Управление информационной безопасност ью
Скачать 2.74 Mb.
|
Защита записей Мера и средство контроля и управления Записи должны быть защищены от потери, уничтожения, фальсификации, неавторизованного доступа и неавторизованного релиза, в соответствии с законодательными, нормативными, договорными и бизнес-требованиями. Рекомендация по реализации Необходимо предпринимать следующее: - разработать рекомендации в отношении сроков, порядка хранения и обработки, а также уничтожения записей; - составить график хранения с указанием записей и периода, в течение которого их необходимо хранить; - поддерживать ведение учета источников получения записей; - необходимо внедрить соответствующие меры и средства защиты записей от потери, разрушения и фальсификации. Конфиденциальность и защита персональных данных Мера и средство контроля и управления Конфиденциальность и защита персональных данных должна быть обеспечена в соответствии с требованиями соответствующего законодательства. Рекомендация по реализации Необходимо разработать и внедрить политику организации в отношении обеспечения конфиденциальности и защиты персональных данных. Эта политика должна быть доведена до сведения всех лиц, участвующих в обработке персональных данных. Соблюдение указанной политики и всех применимых требований законодательных и нормативных актов по защите персональных данных подразумевает наличие соответствующей структуры управления и контроля. Как правило. это достигается путем назначения должностного лица, отвечающего за защиту персональных данных, которое должно предоставить инструкции руководителям среднего звена, пользователям и поставщикам услуг в отношении их персональной ответственности и специальных процедур, обязательных для выполнения. Обеспечение ответственности за обработку персональных данных и осведомленности о принципах их защиты должно осуществляться в соответствии с требованиями законодательных и нормативных актов. Регулирование криптографических средств контроля Мера и средство контроля и управления Криптографические средства контроля должны использоваться в соответствии со всеми соответствующими соглашениями, законодательством и правилами. Рекомендация по реализации Следующие вопросы необходимо рассматривать в отношении соблюдения соответствующих нормативных актов: - ограничения на импорт и (или) экспорт криптографических средств контроля; - ограничения на импорт и (или) экспорт технических средств, в которых реализованы криптографические функции контроля; - ограничения на использование шифрования данных; - методы доступа государственных органов к информации, зашифрованной с помощью программно-аппаратных средств обеспечения конфиденциальности и защиты персональных данных. 14.2. Пересмотр (аудит) ИБ Цель: Убедиться, что ИБ внедрена и управляется в соответствии с организационной политикой и процедурами. Независимый пересмотр (аудит) ИБ Мера и средство контроля н управления Подход организации к УИБ и ее внедрению (т.е. управление целями, элементами управления, политикой, процессами и процедурами по ИБ) должен независимо пересматриваться через запланированные интервалы или когда происходят значительные изменения. Рекомендация по реализации Независимый аудит должен инициироваться руководством. Он необходим для обеспечения уверенности в сохраняющейся работоспособности, адекватности и эффективности подхода организации к УИБ. Аудит должен включать в себя оценку возможностей улучшения и необходимость изменений подхода к безопасности, в том числе политику и цели управления. Аудит должен осуществляться специалистами, не работающими в рассматриваемой области деятельности, например службой внутреннего аудита или сторонней организацией, специализирующейся на таких проверках. Специалисты, привлекаемые к таким проверкам, должны обладать соответствующими навыками и опытом. Результаты аудита должны регистрироваться и сообщаться руководству, инициировавшему проверку. Эти отчеты необходимо сохранять для возможного последующего использования. Если в результате аудита устанавлено, что подходы организации и реализация УИБ неадекватны или не соответствуют направлению ИБ, изложенному в документе, содержащем политику ИБ, руководству следует рассмотреть соответствующие корректирующие действия. Соответствие политикам безопасности и стандартам Мера и средство контроля и управления Менеджеры должны регулярно