ІSO/IЕС 27002 «Інформаційні технології — Методики безпеки — Практичні правила управління безпекою інформації»

Версія від 21:42, 14 квітня 2011, створена GalkaPr (обговореннявнесок) (Створена сторінка: [ІSO/IЕС 27002 «Інформаційні технології — Методики безпеки — Практичні правила управління б…)
(різн.) ← Попередня версія • Поточна версія (різн.) • Новіша версія → (різн.)

[ІSO/IЕС 27002 «Інформаційні технології — Методики безпеки — Практичні правила управління безпекою інформації»]- для врегулювання комплексу питань із захисту інформації захисту інформації в організаціях або підприємствах використовують міжнародні стандарти.Найбільш поширеними міжнародними стандартами, які регулюють комплекс питань із захисту інформації в організаціях чи підприємствах, є стандарт BSI «Настанова із захисту інформаційних технологій для базового рівня захищеності» та новітні стандарти серії ISO/IEC 27000 зі створення, розвитку та підтримки системи менеджменту інформаційної безпеки (СМІБ).


Історія формування стандарту

Перші стандарти серії ISO/IEC 27000 було розроблено на основі британських стандартів BS 7799. Розробником останніх є Британський інститут стандартів (British Standards Institution), що має абревіатуру BSI.
Історію формування стандарту ISO/IEC 27002 було розпочато з написання посібника з практичних правил організації захисту інформаційних ресурсів комерційних компаній. Цей посібник було видано на замовлення міністерства торгівлі та промисловості Великої Британії у 1993 році. Доопрацьована версія посібника отримала статус національного стандарту BS 7799 «Практичні правила управління безпекою інформації» цієї країни у 1995 році. У подальшому першу частину цього стандарту було ухвалено як міжнародний стандарт ISO/IEC 17799 «Інформаційні технології — Управління безпекою інформації. Практичні правила». Пізніше вийшла друга його частина — BS 7799-2 «Специфікація систем управління безпекою інформації», де було врегульовано питання аудита інформаційної системи організації та організації в цілому відповідно до вимог першої частини стандарту. Обидві частини стандарту суттєво допрацювали у 2005 році. У тому самому році допрацьовану версію стандарту BS 7799-2 було прийнято як міжнародний стандарт ISO/IEC 27001 . У липні 2007 року стандарт ISO/IEC 17799:2005 почали позначати як ISO/IEC 27002.
Оскільки цей стандарт вирізняється з-поміж інших високим рівнем абстрактності та лаконізмом, його можуть успішно застосовувати висококваліфіковані та досвідчені фахівці з інформаційної безпеки. Завдяки прозорості стандарту та зручності його практичного застосування цей стандарт активно використовують у багатьох країнах світу.


Структура й основний зміст стандрту

Документ складається з передмови, вступу та 15 розділів. Розділи мають номери з 1-го по 15-й, вступ позначено як 0-й розділ. Далі наведено перелік усіх розділів і подано їх стислий зміст.

  • Вступ (Introduction).
  • Сфера застосування (Scope).
  • Терміни та визначення (Terms and definitions).
  • Структура стандарту (Structure of this standard).
  • Оцінювання й оброблення ризиків (Risk assessment and treatment).
  • Політика безпеки (Security policy).
  • Організація забезпечення безпеки інформації (Organization of information security).
  • Управляння ресурсами (Asset management).
  • Безпека персоналу (Human resources security).
  • Фізична безпека і безпека середовища (Physical and environmental security).
  • Управління комунікаціями й операціями (Communications and operations management).
  • Управління доступом (Access control).
  • Придбання, розроблення та супроводження інформаційних систем (Information systems acquisition, development and maintenance).
  • Управління інцидентами безпеки інформації (Information security incident management).
  • Управління безперебійністю бізнесу (Business continuity management).
  • Дотримання вимог (Compliance).

