ГОСТ Р ИСО/МЭК 17799:2005 «Информационная технологии. Практические правила управлении информационной безопасностью»

Рассмотрим теперь содержание стандарта ИСО/МЭК 17799 . Во введении указывается, что «информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации». Таким образом, можно говорить о том, что данный стандарт рассматривает вопросы информационной безопасности, в том числе, и с точки зрения экономического эффекта.

Указываются три группы факторов, которые необходимо учитывать при формировании требований в области информационной безопасное™:

• - оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий;
• - юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг;
• - специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации. После того как определены требования, идет этап выбора и

внедрения мероприятий по управлению информационной безопасностыо, которые обеспечат снижение рисков до приемлемого уровня. Выбор мероприятий по управлению информационной безопасностью должен основываться на соотношении стоимости их реализации, эффекта от снижения рисков и возможных убытков в случае нарушения безопасности. Также следует принимать во внимание факторы, которые не могут быть представлены в денежном выражении, например, потерю репутации. Возможный перечень мероприятий приводится в стандарте, но отмечается, что он может быть дополнен или сформирован самостоятельно исходя из потребностей организации.

Кратко перечислим разделы стандарта и предлагаемые в них мероприятия по защите информации. Первая их группа касается политики безопасности. Требуется, чтобы она была разработана, утверждена руководством организации, издана и доведена до сведения всех сотрудников. Она должна определять порядок работы с информационными ресурсами организации, обязанности и ответственность сотрудников. Политика периодически пересматривается, чтобы соответствовать текущему состоянию системы и выявленным рискам.

Следующий раздел затрагивает организационные вопросы, связанные с обеспечением информационной безопасности. Стандарт рекомендует создавать управляющие советы (с участием высшего руководства компании) для утверждения политики безопасности, назначения ответственных лиц, распределения обязанностей и координации внедрения мероприятий но управлению информационной безопасностью в организации. Также должен быть описан процесс получения разрешений на использование в организации средств обработки информации (в т. ч. нового программного обеспечения и аппаратуры), чтобы это нс привело к возникновению проблем с безопасностью. Требуется определить и порядок взаимодействия с другими организациями по вопросам информационной безопасности, проведения консультаций с «внешними» специалистами, независимой проверки (аудита) информационной безопасности.

При предоставлении доступа к информационным системам специалистам сторонних организаций необходимо особое внимание уделить вопросам безопасности. Должна быть проведена оценка рисков, связанных с разными типами доступа (физическим или логическим, г. е. удаленным) таких специалистов к различным ресурсам организации. Необходимость предоставления доступа должна быть обоснована, а в договоры со сторонними лицами и организациями должны быть включены требования, касающиеся соблюдения политики безопасности. Аналогичным образом предлагается поступать и в случае привлечения сторонних организаций к обработке информации (аутсорсинга).

Следующий раздел стандарта посвящен вопросам классификации и управления активами. Для обеспечения информационной безопасности организации необходимо, чтобы все основные информационные активы были учтены и закреплены за ответственными владельцами. Начать предлагается с проведения инвентаризации. В качестве примера приводится следующая классификация активов:

• - информационные (базы данных и файлы данных, системная документация и т. д.);
• - программное обеспечение (прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты);
• - физические акгивы (компьютерное оборудование, оборудование связи, носители информации, другое техническое оборудование, мебель, помещения);
• - услуги (вычислительные услуги и услуги связи, основные коммунальные услуги).

Далее предлагается классифицировать информацию, чтобы определить ее приоритетность, необходимость и степень ее защиты. При этом можно оценить соответствующую информацию с учетом того, насколько она критична для организации, например, с точки зрения обеспечения ее целостности и доступности. После этого предлагается разработать и внедрить процедуру маркировки при обработке информации. Для каждого уровня классификации следует определять процедуры маркировки, для того чтобы учесть следующие типы обработки информации:

• - копирование;
• - хранение;
• - передачу по почте, факсом и электронной почтой;
• - передачу голосом, включая мобильный телефон, голосовую почту, автоответчики;
• - уничтожение.