проводить пересмотр соответствия обработки информации и процедур в пределах своей ответственности в соответствии с политиками безопасности, стандартами и другими требованиями безопасности. Рекомендация по реализации Если в результате проведения анализа было выявлено какое-либо несоответствие, менеджерам следует: - определить причины несоответствия; - оценить необходимость действий с целью обеспечения уверенности в том, что несоответствие не повторится; - определить и реализовать соответствующее корректирующее действие; - проанализировать предпринятое корректирующее действие. Проверка соответствия техническим требованиям Мера и средство контроля и управления Информационные системы должны регулярно пересматриваться на предмет соответствия политики ИБ организации. Рекомендация по реализации Проверку соответствия ИС техническим требованиям должен осуществлять опытный инженер вручную и (или) с помощью автоматизированных инструментальных средств, которые генерируют технический отчет для последующего анализа техническим специалистом. Если проводится тестирование на проникновение или оценка уязвимостей, следует соблюдать осторожность, поскольку такие действия могут привести к компрометации безопасности системы. Такие тесты должны быть спланированы и документально оформлены. Контрольные вопросы 1. Что включает в себя каждая основная категория безопасности? 2. Какими мероприятиями документируется политика ИБ? 3. Каким образом должна пересматриваться политика ИБ? 4. Какими мерами осуществляется внутренняя организация? 5. Какие меры осуществляются перед приемом на работу? 6. Какие меры осуществляются во время работы? 7. Какие меры обеспечивают ответственность за активы? 8. Какие меры обеспечивают классификацию информации? 9. Какие меры обеспечивают использование носителей информации? 10. Какие меры включают в себя требования по управлению доступом? 11. Какие меры обеспечивают управление доступом пользователей? 12. Какие меры обеспечивают управление доступом к системе и приложениям? 13. Какие меры обеспечивают управление средствами криптографии? 14. Какие меры включает в себя раздел «Зоны безопасности»? 15. Какие меры обеспечивают безопасность оборудования? 16. Какие меры обеспечивают политику чистого рабочего стола и экрана? 17. Какие меры обеспечивают безопасность при обработке информации? 18. Какие меры включает в себя раздел «Логи и мониторинг»? 19. Какие меры обеспечивают управление техническими уязвимостями? 20. Какие меры обеспечивают управление сетевой безопасностью? 21. Какие меры обеспечивают безопасность передачи информации? 22. Какие меры включают в себя требования безопасности к ИС? 23. Какие меры обеспечивают ИБ при взаимоотношении с поставщиками? 24. Какие меры обеспечивают управление поставками? 25. Какие меры обеспечивают управление инцидентами ИБ? 26. Какие меры обеспечивают непрерывность ИБ? 27. Какие меры обеспечивают соответствие законодательным и договорным требованиям? 28. Какие меры обеспечивают пересмотр (аудит) ИБ? |
Похожие:
 | «Аверс: Управление организацией дополнительного образования», предоставляемой в электронном виде, ООО цит «Аверс» Группы Компаний... |  | Название информационной системы «1С: Зарплата и управление персоналом 8 корп.» В рамках внедрения данной системы необходимо провести... |
| Заказчик, указанный в информационной карте (п 27. 4), намерен заключить с победителем запроса предложений договор, предмет которого... | | Информационное взаимодействие Системы «Парус» с Единой информационной системой в сфере закупок (далее – еис, оос, портал закупок... |
| Настоящий регламент описывает операции по планированию, учету и контролю контингента студентов при работе с модулем «Управление контингентом... | | Предмет открытого запроса котировок, указан в пункте 2 информационной карты документации (далее – информационной карты) |
| В целях развития и внедрения Территориальной информационной системы Томской области создать рабочую группу по внедрению и развитию... | | Территориальное управление Федерального агентства по управление государственным имуществом в Амурской области |
| Инструкции. Указанные электронные документы подаются одновременно в срок, указанный в информационной карте аукционной заявки (далее... | | В первой половине информационной кампании упор должен быть сделан на информацию о направлении и получении налогового уведомления.... |