de vârf a organizației
Remarcăm necesitatea de a discuta problemele de securitate a informațiilor de către managerii grupului de conducere cu conducerea de vârf a organizației. Un astfel de dialog ne va permite să acționăm eficient și să evităm dezacordurile. În caz contrar, pot apărea conflicte cu managerii unităților de afaceri și dezvoltatorii de sisteme care doresc ca noi produse software să fie introduse cât mai curând posibil și, prin urmare, provoacă aplicarea controalelor care pot interfera cu eficiența și confortul lucrului cu software-ul. Astfel, oportunitatea de a discuta problemele de securitate a informațiilor la cel mai înalt nivel poate asigura că riscurile sunt pe deplin înțelese și tolerate înainte de luarea deciziilor finale.
Definiți și alocați bugetul și personalul
Bugetul va permite planificarea și stabilirea obiectivelor programului de securitate a informațiilor. Bugetul include cel puțin salariile angajaților și costurile de formare. Mărimea grupului de conducere (unitatea de securitate) poate varia și poate fi invidioasă atât pe obiectivele stabilite, cât și pe proiectele luate în considerare. După cum sa menționat mai devreme, atât specialiștii tehnici, cât și angajații unităților de afaceri pot fi implicați în munca în grup.
Creșteți profesionalismul și cunoștințele tehnice ale angajaților
Angajații organizației ar trebui să fie implicați în diferite aspecte ale programului de securitate a informațiilor și să aibă abilitățile și cunoștințele adecvate. Nivelul necesar de profesionalism al angajaților poate fi atins prin instruire, care poate fi efectuată atât de specialiști ai organizației, cât și de consultanți externi.
Implementați politicile necesare și controalele adecvate
Politicile în domeniul securității informațiilor stau la baza adoptării anumitor proceduri și alegerea mijloacelor (mecanismelor) de control (management). Politica este mecanismul principal prin care managementul își comunică opiniile și cerințele angajaților, clienților și partenerilor de afaceri. Pentru securitatea informațiilor, precum și pentru alte domenii ale controlului intern, cerințele politicilor depind direct de rezultatele evaluării riscurilor.
Stabiliți relația dintre politici și riscurile de afaceri
Un set cuprinzător de politici adecvate care sunt accesibile și ușor de înțeles pentru utilizatori este unul dintre primii pași în stabilirea unui program de securitate a informațiilor. Merită subliniată importanța menținerii (ajustării) continue a politicilor pentru un răspuns în timp util la riscurile identificate și eventualele dezacorduri.
Faceți distincția între politici și linii directoare
Abordarea generală a creării politicilor de securitate a informațiilor ar trebui să includă (1) politici scurte (concise) la nivel înalt și (2) informații mai detaliate furnizate în orientări și standarde practice. Politicile prevăd cerințele de bază și obligatorii adoptate de conducerea de vârf. În timp ce ghidurile de utilizare nu sunt obligatorii pentru toate unitățile de afaceri. Această abordare permite managementului de vârf să se concentreze asupra celor mai importante elemente de securitate a informațiilor, precum și să ofere spațiu de manevră pentru managerii unităților de afaceri, să facă politicile ușor de înțeles de către angajați.
Asigurați-vă că politicile sunt respectate de echipa de conducere
Echipa de conducere ar trebui să fie responsabilă pentru dezvoltarea politicilor de securitate a informațiilor ale organizației în colaborare cu managerii unităților de afaceri, auditorii interni și avocații. În plus, grupul de coordonare ar trebui să ofere clarificările necesare și să ofere răspunsuri la întrebările utilizatorilor. Acest lucru va ajuta la rezolvarea și prevenirea neînțelegerilor, precum și la luarea măsurilor necesare care nu sunt prevăzute de politici (orientări).
Politicile ar trebui să fie disponibile, astfel încât utilizatorii să poată accesa versiunile lor actuale atunci când este necesar. Utilizatorii trebuie să semneze că sunt familiarizați cu politicile înainte de a le acorda acces la resursele informaționale ale organizației. Dacă un utilizator este implicat într-un incident de securitate, acest acord va servi drept dovadă că el sau ea a fost informat cu privire la politica organizației, precum și posibile sancțiuni în cazul în care aceasta este încălcată.
Promovați conștientizarea
Competența utilizatorilor este o condiție prealabilă pentru securitatea informațiilor de succes și, de asemenea, ajută la asigurarea faptului că controalele funcționează corect. Utilizatorii nu pot urma o politică pe care nu o cunosc sau nu o înțeleg. Neștiind riscurile asociate cu resursele informaționale ale unei organizații, este posibil să nu vadă nevoia de a implementa politici menite să atenueze riscurile.
Formarea continuă a utilizatorilor și a altor angajați cu privire la exemplul de riscuri și politicile aferente
Echipa de conducere ar trebui să ofere o strategie de formare continuă a angajaților care într-un fel sau altul afectează securitatea informațională a organizației. Grupul ar trebui să se concentreze pe o înțelegere comună a riscurilor asociate cu informațiile procesate în cadrul organizației și a politicilor și controalelor pentru atenuarea acestor riscuri.
Folosiți o abordare prietenoasă
Echipa de conducere ar trebui să utilizeze o varietate de metode de instruire și încurajare pentru a face politicile organizației accesibile și pentru a educa utilizatorii. Merită să evitați întâlnirile organizate o dată pe an cu toți angajații organizației; dimpotrivă, instruirea se face cel mai bine în grupuri mici de angajați.
Monitorizați și evaluați eficacitatea politicilor și controalelor
Ca orice tip de activitate, securitatea informației este supusă controlului și reevaluării periodice pentru a asigura adecvarea (respectarea) politicilor și mijloacelor (metodelor) de control cu obiectivele stabilite.
Factorii de control care influențează riscurile și indică eficacitatea securității informațiilor
Controalele ar trebui să se concentreze în primul rând pe (1) disponibilitatea controalelor și metodelor și utilizarea acestora pentru a atenua riscurile și (2) evaluarea eficienței programului și politicilor de securitate a informațiilor care îmbunătățesc înțelegerea utilizatorilor și reduc incidentele. Astfel de verificări includ testarea mijloacelor (metodelor) de control, evaluarea conformității acestora cu politicile organizației, analizarea incidentelor de securitate, precum și alți indicatori ai eficacității programului de securitate a informațiilor. Performanța grupului de conducere poate fi evaluată pe baza, de exemplu, pe următorii indicatori (dar fără a se limita la):
- numărul de instruiri și întâlniri desfășurate;
- numărul de evaluări ale riscurilor efectuate;
- numarul de specialisti autorizati;
- absența incidentelor care împiedică munca angajaților organizației;
- reducerea numărului de noi proiecte implementate cu întârziere din cauza problemelor de securitate a informațiilor;
- respectarea deplină sau abaterile convenite și înregistrate de la cerințele minime de securitate a informațiilor;
- reducerea numărului de incidente care implică accesul neautorizat, pierderea sau denaturarea informațiilor.
Utilizați rezultatele obținute pentru a coordona eforturile viitoare și pentru a crește responsabilitatea managementului
Monitorizarea aduce cu siguranță o organizație în conformitate cu politicile acceptate de securitate a informațiilor, dar beneficiile complete ale monitorizării nu vor fi atinse decât dacă rezultatele sunt utilizate pentru a îmbunătăți programul de securitate a informațiilor. Analiza rezultatelor controlului oferă profesioniștilor în securitatea informațiilor și managerilor unităților de afaceri mijloacele de a (1) reevalua riscurile identificate anterior, (2) identifica noi domenii cu probleme, (3) reevaluează suficiența și caracterul adecvat al controalelor și metodelor existente. control (management) și acțiuni pentru asigurarea securității informațiilor, (4) determinarea necesității de noi mijloace și mecanisme de control, (5) redirecționarea eforturilor de control (acțiuni de control). În plus, rezultatele pot fi folosite pentru a evalua performanța managerilor de afaceri responsabili de înțelegerea și atenuarea riscurilor în toate unitățile de afaceri.