Раздел 6 рассматривает вопросы безопасности, связанные с персоналом. Стандартом определяется, чтобы обязанности по соблюдению требований безопасности распределялись на стадии подбора персонала, включались в трудовые договоры, и проводился их мониторинг в течение всего периода работы сотрудника. В частности, при приеме в постоянный штат рекомендуется проводить проверку подлинности представляемых претендентом документов, полноту и точность резюме, представляемые им рекомендации. Рекомендуется, чтобы сотрудники подписывали соглашение о конфиденциальности, уведомляющее о том, какая информация является конфиденциальной или секретной. Должна быть определена дисциплинарная ответственность сотрудников, нарушивших политику и процедуры безопасности организации. Там, где необходимо, эта ответственность должна сохраняться и в течение определенного срока после увольнения с работы.

Пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы минимизировать возможные риски. Кроме того, должен быть определен порядок информирования о нарушениях информационной безопасности, с которым необходимо ознакомить персонал. Аналогичная процедура должна задействоваться в случаях сбоев программного обеспечения. Подобные инциденты требуется регистрировать и проводить их анализ для выявления повторяющихся проблем.

Следующий раздел стандарта посвящен вопросам физической защиты и защиты от воздействия окружающей среды. Указывается, что «средства обработки критичной или важной служебной информации необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности, обладающим соответствующими защитными барьерами и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия». Кроме организации контроля доступа в охраняемые зоны, должны быть определены порядок проведения в них работ и, при необходимости, процедуры организации доступа посетителей. Необходимо также обеспечивать безопасность оборудования (включая и то, что используется вне организации), чтобы уменьшить риск неавторизованного доступа к данным и защитить их от потери или повреждения. К этой же группе требований относится обеспечение защиты от сбоев электропитания и защиты кабельной сети. Также должен быть определен порядок технического обслуживания оборудования, учитывающий требования безопасности, и порядок безопасной утилизации или повторного использования оборудования. Например, списываемые носители данных, содержащие важную информацию, рекомендуется физически разрушать или перезаписывать безопасным образом, а не использовать стандартные функции удаления данных.

С целью минимизации риска неавгоризованного доступа или повреждения бумажных документов, носителей данных и средств обработки информации рекомендуется внедрить политику «чистого стола» в отношении бумажных документов и сменных носителей данных, а также политику «чистого экрана» в отношении средств обработки информации. Оборудование, информацию или программное обеспечение можно выносить из помещений организации только на основании соответствующего разрешения.

Название раздела 8 - «Управление передачей данных и операционной деятельностью». В нем требуется, чтобы были установлены обязанности и процедуры, связанные с функционированием всех средств обработки информации. Например, должны контролироваться изменения конфигурации в средствах и системах обработки информации. Требуется реализовать принцип разграничения обязанностей в отношении функций управления, выполнения определенных задач и областей.

Рекомендуется провести разделение сред разработки, тестирования и промышленной эксплуатации программного обеспечения (ПО). Правила перевода ПО из статуса разрабатываемого в статус принятого к эксплуатации должны быть определены и документально оформлены.

Дополнительные риски возникают при привлечении сторонних подрядчиков для управления средствами обработки информации. Такие риски должны быть идентифицированы заранее, а соответствующие мероприятия по управлению информационной безопасностью согласованы с подрядчиком и включены в контракт.

Для обеспечения необходимых мощностей по обработке и хранению информации необходим анализ текущих требований к производительности, а также прогноз будущих. Эти прогнозы должны учитывать новые функциональные и системные требования, а также текущие и перспективные планы развития информационных технологий в организации. Требования и критерии для принятия новых систем должны быть четко определены, согласованы, документально оформлены и опробованы.

Необходимо принимать меры предотвращения и обнаружения внедрения вредоносного программного обеспечения, такого как компьютерные вирусы, сетевые «черви», «троянские кони» и логические бомбы. Отмечается, что защита от вредоносного программного обеспечения должна основываться на понимании требований безопасности, соответствующих мерах контроля доступа к системам и надлежащем управлении изменениями.

Должен быть определен порядок проведения вспомогательных операций, к которым относится резервное копирование программного обеспечения и данных, регистрация событий и ошибок и, где необходимо, мониторинг состояния аппаратных средств. Мероприятия по резервированию для каждой отдельной системы должны регулярно тестироваться для обеспечения уверенности в том, что они удовлетворяют требованиям планов по обеспечению непрерывности бизнеса.