Вступ

У вступі надано пояснення, як застосовувати цей стандарт. Вступ містить такі підрозділи:

  1. Що таке безпека інформації.
  2. Чому необхідна безпека інформації.
  3. Як затвердити вимоги до безпеки.
  4. Визначення ризиків безпеки.
  5. Вибір засобів управління.
  6. Відправна точка безпеки інформації.
  7. Критичні фактори успіху.
  8. Розроблення власних рекомендацій із захисту інформації організації.

У перших двох підрозділах вступу подано визначення поняття безпеки інформації, її мету, завдання, мотивацію необхідності захисту.
Підрозділ «Як затвердити вимоги до безпеки» визначає три головних джерела вимог до системи безпеки організації:

  • специфічні ризики порушення безпеки, які загрожують ресурсам організації і для яких оцінюють уразливість та ймовірність її виникнення, а також потенційний вплив;
  • набір правових і договірних вимог, які мають виконувати організація, її торговельні партнери, підрядники та постачальники послуг;
  • набір специфічних принципів, цілей та вимог до оброблення інформації, розроблений організацією.

У підрозділі «Визначення ризиків безпеки» відзначають важливість відповідності між цінністю інформаційних ресурсів організації та витратами на систему їх захисту. При цьому слід ураховувати рівень ризику та збитки, яких може бути завдано організації внаслідок порушення безпеки інформації. Ризики слід визначати періодично задля урахування будь-яких змінень, що впливають на безпеку.
Після визначення вимог до безпеки та ризиків необхідно обрати й упровадити прийнятні засоби управління для зниження ризиків. Питання добирання таких засобів обговорено у підрозділі «Вибір засобів управління».
У підрозділі «Відправна точка безпеки інформації» зазначено, що використання багатьох із засобів управління можна вважати відправною точкою для впровадження системи безпеки інформації. Засоби управління, які є суттєвими для організації з позиції законодавства, можуть здійснювати захист:

  • конфіденційності даних і особистої інформації;
  • документів організації;
  • прав інтелектуальної власності.

До заходів і засобів, які вважають необхідними для створення системи безпеки інформації, належать:

  • створення документа про політику безпеки інформації;
  • розподіл обов'язків із забезпечення безпеки інформації;
  • навчання й підготовка персоналу з питань дотримання режиму безпеки інформації;
  • технічне управління вразливостями;
  • підтримка безперебійної роботи;
  • управління інцидентами безпеки інформації.

Необхідність і порядок використання інших заходів і засобів захисту інформації у кожному конкретному випадку мають визначати фахівці з інформаційної безпеки.
У підрозділі «Критичні фактори успіху» визначено фактори, критичні для успішного впровадження безпеки інформації в організації.
У підрозділі «Розроблення власних рекомендацій із захисту інформації організації» визначено, що, позаяк єдиної оптимальної структури захисту інформації для всіх організацій немає, кожна організація може мати власний набір вимог, проблем, пріоритетів і керівних принципів безпеки інформації. Якщо організація має документи із власними рекомендаціями щодо захисту інформації, то вони мають містити посилання на цей стандарт задля встановлення взаємозв'язків між відповідними розділами.

Розділ 1. Сфера застосувань

У розділі подано інформацію щодо призначення стандарту. Стандарт містить рекомендації та загальні принципи з ініціювання, впровадження, супроводження й удосконалення управління безпекою інформації в організації. Стандарт можна використовувати як практичну рекомендацію з розроблення власних стандартів організацій та ефективної практики управління безпекою інформації, а також для сприяння встановленню довірчих відносин під час взаємодії між організаціями.

Розділ 2. Терміни та визначення

Розділ містить інформацію про основні терміни та визначення безпеки інформації. Зокрема, термін «безпека інформації» тут визначено як збереження властивостей інформації, на кшталт конфіденційності, цілісності та доступності.

