- •13 Інформаційна безпека управління інцидентами
- •13.1 Звіти про події інформаційної безпеки і слабкі сторони
- •13.1.1 Звіти про події інформаційної безпеки
- •13.1.2 Звіти про недоліки безпеки
- •13.2 Управління інцидентами інформаційної безпеки та поліпшення
- •13.2.1 Обов'язки та процедури
- •13.2.2 Витяг уроків про інциденти інформаційної безпеки
- •Збір доказів
- •14 Управління безперервністю бізнесу
- •14.1 Аспекти управління інформаційною безпекою і безперервністю бізнесу
- •Інформаційна безпека в бізнес-управлінні процесом наступності
- •14.1.2 Безперервність бізнесу та оцінка ризиків
- •14.1.3 Розроблення та впровадження наступності планів, включаючи управління інформаційною безпекою
- •14.1.4 Безперервність бізнесу рамок планування
- •14.1.5 Тестування, обслуговування та повторне оцінювання безперервності бізнес планів
- •15 Відповідність
- •Додаток а Розширений набір елементів управління телекомунікації
- •Додаток b Додаткові керівні вказівки реалізації
- •Бібліографія
- •Серії рекомендацій мсе-т
Інформаційна безпека в бізнес-управлінні процесом наступності
Керований процес повинен бути розроблений і підтримується для забезпечення безперервності бізнесу в рамках всієї організації, що звертається до інформаційної безпеки з вимогами, необхідними для забезпечення безперервності бізнесу організації.
Здійснення керівництва
Цей процес повинен об'єднати такі ключові елементи управління безперервністю бізнесу:
розуміння ризиків, що стоять перед організацією з погляду ймовірності та впливу часу, включаючи ідентифікацію та визначення пріоритетності важливих бізнес-процесів (див. 14.1.2);
визначення всіх засобів, що беруть участь в критичних бізнес-процесах (див. 7.1.1);
розуміння наслідків, які переривають викликані інциденти інформаційної безпеки, ймовірно, мати бізнес (це важливо, що знайдені рішення, які будуть обробляти інциденти викликають менший вплив, а також серйозні інциденти, які можуть загрожувати життєздатності організації), і встановлення бізнес-цілей засобів обробки інформації;
розглядає можливість покупки необхідного страхування, яке може бути частиною загального процесу забезпечення безперервності бізнесу, а також як частина управління операційними ризиками;
виявлення та облік реалізації додаткових профілактичних та пом'якшуючих контролів;
виявлення достатніх фінансових, організаційних, технічних та екологічних ресурсів для усунення виявлених вимог інформаційної безпеки;
забезпечення безпеки персоналу та захисту інформації, переробки та організаційні власності;
розробка та документування бізнес-планів безперервності рішення вимог безпеки інформації відповідно до погодженої стратегії безперервності бізнесу (див. 14.1.3);
регулярне тестування та оновлення планів і процесів введення в дію (див. 14.1.5);
забезпечення того, щоб управління безперервності бізнесу включалося в процеси організації та структури, відповідальності за управління процесом забезпечення безперервності бізнесу повинні бути призначені на відповідному рівні в рамках організації (див. 6.1.1).
Телекомунікації конкретних вказівок реалізації
Телекомунікації організації повинні забезпечити безпеку телекомунікаційних засобів як одного з ключових елементів управління безперервністю бізнесу.
14.1.2 Безперервність бізнесу та оцінка ризиків
Управління 14.1.2 застосовується з ISO / IEC 27002.
14.1.3 Розроблення та впровадження наступності планів, включаючи управління інформаційною безпекою
Плани повинні бути розроблені і впроваджені для підтримки або відновлення операцій і забезпечення доступності інформації на необхідному рівні і в необхідних часових масштабах після переривання або збою, критичних бізнес-процесів.
Здійснення керівництва
Планування безперервності бізнес процесів повинне враховувати наступне:
визначення й узгодження всіх обов'язків і процедур безперервності бізнесу;
визначення прийнятних втрат інформації та послуг;
здійснення процедур, що дозволяють відновлення і поновлення господарської діяльності та наявності інформації в необхідних часових масштабах; особлива увага повинна бути приділена оцінці внутрішніх і зовнішніх бізнес-залежностей і контрактів на місці;
оперативні процедури, що слідують до завершення відновлення та реставрації;
документацію погоджених процедур та процесів;
відповідне навчання персоналу з узгоджених процедур та процесів, в тому числі криз;
тестування та оновлення планів.
Процес планування повинен зосередитися на необхідних бізнес-цілях, наприклад, відновлення конкретних послуг зв'язку для клієнтів в прийнятний час. Послуги та ресурси сприяння цьому повинні бути визначені, в тому числі кадрові, без обробки інформаційних ресурсів, а також резервні механізми для засобів обробки інформації. Такі резервні домовленості можуть включати домовленості з третіми особами у формі взаємних угод або комерційні послуги підписки.
Плани забезпечення безперервності бізнесу повинні вирішити організаційні вразливості і, отже, можуть містити конфіденційну інформацію, яка повинна бути відповідним чином захищена. Копії планів безперервності бізнесу повинні зберігатися у віддаленому місці, на достатній відстані, щоб уникнути будь-які збитки від аварії на основному вузлі. Керівництво повинно забезпечити копії планів безперервності бізнесу в актуальному стані і захищені з таким же рівнем безпеки, як застосовується на основному вузлі. Інші матеріали, необхідні для виконання планів безперервності слід також зберігати в віддаленому місці.
Якщо альтернативні тимчасові місця використовуються, рівень реалізованого контролю безпеки в цих місцях повинен бути еквівалентний основному вузлу.
Телекомунікації конкретних вказівок реалізації
При розробці і реалізації плану безперервності бізнесу, телекомунікаційній організації слід розглянути питання про включення надзвичайного плану реабілітації телекомунікаційних послуг та забезпечення істотного зв'язку клієнтам телекомунікаційних послуг. Якщо сусідні будівлі чи об'єкти пошкоджені або потребують евакуації, засоби телекомунікаційних послуг можуть стати практично такими, які вийшли з-під контролю, навіть якщо об'єкти самі по собі не пошкоджені. Телекомунікаційним організаціям слід розглянути, як справлятися з такими ситуаціями.
Інша інформація
Слід зазначити, що криза планів управління і діяльності (див. 14.1.3 е)) може відрізнятися від управління безперервністю бізнесу, тобто криза може трапитися так, що може бути розподілення по звичайним процедурам управління.