Urmăriți noile metode și controale
Este important să ne asigurăm că (1) profesioniștii în securitatea informațiilor țin pasul cu metodele și instrumentele (aplicațiile) dezvoltate și au cele mai recente informații despre vulnerabilitatea sistemelor și aplicațiilor informaționale, (2) managementul de vârf se asigură că are resursele necesare pentru acest.
Prieteni! Vă invităm să discutați. Dacă aveți o părere, scrieți-ne în comentarii.
© Vadim Grebennikov, 2018
ISBN 978-5-4493-0690-6
Creat cu sistemul inteligent de publicare Ridero
1. Familia de standarde de management al securității informațiilor
1.1. Istoricul dezvoltării standardelor de management al securității informațiilor
Astăzi, securitatea spațiului digital arată o nouă cale pentru securitatea națională a fiecărei țări. În conformitate cu rolul informației ca marfă valoroasă în afaceri, protecția acesteia este cu siguranță necesară. Pentru a atinge acest obiectiv, fiecare organizație, în funcție de nivelul de informație (din punct de vedere al valorii economice), trebuie să dezvolte un sistem de management al securității informațiilor (denumit în continuare ISMS), în timp ce este posibil să își protejeze activele informaționale.
În organizațiile a căror existență depinde în mod semnificativ de tehnologia informației (denumite în continuare IT), pot fi utilizate toate instrumentele pentru protecția datelor. Cu toate acestea, securitatea informațiilor este esențială pentru consumatori, partenerii cooperanți, alte organizații și guvern. În acest sens, pentru a proteja informațiile valoroase, este necesar ca fiecare organizație să depună eforturi pentru o anumită strategie și să implementeze un sistem de securitate bazat pe aceasta.
ISMS face parte dintr-un sistem integrat de management bazat pe evaluarea și analiza riscurilor pentru dezvoltarea, implementarea, administrarea, monitorizarea, analiza, întreținerea și îmbunătățirea securității informațiilor (denumite în continuare IS) și implementarea acestuia, derivate din obiectivele și cerințele organizației. , cerințele de securitate utilizate procedurile și dimensiunea și structura organizației sale.
Originea principiilor și regulilor managementului securității informațiilor a început în Marea Britanie în anii 1980. În acei ani, Departamentul pentru Comerț și Industrie (DTI) din Marea Britanie a organizat un grup de lucru pentru a dezvolta un set de bune practici pentru asigurarea securității informațiilor.
În 1989, DTI a publicat primul standard în acest domeniu, numit PD 0003 Practici de management al securității informațiilor. Era o listă de controale de securitate considerate adecvate, normale și bune la momentul respectiv, aplicabile atât tehnologiilor, cât și mediilor vremii. Documentul „DTI” a fost publicat ca document de guvernare al British Standards System (ing. British Standard, BS).
În 1995, British Standards Institution (BSI) a adoptat standardul național BS 7799-1 „Reguli practice pentru managementul securității informațiilor”. Ea a descris 10 domenii și 127 de mecanisme de control necesare pentru a construi un Sistem de management al securității informațiilor (ISMS) bazat pe cele mai bune practici din întreaga lume.
Acest standard a devenit precursorul tuturor standardelor internaționale ISMS. Ca orice standard național, BS 7799 în perioada 1995-2000 s-a bucurat, să zicem, de popularitate moderată doar în țările Commonwealth-ului Britanic.
În 1998, a apărut a doua parte a acestui standard - BS 7799-2 „ISMS. Ghid de specificații și aplicații”, care a determinat modelul general de construire a unui ISMS și un set de cerințe obligatorii pentru conformitate cu care trebuie efectuată certificarea. Odată cu apariția celei de-a doua părți a BS 7799, care a definit ce ar trebui să fie un ISMS, a început dezvoltarea activă a unui sistem de certificare în domeniul managementului securității.
La sfârșitul anului 1999, experți de la Organizația Internațională de Standardizare (ISO) și Comisia Electrotehnică Internațională (IEC) au ajuns la concluzia că în cadrul standardelor existente nu există un standard specializat de management al securității informațiilor. În consecință, s-a decis să nu se elaboreze un nou standard, ci în acord cu BSI, luând ca bază BS 7799-1, să se adopte standardul internațional corespunzător ISO/IEC.
La sfârșitul anului 1999, ambele părți ale BS 7799 au fost revizuite și armonizate cu standardele internaționale pentru sistemele de management al calității ISO/IEC 9001 și ISO/IEC 14001 de mediu, iar un an mai târziu, fără modificări, BS 7799-1 a fost adoptat ca standardul internațional ISO / IEC 17799:2000 „Tehnologii informaționale (denumite în continuare IT). Reguli practice de management al securității informațiilor”.
În 2002, atât prima parte a BS 7799-1 (ISO/IEC 17799), cât și a doua parte a BS 7799-2 au fost actualizate.
În ceea ce privește certificarea oficială conform ISO / IEC 17799, aceasta nu a fost furnizată inițial (analogie completă cu BS 7799). A fost furnizată doar certificarea conform BS 7799-2, care a fost un set de cerințe obligatorii (nu sunt incluse în BS 7799-1), iar în anexă o listă a celor mai importante cerințe obligatorii condiționate (la latitudinea certificatorului). din BS 7799-1 (ISO/IEC 17799).
Pe teritoriul CSI, Belarus a fost prima țară care a adoptat ISO/IEC 17799:2000 ca standard național în noiembrie 2004. Rusia a introdus acest standard abia în 2007. Banca Centrală a Federației Ruse a creat pe baza sa un standard de management al securității informațiilor pentru sectorul bancar al Federației Ruse.
Ca parte a ISO/IEC, Subcomitetul Nr. 27 este responsabil pentru dezvoltarea unei familii de standarde internaționale pentru managementul securității informațiilor, prin urmare, a fost adoptată o schemă de numerotare pentru această familie de standarde folosind o serie de numere consecutive începând de la 27000 (27k). ).
În 2005, Comitetul Tehnic Comun ISO/IEC JTC 1 IT a dezvoltat standardul de certificare ISO/IEC 27001 IT. Metode de protecție. SUIB. Cerințe”, care a înlocuit BS 7799-2, iar acum certificarea este realizată conform ISO 27001.
În 2005, pe baza ISO/IEC 17799:2000, ISO/IEC 27002:2005 „IT. Metode de protecție. Cod de norme și reguli pentru managementul securității informațiilor.
La începutul anului 2006, un nou standard național britanic BS 7799-3 „ISMS. Ghid de management al riscului de securitate a informațiilor”, care în 2008 a primit statutul standardului internațional ISO/IEC 27005 „IT. Metode de protecție. Managementul riscului de securitate a informațiilor”.
În 2004, British Standards Institution a publicat ISO/IEC TR 18044 IT. Metode de protecție. Managementul incidentelor de securitate a informațiilor. În 2011, pe baza acestuia, ISO/IEC 27035 „IT. Metode de protecție. Managementul incidentelor de securitate a informațiilor.
În 2009, ISO/IEC 27000 IT. SUIB. Prezentare generală și terminologie”. Oferă o privire de ansamblu asupra sistemelor de management al securității informațiilor și definește termenii aferenti. Glosarul definițiilor formale atent formulate acoperă majoritatea termenilor specializați de securitate a informațiilor utilizați în standardele grupului ISO/IEC 27.