Розділ 3. Структура стандарту

У розділі описано структуру стандарту (його підрозділи було названо вище).Вимоги стандарту викладено в його розділах 4-15. У них сформульовано 39 цілей управління (Control Objectives), досягнення яких забезпечує захист інформаційних ресурсів від загроз їх конфіденційності, цілісності та доступності. Опис цілей керування фактично містить специфікації функціональних вимог до архітектури управління безпекою інформації організації. Для кожної із цілей керування названо засоби керування (Specific Controls), що можуть бути застосовані для досягнення загальної мети керування.

Розділ 4. Оцінювання й оброблення ризиків

У розділі показано відповідність між цінністю інформаційних ресурсів організації та витратами на систему захисту інформації. Для визначення витрат на систему захисту мають бути враховані рівень ризику та збитки, яких може бути завдано організації. Ризики мають зумовлювати належні пріоритети і дії керівництва щодо управління безпекою інформації та впровадження засобів, обраних для захисту від цих ризиків.
Під час визначення ризиків слід застосовувати системний підхід до обчислення величини ризиків (аналіз ризиків — Risk Analysis) і порівняння обчислених ризиків із критеріями їх значущості (оцінювання ризиків — Risk Assessment). Для кожного з ризиків слід прийняти рішення щодо його оброблення (усунення чи зниження — Risk Mitigation). Можливі варіанти оброблення ризиків:

  • застосування прийнятних засобів управління для зниження ризиків;
  • свідоме прийняття ризиків за умови забезпечення їх відповідності політиці організації й критеріям прийняття ризиків;
  • усунення ризиків шляхом заборони дій, що можуть викликати ці ризики;
  • перекладання ризиків на інші сторони, наприклад на страховиків або постачальників.

Для оброблення ризиків необхідно обрати й впровадити засоби управління з урахуванням:

  • вимоги й обмежень національного й міжнародного законодавства;
  • цілей організації;
  • робочих вимог і обмежень;
  • вартості впровадження засобів управління ризиками.

Розділ 5. Політика безпеки

Роз'яснення цілей і здійснення всебічної підтримки захисту інформації шляхом чіткого формулювання політики безпеки — обов'язок вищого керівництва.Наявність документа про політику безпеки інформації є однією з цілей керівництва. У розділі рекомендовано зміст цього документа, а саме:

  • визначення захисту інформації, його головні цілі та сфера застосування, а також значення захисту інформації як механізму, що дає змогу використовувати її колективно;
  • викладення позиції керівництва з питань реалізації цілей і принципів захисту інформації;
  • тлумачення конкретних варіантів політики безпеки, принципів, стандартів і вимог до її дотримання, зокрема:
  • виконання правових і договірних вимог,
  • вимоги щодо навчання персоналу правил безпеки,
  • політика попередження і виявлення вірусів,
  • політика забезпечення безперебійної роботи організації;
  • визначення загальних і конкретних обов'язків із забезпечення режиму безпеки інформації;
  • роз'яснення процедури сповіщення про події, які можуть впливати на безпеку інформації.

Окремий підрозділ присвячено порядку ревізії політики безпеки. Ревізію необхідно проводити періодично із запланованим інтервалом, а також у випадку суттєвих змінень, що можуть впливати на політику безпеки. Під час ревізії слід аналізувати можливості вдосконалення політики безпеки інформації та підходів до управління безпекою в результаті здійснення змін в організаційному середовищі, обставинах бізнесу, юридичних умовах або технічному оточенні. Слід також враховувати результати періодичних перевірок керівництва, вхідні та вихідні дані для яких детально розглянуто у стандарті.

Розділ 6. Організація забезпечення безпеки інформації

У цьому розділі визначено дві цілі управління в таких підрозділах:

