ISO/EIC 17799:2000
6.2 Обучение пользователей
Цель: Гарантировать, что пользователи сведущи в вопросах информационной безопасности и имеют необходимые навыки для поддержки политики безопасности организации в ходе обычной работы.
Пользователи должны быть обучены процедурам, связанным с безопасностью, и правильным методам работы со средствами обработки информации – это уменьшит вероятность нарушения безопасности.
6.2.1 Обучение и подготовка в области информационной безопасности
Все сотрудники организации (а при необходимости и сторонние пользователи) должны пройти соответствующую подготовку в области политики и процедур, принятых в организации. Периодически следует проводить переподготовку пользователей. Курс подготовки должен содержать сведения о требованиях к безопасности, ответственности перед законом и принятых в организации методах работы, а также инструкции по правильному использованию средств обработки информации, например, о процедуре входа в систему и работе с программным обеспечением. Такой курс необходимо проводить перед тем, как сотрудникам будет предоставлен доступ к информации или сервисам.
6.3 Реакция на инциденты и сбои в работе
Цель: Уменьшение ущерба от инцидентов и сбоев в работе; отслеживание подобных инцидентов и получение опыта на их основе.
Информацию об инцидентах, связанных с нарушением безопасности, следует максимально быстро распространять среди руководства по соответствующим каналам.
Все сотрудники и подрядчики должны быть знакомы с процедурами уведомления о различных типах инцидентов (уязвимостях, атаках и сбоях), которые могут повлиять на безопасность ресурсов организации. В их обязанности должна входить максимально быстрая передача информации о выявленных или подозреваемых инцидентах соответствующим лицам. В организации необходимо принять систему дисциплинарных взысканий, применяемых к лицам, по вине которых произошло нарушение безопасности. Для принятия необходимых мер может потребоваться как можно скорее собрать улики сразу же после инцидента (см. раздел 12.1.7).
6.3.1 Уведомление об инцидентах
Информацию об инцидентах следует максимально быстро распространять среди руководства по соответствующим каналам.
Необходимо утвердить формальную процедуру уведомления, а также процедуру реакции на инциденты, включающую в себя действия, которые должны выполняться при поступлении сообщения об инциденте. Все сотрудники и подрядчики должны быть знакомы с процедурой уведомления об инцидентах, а в их обязанности должна входить максимально быстрая передача информации о таких инцидентах. Необходимо также реализовать процесс обратной связи, позволяющий сотрудникам, сообщившим об инциденте, узнать о результатах после принятия соответствующих мер. Описание возникших инцидентов можно включить в программу подготовки пользователей (см. раздел 6.2), чтобы проиллюстрировать, что может произойти, как нужно реагировать на подобные инциденты и как избежать их в будущем (см. также раздел 12.1.7).
26 |
© ISO/EIC 2000 |
|
© Перевод компании Информзащита 2004 |
ISO/EIC 17799:2000
6.3.2 Уведомление недостатках в системе безопасности
Обязанности пользователей информационных сервисов должны включать уведомление о выявленных или подозреваемых уязвимостях или угрозах для систем и сервисов. Пользователи должны максимально быстро сообщать об этом либо своему руководителю, либо непосредственно поставщику услуг. Пользователям следует сообщить, что они ни при каких условиях не должны пытаться убедиться в наличии подозреваемой уязвимости. Это поможет им самим доказать свою непричастность, поскольку проверка на наличие уязвимости может быть принята за попытку неправомерного использования системы.
6.3.3 Уведомление о сбоях в программном обеспечении
Необходимо принять процедуру уведомления о сбоях в программном обеспечении. В процедуру рекомендуется включить следующие действия:
a)необходимо дать описание симптомов проблемы и записать сообщения, появляющиеся на экране.
b)необходимо изолировать компьютер, если это возможно, и прекратить работу с ним. Следует немедленно поставить в известность соответствующего сотрудника. При выполнении осмотра компьютера перед включением питания его следует отсоединить от сетей организации. Дискеты нельзя переносить на другие компьютеры.
c)о случившемся следует немедленно сообщить начальнику отдела информационной безопасности.
Пользователи не должны пытаться удалить вызывающую подозрение программу, не получив на это соответствующих санкций. Восстановление должно проводиться специалистами, имеющими соответствующую подготовку.
6.3.4 Изучение инцидентов
Необходимо создать механизмы, позволяющие оценивать и мониторить тип инцидентов или сбоев, их масштаб и связанные с ними затраты. Это может помочь в определении регулярно возникающих или серьезных инцидентов и сбоев. Полученная информация может указывать на необходимость ввести новые средства управления безопасностью или усовершенствовать существующие, чтобы сократить частоту, масштаб и ущерб от возникновения подобных инцидентов в будущем. Кроме того, эту информацию следует учитывать при анализе и обновлении политики безопасности (см. раздел 3.1.2).
6.3.5 Дисциплинарные взыскания
Необходимо формально утвердить дисциплинарные взыскания для сотрудников, нарушивших процедуры и политику безопасности, принятую в организации (см. раздел 6.1.4; сохранение улик описано в разделе 12.1.7). Подобные взыскания могут оказать сдерживающий эффект на сотрудников, которые в ином случае могли бы пренебречь процедурами, связанными с безопасностью. Кроме того, наличие утвержденных взысканий поможет гарантировать справедливое обращение с сотрудниками, подозреваемыми в серьезном или неоднократном нарушении безопасности.
© ISO/EIC 2000, |
27 |
© Перевод компании Информзащита 2004 |
|