Pe 25 septembrie 2013 au fost publicate noi versiuni ale standardelor ISO/IEC 27001 și 27002. De atunci, standardele din seria ISO/IEC 27k (management IS) au fost complet integrate cu standardele din seria ISO/IEC 20k. (gestionarea serviciilor IT). Toată terminologia din ISO/IEC 27001 a fost mutată în ISO/IEC 27000, care definește o terminologie comună pentru întreaga familie de standarde ISO/IEC 27k.
1.2. Standardul ISO/IEC 27000-2014
Ultima actualizare a ISO/IEC 27000 „IT. SUIB. Prezentare generală și terminologie” a avut loc la 14 ianuarie 2014.
Standardul constă din următoarele secțiuni:
– introducere;
- domeniul de aplicare;
- Termeni și definiții;
– sisteme de management SI;
– o familie de standarde ISMS.
Introducere
Revizuire
Standardele internaționale ale sistemelor de management oferă un model pentru stabilirea și funcționarea unui sistem de management. Acest model include funcții asupra cărora experții au ajuns la un acord pe baza experienței internaționale acumulate în acest domeniu.
Prin utilizarea familiei de standarde ISMS, organizațiile pot implementa și îmbunătăți ISMS și se pot pregăti pentru evaluarea sa independentă aplicată pentru a proteja informații precum informațiile financiare, proprietatea intelectuală, informațiile despre personal și informațiile încredințate de clienți sau de o terță parte. Aceste standarde pot fi utilizate de o organizație pentru a pregăti o evaluare independentă a securității informațiilor ISMS.
Familia de standarde ISMS
Familia de standarde ISMS, care poartă denumirea generală „Tehnologia informației. Tehnici de securitate” (Tehnologia informației. Metode de protecție), este concepută pentru a ajuta organizațiile de orice tip și dimensiune în implementarea și funcționarea unui ISMS și constă din următoarele standarde internaționale:
– ISO/IEC 27000 ISMS. Prezentare generală și terminologie;
– ISO/IEC 27001 ISMS. Cerințe;
– ISO/IEC 27002 Cod de practică pentru managementul securității informațiilor;
– Ghid ISO/IEC 27003 pentru implementarea unui ISMS;
– ISO/IEC 27004 PIB. măsurători;
– ISO/IEC 27005 Managementul riscului de securitate a informațiilor;
– Cerințe ISO/IEC 27006 pentru organismele care furnizează audit și certificare ISMS;
– Ghid de audit ISMS ISO/IEC 27007;
– Ghid ISO/IEC TR 27008 pentru auditarea controalelor de securitate a informațiilor;
– ISO/IEC 27010 PIS pentru comunicații intersectoriale și interorganizaționale;
– Ghid ISO/IEC 27011 pentru PIS pentru organizațiile de telecomunicații bazate pe ISO/IEC 27002;
– Ghid ISO/IEC 27013 pentru implementarea integrată a ISO/IEC 27001 și ISO/IEC 20000-1;
– ISO/IEC 27014 Managementul securității informațiilor de către conducerea de vârf;
– Ghid ISO/IEC TR 27015 pentru PIS pentru servicii financiare;
– ISO/IEC TR 27016 UIB. economie organizațională;
– ISO/IEC 27035 Managementul incidentelor de securitate a informațiilor (nu este specificat în standard).
Standard internațional care nu are acest nume comun:
– ISO 27799 Informatica medicala. PEB conform ISO/IEC 27002.
Scopul standardului
Standardul oferă o imagine de ansamblu asupra ISMS și definește condițiile relevante.
Familia de standarde ISMS conține standarde care:
– definirea cerințelor pentru ISMS și certificarea unor astfel de sisteme;
– include orientări specifice industriei pentru ISMS;
– conduce evaluarea conformității cu ISMS.
1. Domeniul de aplicare
Standardul oferă o privire de ansamblu asupra ISMS și a termenilor și definițiilor utilizate în mod obișnuit în familia de standarde ISMS. Standardul este aplicabil tuturor tipurilor și dimensiunilor de organizații (de exemplu întreprinderi comerciale, agenții guvernamentale, organizații non-profit).
2. Termeni și definiții
Secțiunea conține definiții pentru 89 de termeni, de exemplu:
– Sistem informatic– aplicații, servicii, active IT și alte componente de procesare a informațiilor;
– securitatea informațiilor (IS)– menținerea confidențialității, integrității și disponibilității informațiilor;
– disponibilitate– proprietatea să fie disponibilă și gata de utilizare la solicitarea unei persoane autorizate;
– confidențialitatea- proprietatea informațiilor de a fi inaccesibile sau închisă persoanelor neautorizate;
– integritate- proprietatea de acuratețe și completitudine;
– nerepudierea- capacitatea de a certifica producerea unui eveniment sau actiune si subiectele lor creatoare;
– eveniment IS– o stare detectată a sistemului (serviciu sau rețea) care indică o posibilă încălcare a politicii sau măsurilor de securitate a informațiilor, sau o situație necunoscută anterior care poate avea legătură cu securitatea;
– incident de securitate a informațiilor– unul sau mai multe evenimente IS care, cu un grad semnificativ de probabilitate, duc la compromiterea operațiunilor de afaceri și creează amenințări la adresa IS;
– gestionarea incidentelorESTE– procese pentru detectarea, alertarea, evaluarea, răspunsul la, revizuirea și studierea incidentelor de securitate a informațiilor;
– sistem de control– un set de elemente interconectate ale unei organizații pentru a stabili politici, obiective și procese pentru a atinge acele obiective;
– monitorizarea– determinarea stării unui sistem, proces sau activitate;
– politică– intenția și direcția generală exprimate formal de conducere;
– risc– efectul incertitudinii în scopuri;
– amenințare– cauza posibilă a unui incident nedorit care ar putea cauza pagube;
– vulnerabilitate– lipsa unui activ sau a unei măsuri de securitate care poate fi exploatată de una sau mai multe amenințări.
3. Sisteme de management al securității informațiilor
Secțiunea ISMS constă din următoarele elemente principale:
– descrierea ISMS;
– implementarea, controlul, întreținerea și îmbunătățirea ISMS;
– beneficiile implementării standardelor de familie ISMS.
3.1. Introducere
Organizații de toate tipurile și dimensiunile:
– colectarea, procesarea, stocarea și transmiterea informațiilor;
– sunt conștienți de faptul că informațiile și procesele aferente, sistemele, rețelele și oamenii sunt atuuri importante pentru atingerea obiectivelor organizaționale;
– se confruntă cu o serie de riscuri care ar putea afecta performanța activelor;
– eliminarea riscului perceput prin implementarea măsurilor și instrumentelor SI.
Toate informațiile stocate și procesate de o organizație sunt supuse amenințărilor de atac, eroare, natură (de exemplu, incendiu sau inundație) și altele asemenea și sunt supuse vulnerabilităților inerente utilizării lor.
De obicei, conceptul de securitate a informațiilor se bazează pe informații care sunt considerate un bun valoros și necesită o protecție adecvată (de exemplu, împotriva pierderii disponibilității, confidențialității și integrității). Capacitatea persoanelor autorizate de a avea acces în timp util la informații exacte și complete este un catalizator pentru eficiența afacerii.
Protecția eficientă a activelor informaționale prin definirea, crearea, menținerea și îmbunătățirea securității informațiilor este o condiție prealabilă pentru ca o organizație să își atingă obiectivele, precum și să mențină și să îmbunătățească conformitatea legală și reputația. Aceste acțiuni coordonate pentru implementarea măsurilor de protecție adecvate și gestionarea riscurilor inacceptabile de securitate a informațiilor sunt cunoscute în mod obișnuit ca controale de securitate a informațiilor.
Pe măsură ce riscurile de securitate a informațiilor se modifică și eficacitatea garanțiilor ca răspuns la circumstanțe în schimbare, o organizație ar trebui:
– monitorizează și evaluează eficacitatea măsurilor și procedurilor de protecție implementate;
– identificarea riscurilor emergente pentru prelucrare;
– selectați, implementați și îmbunătățiți măsurile de protecție adecvate, după caz.