  1. Інфраструктура безпеки інформації організації (Internal organization).Для забезпечення захисту інформації слід створити відповідну структуру управління в організації. Необхідно проводити регулярні наради керівництва, присвячені коригуванню політики безпеки інформації, розподілу обов'язків із забезпечення захисту та координації дій, спрямованих на підтримку режиму безпеки. За потреби для консультацій слід залучити фахівців відповідного рівня. З метою обміну досвідом необхідно встановлювати контакти з фахівцями інших організацій. Слід всебічно впроваджувати комплексний підхід до розв'язання проблем безпеки інформації.
  2. Питання безпеки доступу сторонніх організацій (External parties). Під час взаємодії із сторонніми організаціями, зокрема, у разі застосування їхніх продуктів або послуг, необхідно унеможливити компрометацію безпеки інформації. Для цього слід уживати узгоджених з іншими організаціями заходів із підтримки режиму безпеки. Потрібно провести аналіз ризиків і визначити вимоги до засобів управління, що знижують ці ризики. Відповідні засоби та заходи управління мають бути зафіксовані в угоді зі сторонньою організацією.

Розділ 7. Управління ресурсами

Організація має чітко усвідомлювати, якими інформаційними ресурсами вона володіє, і керувати їхньою безпекою належним чином. У двох підрозділах цього розділу визначено цілі такого управління.

  1. Відповідальність за ресурси (Responsibility for assets).

Усі ресурси повинні бути враховані та мати своїх відповідальних. Обладнання та інший інвентар, що можуть впливати на інформаційні ресурси (апаратне та програмне забезпечення, дані, документація, носії інформації, допоміжні пристрої і системи на кшталт кондиціонерів повітря та джерел безперебійного живлення) також необхідно належним чином супроводжувати.

  1. Класифікація інформації (Information classification). З метою визначення пріоритетів щодо захисту інформації необхідно провести

її класифікацію за категоріями значущості (критичності). Таку систему класифікації слід використовувати задля визначення рівнів захисту інформації та сповіщення користувачів щодо необхідності спеціального поводження з нею. Прикладом такої системи є класифікація, яку використовують урядові та військові організації.

Розділ 8. Безпека персоналу

Розділ присвячено питанням відображення завдань безпеки в посадових інструкціях, а також під час надання інформаційних ресурсів, навчання користувачів, реагування на події, що містять загрозу безпеці тощо. Головна мета заходів безпеки, відображених у посадових інструкціях, полягає у зменшенні ризиків на кшталт помилок персоналу, крадіжок, шахрайства чи незаконного використання ресурсів. Основним механізмом управління є надання персоналу певних прав доступу до ресурсів. Цей розділ складається з таких трьох підрозділів.

  1. Наймання персоналу (Prior to employment).

Усі пов'язані з безпекою питання слід враховувати ще під час наймання персоналу на роботу (постійну чи тимчасову). Вимоги щодо безпеки потрібно висвітлювати в описі вакансій, обговорювати в ході інтерв'ю, долучати до посадових інструкцій і угод, а також контролювати їх протягом усього перебування співробітника в організації. Керівництво організації має переконатися, що в посадових інструкціях враховано всі вимоги безпеки, які виконуватиме працівник, перебуваючи на своїй посаді. Осіб, яких наймають на роботу, передусім тих, хто працюватиме з конфіденційною інформацією, потрібно належним чином перевіряти. Увесь персонал організації та користувачі інформаційних ресурсів зі сторонніх організацій мають підписати зобов'язання про нерозголошення конфіденційної інформації.

  1. Виконання посадових обов'язків (During employment).

Навчання персоналу — одне з важливих питань управління безпекою інформації в організації. Метою навчання є надання користувачам інформаційниx ресурсів відомостей про загрози порушення режиму безпеки інформації, а також необхідних навичок із забезпечення режиму нормального функціонування системи безпеки цієї організації. Усі співробітники та підрядники мають бути ознайомлені з процедурою оповіщення про інциденти різного типу (порушення безпеки, загрози, виявлені вразливості чи збої системи), які можуть вплинути на безпеку ресурсів організації. В організації має бути впроваджена процедура поширення дисциплінарних стягнень на співробітників, які порушують режим безпеки.

  1. Звільнення з посади чи її змінення (Termination or change of employment).

Особливу увагу слід приділяти питанням безпеки під час звільнення співробітників або їх переведення на інші посади. Слід контролювати повернення співробітником ресурсів, які йому було надано, а також скасування прав доступу.

