ISO/EIC 17799:2000
зарегистрированных инцидентов;
b)стоимость и воздействие мер безопасности на эффективность деятельности организации;
c)воздействие технологических изменений.
4 Организационная безопасность
4.1 Инфраструктура информационной безопасности
Цель: Управление информационной безопасностью в организации.
Чтобы приступить к внедрению средств информационной безопасности в организации, необходимо создать структуру управления.
В составе руководства компании следует создать совет для принятия политики информационной безопасности, рапределения ролей по обеспечению безопасности, и координации внедрения средств безопасности во всей организации. При необходимости следует создать консультационный центр по вопросам безопасности, в который можно было бы обращаться из любой части организации. Необходимо наладить контакты со специалистами в области безопасности вне компании, чтобы не отставать от развития данной отрасли, следить за стандартами и методами оценки и находить подходящие точки соприкосновения при реакции на инциденты. Следует поощрять развитие многостороннего подхода к информационной безопасности (например, сотрудничество и совместную работу руководителей, пользователей, администраторов, разработчиков приложений, аудиторов и сотрудников, ответственных за безопасность) и приобретение познаний в таких областях, как страхование и управление рисками.
4.1.1 Совет по управлению информационной безопасностью
Ответственность за информационную безопасность лежит на всех членах руководящей группы. Поэтому рекомендуется создать совет, помогающий обеспечить четкое понимание и явную поддержку инициатив, связанных с безопасностью. Этот совет должен способствовать продвижению безопасности в организации путем выполнения соответствующих обязательств и тщательного подбора кадров. Совет может быть частью существующего управляющего органа. Как правило, деятельность такого совета включает в себя следующие задачи:
a)изучение и одобрение политики информационной безопасности и распределения обязанностей;
b)отслеживание значимых изменений в степени подверженности информационных ресурсов основным угрозам;
c)отслеживание и анализ инцидентов, связанных с информационной безопасностью;
d)поддержка инициатив, помогающих улучшить информационную безопасность.
За все задачи, связанные с безопасностью, должен нести ответственность один руководитель.
4.1.2 Координация в области информационной безопасности
В крупных организациях может потребоваться создание многоцелевого совета из представителей руководства соответствующих отделов организации для координирования внедрения средств информационной безопасности. Как правило, данный совет берет на себя следующие задачи:
© ISO/EIC 2000, |
15 |
© Перевод компании Информзащита 2004 |
|
ISO/EIC 17799:2000
a)согласование должностей и обязанностей, связанных с информационной безопасностью, во всей организации;
b)согласование методов и процедур, связанных с информационной безопасностью (например, оценки рисков и классификации инормации);
c)согласование и поддержка инициатив в области информационной безопасности в масштабах всей организации (например, программы ознакомления с требованиями безопасности);
d)включение мер по обеспечению безопасности в процесс планирования процедур, связанных с информацией;
e)оценка пригодности и координация внедрения конкретных средств информационной безопасности для новых систем и сервисов;
f)анализ инцидентов, связанных с информационной безопасностью;
g)содействие развитию поддержки информационной безопасности во всей организации.
4.1.3 Распределение обязанностей, связанных с информационной безопасностью
Необходимо четко определить ответственность за защиту отдельных ресурсов и за выполнение конкретных процедур, связанных с безопасностью.
Политика информационной безопасности (см. часть 3) должна включать в себя общие правила по распределению должностей и обязанностей, связанных с информационной безопасностью. В случае необходимости эту политику нужно дополнить более подробными правилами для конкретных отделов, систем или сервисов. Следует четко определить локальную ответственность за отдельные физические и информационные ресурсы и процессы, связанные с безопасностью, например, планирование непрерывности бизнеса.
Во многих организациях назначается руководитель подразделения информационной безопасности, который принимает на себя общую ответственность за разработку и внедрение средств безопасности и за руководство выбором этих средств.
Однако обязанности за набор персонала и реализацию конкретных средств зачастую сохраняются за другими сотрудниками. Распространенным методом является назначение владельца каждого информационного ресурса. Такой владелец несет ответственность за ежедневное обеспечение безопасности своего ресурса.
Владельцы информационных ресурсов могут передавать свои обязанности, связанные с безопасностью, отдельным сотрудникам или поставщикам услуг. Несмотря на это, владелец несет полную ответственность за безопасность ресурса. Он должен иметь возможность контролировать корректность освобождения других сотрудников от переданных им обязанностей, связанных с безопасностью.
Следует четко определить круг обязанностей каждого руководителя. В частности, необходимо соблюдать перечисленные ниже правила.
a)должны быть четко определены ресурсы и процессы, связанные с безопасностью каждой отдельно взятой системы,
b)должны быть определены руководители, ответственные за каждый ресурс или процесс, связанный с безопасностью. Обязанности каждого руководителя должны быть подробно сформулированы в соответствующем документе.
c)Необходимо четко определить и документировать уровни авторизации.
16 |
© ISO/EIC 2000 |
|
© Перевод компании Информзащита 2004 |
ISO/EIC 17799:2000
4.1.4 Процесс утверждения средств обработки информации
Требуется разработать процесс, согласно которому введение новых средств обработки информации будет утверждаться руководством.
Необходимо принимать во внимание следующее:
a)Новые средства должны пройти соответствующее утверждение среди руководства для однозначного определения их назначения и способа применения. Кроме того, руководитель, ответственный за поддержку безопасности локальной информационной системы, должен одобрить эти средства и подтвердить соблюдение всех необходимых условий и требований политики безопасности.
b)При необходимости оборудование и программное обеспечение следует проверить на совместимость с другими компонентами системы.
c)Примечание: для определенных подключений может потребоваться согласование типовых образцов.
d)Применение личных средств обработки информации для работы с информацией организации и применение всех необходимых средств управления информационной безопасностью должно быть санкционировано.
e)Применение личных средств обработки информации на рабочем месте может привести к появлению новых уязвимостей, поэтому в данном случае требуется их отдельная проверка и утверждение.
Эти соображения имеют особую важность при работе в сетевой среде.
4.1.5 Консультации специалистов по информационной безопасности
Как правило, консультации специалистов по безопасности требуются большинству организаций. В идеале следует пригласить опытного консультанта по информационной безопасности на постоянную работу. Однако не каждая организация имеет возможность включить в свой штат консультанта-специалиста. В подобных случаях рекомендуется назначить сотрудника, который будет координировать и согласовывать действия, связанные с вопросами безопасности в организации, и помогать при принятии решений в области безопасности. Такие сотрудники должны иметь возможность обращаться к сторонним консультантам для получения советов по вопросам, выходящим за рамки их компетенции.
В обязанности консультантов по информационной безопасности должны входить консультации по всем аспектам информационной безопасности – как на основе собственного опыта, так и с привлечением специалистов со стороны. Эффективность средств информационной безопасности в организации будет определяться способностью такого консультанта оценить угрозы для безопасности и предложить рекомендации по поводу необходимых мер. Чтобы обеспечить максимальную эффективность, консультанты должны иметь возможность напрямую обращаться ко всем руководителям в организации.
К консультанту по информационной безопасности следует обращаться как можно раньше в случае обнаружения уязвимостей или возникновения инцидентов, связанных с безопасностью, чтобы получить совет специалиста или помощь при изучении обстоятельств. Хотя в большинстве случаев внутренние расследования, связанные с безопасностью, проводятся представителями руководства, к ним можно привлечь и специалиста по информационной безопасности, который будет консультировать проводящих расследование сотрудников, руководить ими или осуществлять само расследование.
© ISO/EIC 2000, |
17 |
© Перевод компании Информзащита 2004 |
|