Pentru interconectarea și coordonarea activităților de securitate a informațiilor, fiecare organizație ar trebui să stabilească o politică și obiective de securitate a informațiilor și să atingă efectiv aceste obiective folosind un sistem de management.
3.2. Descrierea ISMS
Descrierea ISMS include următoarele componente:
– reglementări și principii;
- informație;
- Securitatea informațiilor;
– management;
- sistem de control;
– abordare prin proces;
– importanța ISMS.
Reglementări și principii
Un ISMS constă din politici, proceduri, linii directoare și resurse și activități aferente gestionate colectiv de o organizație pentru a obține protecția activelor sale informaționale. Un ISMS definește o abordare sistematică a creării, implementării, procesării, controlului, revizuirii, menținerii și îmbunătățirii securității informațiilor unei organizații pentru a atinge obiectivele de afaceri.
Se bazează pe o evaluare a riscurilor și pe nivelurile de risc acceptabile ale unei organizații concepute pentru a trata și gestiona eficient riscul. Analizarea cerințelor pentru protejarea activelor informaționale și aplicarea garanțiilor adecvate pentru a oferi protecția necesară acestor active contribuie la implementarea cu succes a unui ISMS.
Următoarele principii cheie contribuie la implementarea cu succes a unui ISMS:
– înțelegerea necesității unui sistem IS;
– atribuirea responsabilitatii pentru securitatea informatiilor;
– combinarea angajamentelor managementului și a intereselor părților interesate;
- creşterea valorilor sociale;
– evaluări de risc care identifică măsurile de protecție adecvate pentru a atinge niveluri acceptabile de risc;
– securitatea ca element integral al SI și al rețelelor;
– prevenirea și detectarea activă a incidentelor de securitate a informațiilor;
– asigurarea unei abordări integrate a PEB;
– reevaluarea continuă și îmbunătățirea corespunzătoare a securității informațiilor.
informație
Informația este un activ care, împreună cu alte active critice de afaceri, este importantă pentru afacerea unei organizații și, prin urmare, ar trebui protejată în mod corespunzător. Informațiile pot fi stocate într-o varietate de forme, inclusiv în formă digitală (de exemplu, fișiere de date stocate pe suport electronic sau optic), în formă tangibilă (de exemplu, hârtie), precum și în formă intangibilă sub formă de cunoștințe ale angajaților.
Informațiile pot fi transmise într-o varietate de moduri, inclusiv prin curier, comunicații electronice sau vocale. Indiferent de forma în care sunt prezentate informațiile și de modul în care sunt transmise, acestea trebuie protejate corespunzător.
În multe organizații, informația depinde de tehnologia informației și comunicațiilor. Această tehnologie este un element esențial în orice organizație și facilitează crearea, prelucrarea, stocarea, transferul, protecția și distrugerea informațiilor.
Securitatea informațiilor
Securitatea informațiilor include trei dimensiuni (proprietăți) principale: confidențialitate, disponibilitate și integritate. Securitatea informațiilor implică aplicarea și gestionarea măsurilor de securitate adecvate, care includ luarea în considerare a unei game largi de amenințări, cu scopul de a asigura succesul și continuitatea afacerii pe termen lung și de a minimiza impactul incidentelor de securitate a informațiilor.
SI se realizează prin aplicarea unui set adecvat de garanții, definite prin procesul de management al riscului și gestionate de ISMS, inclusiv politici, procese, proceduri, structuri organizaționale, software și hardware, pentru a proteja activele informaționale identificate.
Aceste garanții trebuie definite, implementate, monitorizate, testate și îmbunătățite după cum este necesar pentru a se asigura că nivelul de securitate a informațiilor este în concordanță cu obiectivele de afaceri ale organizației. Măsurile și instrumentele adecvate IS ar trebui să fie integrate perfect în procesele de afaceri ale organizației.
Control
Managementul include activități de direcționare, control și îmbunătățire continuă a organizației în cadrul structurilor corespunzătoare. Activitatea de management include acțiunile, metodele sau practicile de generare, prelucrare, dirijare, monitorizare și control al resurselor. Dimensiunea structurii de management poate varia de la o persoană în organizațiile mici până la o ierarhie de management în organizațiile mari formată din mulți oameni.
În legătură cu ISMS, managementul include monitorizarea și luarea deciziilor necesare atingerii obiectivelor de afaceri prin protecția activelor informaționale. Managementul securității informațiilor se exprimă prin formularea și utilizarea politicilor, procedurilor și liniilor directoare de securitate a informațiilor, care sunt apoi aplicate în întreaga organizație de către toți cei asociați cu aceasta.
Sistem de control
Sistemul de management folosește un set de resurse pentru a atinge obiectivele organizației. Sistemul de management al unei organizații include structură, politici, planificare, angajamente, practici, proceduri, procese și resurse.
În ceea ce privește securitatea informațiilor, sistemul de management permite organizației să:
– să îndeplinească cerințele de siguranță ale clienților și ale altor părți interesate;
- îmbunătățirea planurilor și activităților organizației;
– îndeplinirea obiectivelor IS ale organizației;
– respectă reglementările, legislația și ordinele industriei;
– gestionează activele informaționale într-o manieră organizată pentru a promova îmbunătățirea continuă și corectarea obiectivelor actuale ale organizației.
3.3. Abordarea procesuala
O organizație trebuie să conducă și să gestioneze o varietate de activități pentru a funcționa eficient și eficient. Orice activitate care utilizează resurse trebuie gestionată pentru a permite transformarea intrărilor în ieșiri printr-un set de activități interconectate - acest lucru se mai numește și proces.
Ieșirea unui proces poate forma direct intrarea următorului proces și, de obicei, această transformare are loc în condiții planificate și controlate. Aplicarea unui sistem de procese în cadrul unei organizații, împreună cu identificarea și interacțiunea acestor procese, precum și controlul acestora, pot fi definite ca „abordarea procesului”.
informatii suplimentare (nu este inclus in standard)
Fondatorul abordării prin proces a managementului calității este considerat a fi omul de știință american Walter Shewhart. Cartea lui începe prin a distinge 3 etape în managementul calității rezultatelor activităților organizației:
1) elaborarea specificațiilor (termeni de referință, specificații, criterii de realizare a obiectivelor) a ceea ce este necesar;
2) producția de produse care îndeplinesc specificațiile;
3) verificarea (controlul) produselor fabricate pentru a evalua conformitatea acestora cu caietul de sarcini.
Shewhart a fost unul dintre primii care au propus ca percepția liniară a acestor etape să fie închisă într-un ciclu, pe care l-a identificat cu „procesul dinamic de dobândire a cunoștințelor”.
După primul ciclu, rezultatele inspecției ar trebui să fie baza pentru îmbunătățirea specificațiilor produsului. În continuare, procesul de producție este ajustat pe baza specificației actualizate, iar noul rezultat al procesului de producție este din nou verificat etc.
Omul de știință american Edwards Deming a transformat ciclul Shewhart în forma cea mai des întâlnită astăzi. Acesta, pentru a trece de la controlul calității la managementul calității, a dat denumiri mai generale fiecărei etape și, în plus, a mai adăugat o etapă, etapa a 4-a, cu care a dorit să atragă atenția managerilor americani asupra faptul ca nu au analizat suficient informatiile primite.in a treia etapa informarea si nu imbunatateste procesul. De aceea, această etapă se numește „act” (Act), și, în consecință, ciclul Shewhart-Deming se numește modelul „PDCA” sau „PDSA”:
– plan – Planificare– identificarea și analiza problemelor; evaluarea oportunităților, stabilirea obiectivelor și elaborarea planurilor;
– Do – Implementarea– căutarea soluțiilor la probleme și implementarea planurilor;
– Verificare (studiu) – Evaluarea performanței- evaluarea rezultatelor implementării și a concluziilor în conformitate cu sarcina;
– act– Îmbunătăţire– luarea deciziilor pe baza constatărilor, corectarea și îmbunătățirea muncii.