Розділ 9. Фізична безпека і безпека середовища

У розділі розглянуто заходи зі створення та адміністрування зон безпеки і контрольованих периметрів, а також заходи щодо здійснення контролю за доступом до приміщень. Велику увагу приділено заходам із захисту обладнання організації. Тут ідеться про те, що вимоги до фізичного захисту можна змінювати залежно від масштабів і структури інформаційних сервісів, а також з урахуванням уразливості та критичності виробничих процесів, які підтримуються. У цьому розділі визначено дві цілі управління в таких підрозділах.

  • Зони безпеки (Secure areas). Мета заходів зі створення та адміністрування зон безпеки — запобігти несанкціонованому доступу до інформаційних ресурсів, їх пошкодженню і створенню перешкод у їх роботі. Для цього організують концентричні зони із засобами

фізичного контролю доступу між ними. Інформаційні системи, які підтримують критично важливі чи вразливі сервіси, мають бути розташовані в зонах із належним контролем доступу. Для зменшення ризику несанкціонованого доступу чи ушкодження паперової документації та носіїв інформації пропонується встановлювати чіткі правила використання робочого місця.

  • Безпека обладнання (Equipment security). Мета заходів з організації захисту обладнання — запобігати втраті, ушкодженню, компрометації ресурсів і збоям у роботі організації. Слід забезпечити захист критичного обладнання інформаційних систем (зокрема, обладнання, розміщеного поза межами організації) від навмисного чи випадкового фізичного пошкодження, пожежі, затоплення, крадіжки, перегрівання, раптових вимкнень електричного живлення тощо. Розглянуто питання захисту допоміжного обладнання (системи електричного живлення чи структурованої кабельної системи)та необхідності безпечної утилізації обладнання і носіїв інформації.

Розділ 10. Управління комунікаціями й операціями

Розділ присвячено організаційним заходам адміністрування комп'ютерних систем і мереж задля забезпечення їх коректної та надійної роботи. Вимоги до безпечного адміністрування комп'ютерних систем і мереж можна змінювати залежно від масштабу та структури інформаційних сервісів, а також від ступеня вразливості та критичності виробничих процесів, які ця система підтримує. У підрозділах цього розділу визначено десять цілей управління.

  1. Робочі процедури та відповідальність (Operational procedures and responsibilities).

Для безпечного адміністрування комп'ютерних систем і мереж необхідно визначити обов'язки персоналу та відповідні процедури. Ці заходи слід підтвердити відповідними робочими інструкціями та операційними процедурами реагування на події для зменшення ризику недбалого чи несанкціонованого використання систем. За потреби слід застосовувати принцип розмежування обов'язків, наприклад відокремити доступ до засобів розроблення та робочих програм.

  1. Управління послугами сторонніх підрядників (Third party service delivery management).

Залучення стороннього підрядника (наприклад, до адміністрування комп'ютерних систем і мереж, розробки компонентів або надання послуг доступу до Інтернету) може призвести до порушення режиму безпеки. Необхідно заздалегідь виявити такий ризик і долучити до контракту належні захисні заходи, узгоджені з підрядником.

  1. Планування й приймання систем (System planning and acceptance).

Планування систем і їх приймання дають змогу звести ризики відмов систем до мінімуму. Для забезпечення досяжності ресурсів систем та їх належного навантаження ці ресурси необхідно попередньо спланувати і підготувати. З цією метою слід спрогнозувати потенційні вимоги до параметрів обладнання, задати критерії приймання нових систем і провести відповідні випробування. Слід також спланувати заходи щодо ймовірного переходу на аварійний режим роботи та постійно контролювати процес внесення змін у робочі системи.

  1. Захист від шкідливого та мобільного коду (Protection against malicious and mobile code).

Дієвим заходом із забезпечення цілісності даних і програм є захист від шкідливого програмного забезпечення, на кшталт комп'ютерних вірусів, «логічних бомб» тощо. Для попередження і виявлення випадків проникнення шкідливого програмного забезпечення потрібно впроваджувати належні застережливі заходи. Окремо розглянуто заходи захисту для мобільного коду, що підтримується зв'язувальним ПЗ (Middleware).