Modelul „PDCA” pentru ISMS
Planificare - Implementare - Control - Îmbunătățire
1.Planificare (dezvoltare și proiectare): stabilirea de obiective, politici, controale, procese și proceduri pentru ca ISMS să obțină rezultate în concordanță cu politicile și obiectivele generale ale organizației.
2. Implementare (implementare și întreținere): implementarea și aplicarea politicilor, controalelor, proceselor și procedurilor ISMS pentru evaluarea și gestionarea riscurilor și incidentelor IS.
3. Control (monitorizarea si analiza functionarii): evaluarea eficacității îndeplinirii cerințelor politicilor, obiectivelor SI și eficacității funcționării ISMS și notificarea conducerii de vârf a rezultatelor.
4. Îmbunătățire (întreținere și îmbunătățire): luarea de acțiuni corective și preventive pe baza rezultatelor auditului și revizuirii managementului pentru a obține o îmbunătățire a ISMS
Metoda și ciclul Shewhart-Deming, care este mai des numit ciclul Deming, ilustrează de obicei schema de gestionare a oricărui proces de activitate. Până acum, cu clarificările necesare, a fost utilizat pe scară largă în standardele internaționale de management:
– calitatea produsului ISO 9000;
– protectia mediului ISO 14000;
– siguranta si protectia muncii OHSAS 18000;
– Servicii de informare ISO/IEC 20000;
– siguranta alimentelor ISO 22000;
– securitatea informațiilor ISO/IEC 27000;
– securitate ISO 28000;
– continuitatea afacerii ISO 22300;
– Riscuri ISO 31000;
– energie ISO 50000.
3.4. Importanța ISMS
O organizație ar trebui să determine riscurile asociate activelor informaționale. Realizarea securității informațiilor necesită managementul riscurilor și include riscuri fizice, umane și tehnologice legate de amenințările la adresa tuturor formelor de informații din cadrul unei organizații sau utilizate de o organizație.
Adoptarea unui ISMS este o decizie strategică pentru o organizație și este esențial ca această decizie să fie continuu integrată, evaluată și actualizată în conformitate cu nevoile organizației.
Dezvoltarea și implementarea ISMS al unei organizații este influențată de nevoile și obiectivele organizației, de cerințele de securitate, de procesele de afaceri utilizate și de dimensiunea și structura organizației. Dezvoltarea și funcționarea unui ISMS ar trebui să reflecte interesele și cerințele de securitate a informațiilor ale tuturor părților interesate din organizație, inclusiv clienților, furnizorilor, partenerilor de afaceri, acționarilor și altor terți.
Într-o lume interconectată, informațiile și procesele aferente, sistemele și rețelele sunt active esențiale. Organizațiile și sistemele și rețelele lor informaționale se confruntă cu amenințări de securitate dintr-o gamă largă de surse, inclusiv fraudă informatică, spionaj, sabotaj, vandalism și incendii și inundații. Daunele IP și ale sistemului cauzate de malware, hackeri și atacuri DoS au devenit mai comune, mai mari și mai sofisticate.
ISMS este important pentru întreprinderi atât din sectorul public, cât și din cel privat. În orice industrie, un ISMS este un instrument necesar pentru a sprijini e-business și este esențial pentru activitățile de management al riscului. Interconectarea rețelelor publice și private și schimbul de active informaționale complică gestionarea accesului la informație și prelucrarea acesteia.
În plus, proliferarea dispozitivelor mobile de stocare care conțin active de informații poate slăbi eficacitatea măsurilor tradiționale de securitate. Atunci când organizațiile adoptă o familie de standarde ISMS, capacitatea de a aplica principii de securitate a informațiilor consecvente și recunoscute reciproc poate fi demonstrată partenerilor de afaceri și altor părți interesate.
Securitatea informației nu este întotdeauna luată în considerare la crearea și dezvoltarea SI. În plus, securitatea informațiilor este adesea considerată o problemă tehnică. Cu toate acestea, securitatea informațiilor care poate fi realizată prin mijloace tehnice este limitată și poate să nu fie eficientă decât dacă este susținută de controale și proceduri adecvate în contextul unui ISMS. Încorporarea unui sistem de securitate într-un IC complet funcțional poate fi complexă și costisitoare.
ISMS implică identificarea garanțiilor disponibile și necesită o planificare atentă și atenție la detalii. De exemplu, măsurile de control al accesului, care pot fi tehnice (logice), fizice, administrative (management) sau o combinație a acestora, asigură că accesul la activele informaționale este autorizat și restricționat pe baza cerințelor de afaceri și de securitate a informațiilor.
Aplicarea cu succes a unui ISMS este importantă pentru protejarea activelor informaționale, deoarece permite:
– sporirea asigurării că activele informaționale sunt protejate în mod adecvat în mod continuu împotriva amenințărilor la securitatea informațiilor;
– menține un sistem structurat și cuprinzător de evaluare a amenințărilor SI, selectarea și aplicarea măsurilor de protecție adecvate, măsurarea și îmbunătățirea eficacității acestora;
– îmbunătățirea continuă a mediului de management al organizației;
– Respectați în mod efectiv cerințele legale și de reglementare.
3.5. Implementarea, controlul, întreținerea și îmbunătățirea ISMS
Implementarea, controlul, întreținerea și îmbunătățirea ISMS sunt etape operaționale în dezvoltarea ISMS.
Etapele operaționale ale ISMS sunt determinate de următoarele componente:
- Dispoziții generale;
– cerințe IS;
sunt factorii decisivi pentru succesul unui ISMS.
Etapele operaționale ale ISMS prevăd următoarele activități:
– evaluarea riscului IS;
– tratamentul riscului IS;
– selectarea și implementarea măsurilor de protecție;
– controlul și întreținerea ISMS;
- imbunatatire continua.
Dispoziții generale
Organizația trebuie să ia următorii pași pentru a implementa, controla, menține și îmbunătăți ISMS:
– definirea activelor informaționale și a cerințelor aferente de securitate a informațiilor;
– evaluarea și tratarea riscurilor IS;
– selectarea și punerea în aplicare a garanțiilor adecvate pentru gestionarea riscurilor inacceptabile;
– controlul, întreținerea și îmbunătățirea eficacității măsurilor de protecție aferente activelor informaționale ale organizației.
Pentru a se asigura că ISMS protejează în mod eficient activele informaționale ale organizației în mod continuu, este necesar să se repete în mod continuu toți pașii pentru a detecta schimbările de risc sau strategia organizației sau obiectivele de afaceri.
Cerințe de securitate a informațiilor
În cadrul strategiei generale ale organizației și obiectivelor de afaceri, dimensiunea și distribuția geografică, cerințele de securitate a informațiilor pot fi determinate prin înțelegerea:
– activele informaționale și valorile acestora;
– nevoile afacerii în lucrul cu informații;
– cerințe legale, de reglementare și contractuale.
Efectuarea unei evaluări metodice a riscurilor asociate activelor informaționale ale organizației include o analiză a:
– amenințări la adresa bunurilor;
– vulnerabilitățile activelor;
- probabilitatea de materializare a amenintarii;
– impactul posibil al unui incident de securitate a informațiilor asupra activelor.
Costul garanțiilor adecvate ar trebui să fie proporțional cu impactul anticipat al materializării riscului asupra afacerii.
Evaluarea riscului de securitate a informațiilor
Managementul riscului de securitate a informațiilor necesită o metodă adecvată de evaluare și tratare a riscurilor, care poate include o evaluare a costurilor și beneficiilor, cerințelor legale, preocupărilor părților interesate și alte intrări și variabile.