  1. Резервне копіювання (Back-up).

Заходи із обслуговування систем дають змогу підтримувати цілісність і доступність сервісів. Необхідно визначити щоденні процедури резервного копіювання даних, реєстрації подій і збоїв, а також процедури спостереження за середовищем функціонування обладнання.

  1. Управління безпекою мережі (Network security management).

Заходи з адміністрування мережі забезпечують захист інформації, яка циркулює в мережі а також в інфраструктурі її підтримки. Управління безпекою комп'ютерних мереж, окремі сегменти яких розміщено поза межами організації, потребує особливої уваги. Необхідно вжити спеціальних заходів захисту до конфіденційних даних, які передаються через мережі загального доступу. Тут розглянуто такі сервіси безпеки, як приватні мережі та міжмережне екранування.

  1. Захист носіїв даних (Media handling).

Слід визначити порядок безпечної роботи з комп'ютерними носіями даних, паперовими документами, системною документацію для забезпечення фізичного захисту під час їх використання, перевезення, зберігання. Потрібно ретельно контролювати процедури знищення носіїв даних.

  1. Інформаційний обмін (Exchange of information).

З метою запобігання втратам, модифікаціям і несанкціонованому використанню інформації обмін даними і програмами між організаціями необхідно контролювати, наприклад, впровадженням політик і процедур, а також укладанням відповідних угод. Особливу увагу слід приділити захисту електронного обміну повідомленнями, електронної пошти, документообігу.

  1. Сервіси електронної комерції (Electronic commerce services).

Застосування систем електронної комерції (eCommerce) потребує ретельної уваги до питань безпеки. Слід також захищати цілісність і доступність інформації, яку публікують у комп'ютерній мережі (зокрема, в Інтернеті).

  1. Моніторинг (Monitoring).

Слід впроваджувати реєстрацію пов'язаних із безпекою подій і здійснювати їх аудит, вести протокол збоїв, забезпечити сповіщення вповноважених адміністраторів про події задля виявлення неавторизованого доступу. Необхідними допоміжними заходами є убезпечення журналів реєстрації та синхронізація системних годинників.

Розділ 11. Управління доступом

Розділ 11 присвячено розгляду питань із здійснення контролю за логічним доступом до комп'ютерних систем і даних, що дає змогу запобігати несанкціонованому доступу. У розділі сформульовано сім цілей управління у таких підрозділах.

  1. Вимоги бізнесу щодо контролю доступу (Business requirement for access control).

Вимоги організації щодо управління доступом користувачів до інформаційних ресурсів повинні бути прозоро задокументовані у політиці управління доступом, що має враховувати правила поширення інформації та розмежування доступу. Можна застосовувати профілі доступу, що відповідають посадам співробітників (ролева політика управління доступом).

  1. Управління доступом користувачів (User access management).

Надання прав доступу користувачам слід здійснювати з дотриманням певних формальних процедур реєстрації й адміністрування користувачів — від початкової реєстрації нових користувачів до видалення облікових записів користувачів, з обов'язковою періодичною ревізією прав і повноважень користувачів. Особливу увагу слід приділяти процедурі надання привілейованих прав доступу користувачам, які надають їм можливість обійти засоби системного контролю.

  1. Відповідальність користувачів (User responsibilities).

Користувачі мають добре знати свої обов'язки із забезпечення ефективного контролю доступу, насамперед щодо використання паролів та захисту обладнання від доступу сторонніх осіб (наприклад, коли комп'ютер користувача залишається без нагляду).

  1. Управління доступом до мережі (Network access control).

Управління доступом до мережі забезпечує захист систем, об'єднаних у таку мережу. Контроль слід забезпечувати як усередині корпоративної мережі, так і під час обміну між організаціями. До числа засобів контролю необхідно долучити механізми автентифікації віддалених користувачів та обладнання. Інформаційні мережні сервіси, користувачі та системи мають бути розподілені на логічні мережні домени з урахуванням встановленої в організації політики доступу.