Evaluările riscurilor ar trebui să identifice, să măsoare și să prioritizeze riscurile, ținând cont de criteriile de acceptare a riscurilor și de obiectivele organizației. Rezultatele vor ajuta la dezvoltarea și luarea deciziilor de management adecvate pentru acțiunea și prioritizarea managementului riscului de securitate a informațiilor și implementarea măsurilor de protecție selectate pentru a proteja împotriva acestor riscuri.
Evaluarea riscurilor ar trebui să includă o abordare sistematică a evaluării amplorii riscurilor (analiza riscurilor) și un proces de comparare a riscurilor evaluate cu criteriile de risc pentru a determina severitatea riscurilor (evaluarea riscurilor).
Evaluările riscurilor ar trebui efectuate periodic pentru a aduce modificări cerințelor de securitate a informațiilor și situațiilor de risc, de exemplu, active, amenințări, vulnerabilități, impacturi, evaluări ale riscurilor și în cazul unor modificări semnificative. Aceste evaluări ale riscurilor ar trebui efectuate metodic pentru a asigura rezultate comparabile și reproductibile.
O evaluare a riscului de securitate a informațiilor ar trebui să definească în mod clar domeniul de aplicare pentru a fi eficientă și să conțină interacțiuni cu evaluările riscurilor din alte domenii, acolo unde este posibil.
Standardul ISO/IEC 27005 oferă îndrumări privind gestionarea riscului de securitate a informațiilor, inclusiv recomandări pentru evaluarea, procesarea, acceptarea, alertarea, monitorizarea și analiza riscului.
Tratamentul riscului de securitate a informațiilor
Înainte de a lua în considerare tratamentul riscului, o organizație ar trebui să stabilească criterii pentru a determina dacă riscurile pot fi acceptate sau nu. Riscurile pot fi acceptate dacă riscul este scăzut sau costul tratamentului nu este rentabil pentru organizație. Astfel de decizii ar trebui înregistrate.
Pentru fiecare risc identificat prin evaluarea riscului, trebuie luată o decizie de tratament. Opțiunile posibile de tratament a riscurilor includ:
– aplicarea măsurilor de protecție adecvate pentru atenuarea riscurilor;
– asumarea conștientă și obiectivă a riscurilor în strictă conformitate cu politica organizației și cu criteriile de acceptare a riscurilor;
– prevenirea riscurilor prin eliminarea acțiunilor care duc la apariția riscurilor;
– partajarea riscurilor asociate cu alte părți, cum ar fi asigurătorii sau furnizorii.
Ar trebui selectate și implementate măsuri adecvate de protecție împotriva acelor riscuri pentru care se decide aplicarea acestora în scopul tratării riscurilor.
Selectarea și implementarea măsurilor de protecție
Alexander Astakhov, CISA, 2006
Introducere
Pentru multe companii rusești, a sosit momentul să se gândească la managementul securității - infrastructura IT a multora dintre ele a atins un nivel care necesită o coordonare bine stabilită. La construirea unui sistem de management al securității (ISMS), experții recomandă să se bazeze pe standardele internaționale ISO/IEC 27001/17799.
Managerul este obligat să controleze situația în organizația sa, departamentul, proiectul și în relațiile cu clienții. Aceasta înseamnă să fii conștient de ceea ce se întâmplă, să fii conștient de toate situațiile de urgență în timp util și să ai o idee despre ce acțiuni vor trebui întreprinse într-un caz sau altul. Există mai multe niveluri de management într-o organizație, de la manageri de top până la performeri specifici, iar la fiecare nivel situația trebuie să rămână sub control. Cu alte cuvinte, ar trebui construită verticala a proceselor de management și management.
Sistemul de management al securității informațiilor - ce este?
Managementul securității informațiilor este un proces ciclic, care include conștientizarea gradului de necesitate de a proteja informațiile și stabilirea de obiective; colectarea și analiza datelor privind starea securității informațiilor în organizație; evaluarea riscurilor informaționale; planificarea măsurilor de tratare a riscurilor; implementarea și implementarea mecanismelor de control adecvate, repartizarea rolurilor și responsabilităților, pregătirea și motivarea personalului, munca operațională pentru implementarea măsurilor de protecție; monitorizarea funcționării mecanismelor de control, evaluarea eficacității acestora și acțiunile corective adecvate.
Conform ISO 27001, un sistem de management al securității informațiilor (ISMS) este „acea parte a sistemului de management general al unei organizații, bazat pe evaluarea riscurilor de afaceri, care creează, implementează, operează, monitorizează, revizuiește, menține și îmbunătățește securitatea informațiilor”. Sistemul de management include structura organizațională, politicile, planificarea, responsabilitățile postului, practicile, procedurile, procesele și resursele.
Crearea și funcționarea unui ISMS necesită aceeași abordare ca orice alt sistem de management. Modelul de proces utilizat în ISO 27001 pentru a descrie ISMS prevede un ciclu continuu de activități: planificare, implementare, verificare, acțiune (PRAP).
Aplicarea modelului PRP la procesele ISMS
Procesul de îmbunătățire continuă necesită de obicei o investiție inițială: documentarea activităților, formalizarea abordării managementului riscului, definirea metodelor de analiză și alocarea resurselor. Aceste măsuri sunt folosite pentru a pune ciclul în mișcare. Ele nu trebuie să fie finalizate înainte ca etapele de revizuire să fie activate.
Etapa de planificare asigură că contextul și domeniul de aplicare al ISMS sunt corect stabilite, riscurile de securitate a informațiilor sunt evaluate și este propus un plan adecvat pentru gestionarea acestor riscuri. La rândul lor, în etapa de implementare, deciziile adoptate care au fost identificate în etapa de planificare sunt implementate. Etapele de revizuire și acțiune consolidează, corectează și îmbunătățesc soluțiile de securitate care au fost deja identificate și implementate.
Inspecțiile pot fi efectuate în orice moment și cu orice frecvență, în funcție de situația specifică. În unele sisteme, acestea trebuie să fie integrate în procese automatizate pentru a asigura execuția și răspunsul imediat. Pentru alte procese, răspunsul este necesar doar în cazul unor incidente de securitate, atunci când au fost făcute modificări sau completări la resursele de informații protejate, precum și atunci când au intervenit modificări ale amenințărilor și vulnerabilităților. Sunt necesare revizuiri sau audituri anuale sau de altă natură periodică pentru a se asigura că sistemul de management în ansamblu își atinge obiectivele.
Una dintre opțiunile pentru structura organizatorică a ISMS
Conducerea organizației emite o politică de securitate care introduce conceptul de ISMS și proclamă obiectivele sale principale: managementul continuității afacerii și managementul securității. În fruntea ISMS se află Directorul de Securitate Informațională, care prezidează Comitetul Director pentru Securitatea Informației, un organism colegial menit să abordeze probleme strategice legate de furnizarea de securitate a informațiilor. Chief Information Officer este responsabil pentru toate procesele de management al securității informațiilor, care includ: managementul incidentelor și monitorizarea securității, managementul schimbărilor și controlul securității, infrastructura de securitate (politici, standarde, instrucțiuni, proceduri, planuri și programe), managementul riscurilor, controlul conformității, instruire (program de conștientizare).
Crearea unei astfel de structuri de guvernare este scopul implementării ISO 27001/17799 într-o organizație. Unul dintre principiile principale aici este „angajamentul de management”. Aceasta înseamnă că o astfel de structură poate fi creată doar de conducerea companiei, care alocă funcții, responsabilități și controlează îndeplinirea atribuțiilor. Cu alte cuvinte, managementul organizației construiește o verticală adecvată de putere, sau mai degrabă o modifică pe cea existentă pentru a răspunde nevoilor de securitate ale organizației. ISMS poate fi creat doar de sus în jos.