  1. Управління доступом до операційних систем (Operating system access control).

Одним з важливих заходів управління безпекою інформації є управління доступом до комп'ютерів, здійснюваним на рівні операційних систем. Доступ слід надавати лише зареєстрованим користувачам. У випадку багатокористувацьких систем слід ідентифікувати та перевіряти справжність (автентичність) користувачів наданням їм унікальних ідентифікаторів і паролів доступу. Необхідно фіксувати випадки успішного та невдалого доступу до систем і використання привілеїв, підтримувати систему управління паролями, яка забезпечує добирання надійних паролів, за потреби обмежувати час підключення користувачів.

  1. Управління доступом до прикладних програм та інформації (Application and information access control).

Управління доступом до прикладних програм дає змогу запобігати несанкціонованому доступу до прикладних систем і даних. Доступ до них слід надавати лише зареєстрованим користувачам згідно з визначеною політикою управління доступом. Особливо чутливі прикладні сервіси потребують виділених (ізольованих) платформ та додаткових засобів контролю.

  1. Використання мобільних обчислень і віддалених робітників (Mobile Computing and teleworking).

Мають існувати формальні політики, які б врегульовували безпечне використання портативних ПК, комунікаторів, мобільних телефонів, а також безпечний режим взаємодії з віддаленими робітниками.

Розділ 12. Придбання, розроблення та супроводження інформаційних систем

Розділ 12 присвячено питанням урахування вимог безпеки в рамках загального плану робіт із створення інформаційної системи. Для цього вимоги до безпеки систем необхідно визначати та узгоджувати під час розроблення специфікацій, розроблення, придбання, тестування, введення в дію й супроводження інформаційно-комунікаційних систем. Цей розділ містить шість підрозділів.

  1. Вимоги безпеки інформаційних систем (Security requirements of information systems).

На стадії розроблення вимог до системи слід проаналізувати і повністю ідентифікувати вимоги безпеки. Придбане програмне забезпечення має пройти тестування безпеки.

  1. Коректність прикладних систем (Correct processing in application systems).

Під час проектування прикладних систем слід вбудувати в них засоби управління безпекою, зокрема засоби реєстрації подій в контрольному журналі. Необхідно контролювати захищеність файлів прикладних систем. Користувачі прикладної системи та їх розробники зобов'язані підтримувати цілісність цих програм.

  1. Криптографічний захист (Cryptographie controls).

Слід визначити політику застосування засобів криптографічного захисту, яка може містити ролі та відповідальність, цифровий підпис, неможливість відмови, управління ключами та цифровими сертифікатами тощо.

  1. Безпека системних файлів (Security of system files).

Слід контролювати доступ до системних файлів: виконуваних програм, вихідного коду, тестових даних.

  1. Безпека процесів розроблення і супроводження (Security in development and support processes).

Середовище розробки і робоче середовище слід жорстко контролювати. Необхідно здійснювати аналіз усіх змін, які планується внести у системи, задля гарантування того, що ними не буде порушено безпеку середовища розробки та робочого середовища. За потреби слід проводити перевірку ймовірних витоків інформації через приховані канали чи внаслідок дії «троянського коня». Додаткові заходи управління і моніторингу пропонують задіяти у разі залученні до розроблення зовнішніх виконавців (Outsourcing).

  1. Управління вразливостями (Technical vulnerability management).

Управління вразливостями систем і прикладних програм здійснюється шляхом моніторингу оприлюдненої інформації про виявлені вразливості, оцінювання пов'язаних із ними ризиків і усунення вразливостей шляхом оновлень і виправлень програм.

Розділ 13. Управління інцидентами безпеки інформації

Цей розділ присвячено питанням виявлення подій, що впливають на безпеку інформації, та слабких місць у системі безпеки задля гарантування можливості вживати своєчасних заходів протидії. Розділ містить такі два підрозділи.