Un alt principiu fundamental este implicarea în procesul de asigurare a securității informaționale a tuturor angajaților organizației care se ocupă de resursele informaționale – „de la director la curățenie”. Lipsa de conștientizare a anumitor persoane care lucrează cu informații, lipsa unui program de instruire în securitatea informațiilor este unul dintre principalele motive pentru inoperabilitatea sistemelor de control specifice.
Nu mai puțin important este faptul că orice planificare a activităților de securitate a informațiilor ar trebui să se bazeze pe evaluarea riscurilor. Absența proceselor de management al riscului în organizație duce la inadecvarea deciziilor luate și la cheltuieli nejustificate. Cu alte cuvinte, evaluarea riscurilor este fundația pe care se sprijină un arbore ISMS bine proporționat.
Un principiu la fel de fundamental este „implementarea și susținerea ISMS în mod personal”. Implicarea consultanților externi în toate etapele de implementare, operare și îmbunătățire a ISMS este în multe cazuri justificată. Mai mult, acesta este unul dintre mecanismele de control descrise în ISO 17799. Cu toate acestea, crearea unui ISMS de către consultanți externi este imposibilă prin definiție, deoarece ISMS este un ansamblu de structuri organizatorice format din managementul unei organizații și procese implementate de către angajații acesteia care sunt corespunzător conștienți de responsabilitățile lor și sunt instruiți în abilități de manipulare și protecție a informațiilor. ISMS costă mulți bani, dar nicio sumă de bani nu poate cumpăra experiență și cunoștințe.
Certificare sau nu?
Procedura de certificare voluntară este utilizată pentru a confirma conformitatea ISMS existentă a organizației cu cerințele standardului, precum și adecvarea acestuia la riscurile de afaceri existente. Deși te poți descurca fără el, în cele mai multe cazuri certificarea justifică pe deplin investiția și timpul.
În primul rând, înregistrarea oficială a ISMS al organizației în registrul organismelor de renume, precum UK Accreditation Service (UKAS), care întărește imaginea companiei, crește interesul potențialilor clienți, investitori, creditori și sponsori.
În al doilea rând, ca urmare a certificării de succes, sfera de activitate a companiei este extinsă prin obținerea oportunității de a participa la licitații și de a dezvolta afaceri la nivel internațional. În domeniile cele mai sensibile la nivelul de securitate a informațiilor, cum ar fi finanțele, de exemplu, prezența unui certificat de conformitate cu ISO 27001 începe să acționeze ca o cerință obligatorie pentru desfășurarea activităților. Unele companii rusești se confruntă deja cu aceste restricții.
De asemenea, este foarte important ca procedura de certificare să aibă un efect motivant și mobilizator serios asupra personalului companiei: crește nivelul de conștientizare a angajaților, sunt identificate și eliminate mai eficient deficiențele și inconsecvențele din sistemul de management al securității informațiilor, ceea ce înseamnă pe termen lung. o reducere a prejudiciului statistic mediu din incidente de securitate pentru organizație, precum și reducerea costurilor generale pentru operarea sistemelor informaționale. Este foarte posibil ca deținerea unui certificat să facă posibilă asigurarea riscurilor informaționale ale organizației în condiții mai favorabile.
După cum arată practica curentă, costurile certificării conform BS7799 în cele mai multe cazuri sunt incomparabil de mici în comparație cu costurile organizației pentru asigurarea securității informațiilor, iar beneficiile rezultate le compensează de multe ori.
Trebuie subliniat faptul că organizația primește toate aceste beneficii doar dacă este un sistem de certificare recunoscut internațional care asigură calitatea corespunzătoare a muncii și fiabilitatea rezultatelor.
Pregătirea pentru certificare
Pregătirea unei organizații pentru certificarea ISO 27001 este un proces destul de lung și laborios. În general, include șase etape consecutive, care sunt realizate de organizație, de obicei cu ajutorul consultanților externi.
În prima etapă, se efectuează un audit preliminar al ISMS, în timpul căruia se evaluează starea actuală, se realizează un inventar și o documentare a tuturor componentelor principale ale ISMS, se determină sfera și limitele certificării și un sunt efectuate un număr de acțiuni pregătitoare necesare. Pe baza rezultatelor auditului, este elaborat un plan de acțiune detaliat pentru pregătirea certificării.
În a doua etapă, se realizează o evaluare a riscului informațional, al cărei scop principal este de a determina aplicabilitatea controalelor descrise în standard în această organizație specială, pregătirea unei declarații de aplicabilitate și a unui plan de tratare a riscurilor.
În a treia etapă, se efectuează o analiză a discrepanțelor cu cerințele standardului, în urma căreia se evaluează starea actuală a controalelor din organizație și se identifică discrepanțe cu declarația de aplicabilitate.
În etapele ulterioare se realizează planificarea și implementarea mecanismelor de control lipsă, pentru fiecare dintre acestea fiind elaborate o strategie și un plan de implementare. Lucrările privind implementarea mecanismelor de control includ trei componente principale: instruirea angajaților organizației: educație, formare, conștientizare; pregătirea documentației ISMS: politici, standarde, proceduri, reglementări, instrucțiuni, planuri; întocmirea dovezilor de funcționare a ISMS: rapoarte, protocoale, comenzi, înregistrări, jurnalele de evenimente etc.
În etapa finală, se efectuează pregătirile pentru auditul de certificare: se analizează starea ISMS, se evaluează gradul de pregătire a acestuia pentru certificare, se precizează sfera și limitele certificării și se poartă negocieri adecvate cu auditorii de organismul de certificare. Recomandări detaliate pentru stabilirea unui ISMS și pregătirea pentru certificare sunt conținute în seria de documente de orientare BSI BIP 0071-0073.
Puncte de poticnire
În procesul de implementare a unui ISMS, există multe piedici de poticnire. Unele dintre ele sunt legate de încălcarea principiilor fundamentale ale managementului securității descrise mai sus. Dificultăți serioase pentru organizațiile rusești se află în domeniul legislativ. Incompletitudinea și inconsecvența legislației ruse actuale, caracterul său prohibitiv în utilizarea criptografiei și în multe alte domenii, precum și lipsa de reglementare a sistemului de certificare a securității informațiilor, complică serios îndeplinirea uneia dintre principalele cerințe ale standard - conformitatea cu legislatia in vigoare.
Sursa dificultăților este adesea definirea incorectă a domeniului și limitelor ISMS. Interpretarea prea largă a domeniului de aplicare a ISMS, de exemplu, includerea în acest domeniu a tuturor proceselor de afaceri ale organizației, reduce semnificativ probabilitatea de finalizare cu succes a proiectului de implementare și certificare a ISMS.
Este la fel de important să înțelegem unde se află limitele ISMS și cum se leagă acesta cu alte sisteme și procese de management ale organizației. De exemplu, sistemul de management al securității informațiilor și sistemul de management al continuității afacerii (BCM) al unei organizații se intersectează îndeaproape. Acesta din urmă este una dintre cele 11 zone de control al securității informațiilor definite de standard. Cu toate acestea, ISMS include doar acea parte a BCM care este legată de securitatea informațiilor - aceasta este protecția proceselor de afaceri critice ale organizației de defecțiuni majore și accidente ale sistemelor informaționale. Alte aspecte ale BCM sunt în afara domeniului de aplicare al ISMS.
Standard - o garanție de siguranță
Astăzi, organizarea muncii unei companii serioase și eficiente care se pretinde a avea succes se bazează în mod necesar pe tehnologiile informaționale moderne. Prin urmare, companiile de orice dimensiune ar trebui să acorde atenție standardelor de management al securității informațiilor. De regulă, problemele legate de managementul securității informațiilor sunt cu atât mai relevante, cu cât compania este mai mare, cu atât amploarea activităților și a revendicărilor sale de dezvoltare este mai largă și, ca urmare, cu atât dependența sa de tehnologia informației este mai mare.
Utilizarea standardelor internaționale de management al securității informațiilor ISO 27001/17799 face posibilă simplificarea semnificativă a creării, exploatării și dezvoltării unui ISMS. Cerințele de reglementare și condițiile de piață obligă organizațiile să aplice standarde internaționale atunci când elaborează planuri și politici de securitate a informațiilor și să-și demonstreze angajamentul prin audituri și certificări de securitate a informațiilor. Respectarea cerințelor standardului oferă anumite garanții că organizația are un nivel de bază de securitate a informațiilor, ceea ce are un impact pozitiv asupra imaginii companiei.
SISTEM DE CERTIFICARE VOLUNTARA
„COMUNICARE – EFICIENȚĂ”
ROSS RU.M821.04FBG0
Sistem de management al securității informațiilor „Nivelul de bază al securității informațiilor operatorilor de telecomunicații”
Cerințe, program și metodologia testelor de certificare
1 Introducere 1
2 Domeniul de aplicare 2
4.2 Cerințe pentru politicile operatorului 5
4.3.Cerințe pentru funcționalitate 6
4.4. Cerințe de interoperabilitate 7
5 Programul de testare a certificării 7
5.1. Obiectul de testare 7
5.2. Obiectivul testului 7
6 Procedura de efectuare a testelor de certificare 8
6.1. Condiții de testare 8
6.2. Metoda de testare 9
1. Introducere
Cerințele pentru Sistemul de management al securității informațiilor „Nivelul de bază al securității informaționale a operatorilor de telecomunicații” (denumit în continuare Cerințe) determină nivelul de bază al securității informațiilor, cu ajutorul căruia fiecare operator poate evalua starea securității rețelei și a informațiilor, luând în considerare luați în considerare standardele de securitate relevante, care dintre aceste standarde ar trebui utilizate, când ar trebui utilizate și cum ar trebui aplicate. În plus, disponibilitatea și capacitatea operatorului de telecomunicații de a interacționa cu alți operatori, utilizatori și agenții de aplicare a legii în este descrisă scopul de a contracara în comun amenințările la adresa securității informațiilor.
Cerințele sunt un set minim de recomandări, a căror implementare va garanta un nivel adecvat de securitate a informațiilor a serviciilor de comunicații, permițând în același timp asigurarea unui echilibru între interesele operatorilor, utilizatorilor și autorității de reglementare.
Programul și metodologia determină toate tipurile, condițiile, domeniul de aplicare și metodele testelor de certificare a nivelului de bază al securității informaționale a operatorilor de telecomunicații.
Acest document poate fi folosit pentru cazurile în care operatorul de telecomunicații:
trebuie să-și demonstreze capacitatea de a furniza servicii de comunicații care îndeplinesc cerințele stabilite;
își propune să demonstreze operatorilor de telecomunicații cooperanți capacitatea și disponibilitatea de a contracara în comun amenințările la adresa securității informațiilor.
2 Domeniul de aplicare
Aceste Cerințe, program și metodologie au fost elaborate în conformitate cu Reglementările privind sistemul de certificare voluntară „Comunicare – Eficiență” pe baza Recomandărilor sectorului de standarde ale Uniunii Internaționale de Telecomunicații (ITU-T) Seria X, Anexa 2, „X. Seria 800-X849 ITU-T - Anexă privind nivelul de bază al securității informaționale a operatorilor de telecomunicații.
Aceste Cerințe, program și metodologie au fost elaborate pentru sistemul de certificare voluntară și sunt destinate operatorilor de telecomunicații, centrelor de certificare și laboratoarelor pe perioada certificării voluntare a Sistemului de management al securității informațiilor „Nivel de bază de securitate a informațiilor operatorilor de telecomunicații” în sistemul de certificare voluntară” Comunicare – Eficiență”.
3 Referințe normative, definiții și abrevieri
3.1. Referințele la următoarele documente de reglementare sunt utilizate în aceste cerințe, program și metodologie:
Legea federală din 27 iulie 2006 nr. Nr. 149-FZ „Despre informaţie, tehnologii informaţionale şi protecţia informaţiei”.
Doctrina Securității Informaționale a Federației Ruse din 09 septembrie 2000 Nr. Pr-1895.
Reguli pentru conectarea rețelelor de telecomunicații și interacțiunea acestora (aprobat prin Decretul Guvernului Federației Ruse din 28 martie 2005, N 161).
GOST R 50739-95 Facilități informatice. Protecție împotriva accesului neautorizat la informații. Cerințe tehnice generale.
GOST R 52448-2005 Securitatea informațiilor. Asigurarea securității rețelelor de telecomunicații. Dispoziții generale.
GOST R ISO/IEC 15408-2002 Tehnologia informației. Metode și mijloace de asigurare a securității. Criterii de evaluare a securității tehnologiei informației.
GOST R ISO/IEC 27001-2006 Metode de asigurare a securității informațiilor. Sisteme de management al securității informațiilor. Cerințe.
OST 45.127-99. Sistemul de securitate a informațiilor al rețelei de comunicații interconectate a Federației Ruse. Termeni și definiții.
Recomandarea sectorului standardelor Uniunii Internaționale de Telecomunicații (ITU-T), Seria X, Anexa 2, „Seria ITU-T X.800-X849 - Anexă de referință privind securitatea informațiilor pentru operatori de telecomunicații”.
3.2. În aceste cerințe, programul și metodologia, termenii corespunzători definițiilor Legii federale „Cu privire la comunicații” sunt utilizați, iar următorii termeni și abrevieri sunt definiți suplimentar:
Cont- un cont personal de utilizator al sistemului informatic, echipamentul software, inclusiv numele de utilizator (login), caracteristicile sale individuale ascunse (parola) și alte informații necesare pentru a obține acces.
Program antivirus- software special conceput pentru a detecta și dezactiva (bloca) codul rău intenționat special creat pentru a încălca integritatea, disponibilitatea și confidențialitatea datelor.
Atacul de refuzare a serviciului- impactul deliberat asupra unui sistem informatic sau echipament pentru a crea condiții în care utilizatorii legitimi nu pot accesa resursele furnizate de sistem sau echipament sau un astfel de acces va fi dificil.
Securitatea informațională a operatorului de telecomunicații- starea de protecție a resurselor informaționale ale operatorului de telecomunicații și a infrastructurii care le susține împotriva impacturilor accidentale sau intenționate de natură naturală sau artificială, prejudiciate operatorului de telecomunicații, utilizatorilor serviciilor de comunicații și caracterizate prin capacitatea de a asigura confidențialitatea, integritatea și disponibilitatea informațiilor în timpul stocării, prelucrării și transmiterii acestora.
Acord de licențiere– un acord între proprietarul software-ului și utilizatorul copiei acestuia
operator de telecomunicatii - o entitate juridică sau un antreprenor individual care furnizează servicii de comunicare pe baza unei licențe corespunzătoare.
Politica de securitate a transportatorului– un set de politici de securitate documentate, proceduri, practici sau linii directoare care trebuie urmate de un operator de telecomunicații.
Furnizor de servicii- o entitate juridică angajată în furnizarea (livrarea) de servicii de comunicații de un anumit tip către un abonat și care asigură utilizarea coordonată a capabilităților de rețea asociate acestor servicii.
Spam- corespondența nesolicitată transmisă electronic (de regulă, prin e-mail).
Managementul riscurilor- procesul de identificare, control, reducere sau eliminare completă (la un cost acceptabil) a riscurilor de securitate a informațiilor care pot afecta sistemele informaționale ale operatorului de telecomunicații și infrastructura care le susține.