  1. Повідомлення про інциденти безпеки інформації та слабкі місця (Reporting in information security events and weaknesses).

Впровадження формального порядку сповіщень про різні типи подій і виявлених слабких місць, що можуть виливати на безпеку ресурсів організації. Усі співробітники та контрагенти мають бути поінформовані про такий порядок і зобов'язані невідкладно повідомляти про будь-які події та слабкі місця.

  1. Управління інцидентами безпеки інформації та удосконаленнями (Management of Information Security Incidents and Improvements).

Впровадження порядку ефективного невідкладного оброблення подій і слабких місць. Забезпечення (за потреби) відповідності юридичним вимогам потребує наявності певної доказової бази.

Розділ 14. Управління безперебійністю бізнесу

Цей розділ присвячено питанням планування безперебійної роботи організації. З метою убереження критично важливих виробничих процесів від наслідків великих аварій і катастроф необхідно розробляти плани забезпечення можливості безперебійної роботи організації на ці випадки. Процес планування безперебійної роботи організації має містити заходи з ідентифікації та зменшення ризи- ків, ліквідації наслідків від реалізації загроз і швидкого поновлення виробничих процесів і сервісів.

Розділ 15. Дотримання вимог

У розділі наведено рекомендації щодо дотримання юридичних вимог, а також вимог політик і стандартів безпеки. Цей розділ складається з трьох підрозділів.

  1. Дотримання юридичних вимог (Compliance with legal requirements).

Необхідно забезпечити дотримання юридичних вимог з метою виключення порушень будь-яких законів, статутних, нормативних або договірних зобов'язань і будь-яких вимог безпеки, зокрема вимог із захисту фінансової інформації, обмежень у використанні криптографічного захисту, правил збирання доказів під час розслідування інцидентів тощо.

  1. Дотримання вимог політик і стандартів безпеки (Compliance with security policies and standards, and technical compliance).

Стан безпеки інформаційних систем необхідно регулярно перевіряти. Ці перевірки слід проводити виходячи з відповідної політики безпеки, а технічні платформи й інформаційні системи необхідно перевіряти на відповідність прийнятим стандартам забезпечення безпеки. Необхідно мінімізувати втручання в процес тестування систем на рівень інформаційної безпеки. Для цього необхідно мати засоби контролю та захисту засобів тестування і робочих систем під час їх роботи.

  1. Застосування аудита інформаційних систем (Information systems audit considerations).

Слід упровадити засоби управління із захисту діючих систем та інструментів аудита під час проведення аудита інформаційних систем. Також необхідно здійснювати захист цілісності з метою запобігання неправомірному використанню інструментів аудита.


Інші стандарти серії 27000

Стандарти серії ISO 27000 містять правила, рекомендації та специфікації у сфері безпеки інформації для створення, розвитку й підтримки системи менеджменту інформаційної безпеки (СМІБ), яку ще називають системою управління інформаційною безпекою (СУІБ) (Information Security Management System, ISMS). СМІБ є складовою загальної системи менеджменту, що базується на підході бізнес-ризиків під час створення, впровадження, функціонування, моніторингу, аналізу, підтримки й удосконалення інформаційної безпеки.
Окрім розглянутого вище ISO/IEC 27002 у цій серії оприлюднено ще такі стандарти:

  • ISO/IEC 27001:2005 «Інформаційні технології — Методики безпеки — Системи менеджменту інформаційної безпеки — Вимоги» — стандарт, за яким організація може бути сертифікована ;
  • ISO/IEC 27005:2008 «Інформаційні технології — Методики безпеки — Управління ризиками інформаційної безпеки» — стандарт, що надає рекомендації з управління безпекою інформації на основі підходу управління ризиками ;
  • ISO/IEC 27006:2007 «Інформаційні технології — Методики безпеки — Вимоги до організацій, що проводять аудит і сертифікацію систем менеджменту інформаційної безпеки» — настанова з акредитації сертифікаційних організацій.