Для обеспечения безопасности информации в сетях и защиты поддерживающей инфраструктуры требуется внедрение средств контроля безопасности и защита подключенных сервисов от неавторизованного доступа.

Особое внимание уделяется вопросам безопасное™ носителей информации различного типа: документов, компьютерных носителей информации (лент, дисков, кассет), данных ввода/вывода и системной документации от повреждений. Рекомендуется установить порядок использования сменных носителей компьютерной информации (порядок контроля содержимого, хранения, уничтожения и т. д.). Как уже отмечалось выше, носители информации по окончании использования следует надежно и безопасно утилизировать.

С целью обеспечения защиты информации от неавторизованного раскрытия или неправильного использования необходимо определить процедуры обработки и хранения информации. Эти процедуры должны быть разработаны с учетом категорирования информации и действовать в отношении документов, вычислительных систем, сетей, переносных компьютеров, мобильных средств связи, почты, речевой почты, речевой связи вообще, мультимедийных устройств, использования факсов и любых других важных объектов, например, бланков, чеков и счетов. Системная документация может содержать определенную важную информацию, поэтому тоже должна защищаться.

Процесс обмена информацией и программным обеспечением между организациями должен быть под контролем и соответствовать действующему законодательству. В частности, должна обеспечиваться безопасность носителей информации при пересылке, определена политика использования электронной почты и электронных офисных систем. Следует уделять внимание защите целостности информации, опубликованной электронным способом, например, информации на Web-сайте. Также необходим соответствующий формализованный процесс авторизации, прежде чем такая информация будет сделана общедоступной.

Следующий раздел стандарта посвящен вопросам контроля доступа. В нем требуется, чтобы правила контроля доступа и права каждого пользователя или группы пользователей однозначно определялись политикой безопасности. Пользователи и поставщики услуг должны быть оповещены о необходимости выполнения данных требований.

При использовании парольной аутентификации необходимо осуществлять контроль в отношении паролей пользователей. В частности, пользователи должны подписывать документ о необходимости соблюдения полной конфиденциальности паролей. Требуется обеспечить безопасность процесса получения пароля пользователем и, если это используется, управления пользователями своими паролями (принудительная смена пароля после первого входа в систему и т. д.).

Доступ как к внутренним, так и к внешним сетевым сервисам должен быть контролируемым. Пользователям следует обеспечивать непосредственный доступ только к тем сервисам, в которых они были авторизованы. Особое внимание должно уделяться проверке подлинности удаленных пользователей. Исходя из оценки риска, важно определить требуемый уровень защиты для выбора соответствующего метода аутентификации. Также должна контролироваться безопасность использования сетевых служб.

Многие сетевые и вычислительные устройства имеют встроенные средства удаленной диагностики и управления. Меры обеспечения безопасности должны распространяться и на эти средства.

В случае, когда сети используются совместно несколькими организациями, должны быть определены требования политики контроля доступа, учитывающие это обстоятельство. Также может потребоваться внедрение дополнительных мероприятий по управлению информационной безопасностью, чтобы ограничивать возможности пользователей по подсоединению.

На уровне операционной системы следует использовать средства информационной безопасности для ограничения доступа к компьютерным ресурсам. Это относится к идентификации и аутентификации терминалов и пользователей. Рекомендуется, чтобы все пользователи имели уникальные идентификаторы, которые не должны содержать признаков уровня привилегии пользователя. В системах управления паролем должны быть предусмотрены эффективные интерактивные возможности поддержки необходимого их качества. Использование системных утилит должно быть ограничено и тщательным образом контролироваться.

Желательно предусматривать сигнал тревоги на случай, когда пользователь может стать объектом насилия (если такое событие оценивается как вероятное). При этом необходимо определить обязанности и процедуры реагирования на сигнал такой тревоги.

Терминалы, обслуживающие системы высокого риска, при размещении их в легкодоступных местах должны отключаться после определенного периода их бездействия для предотвращения доступа неавторизованных лиц. Также может вводиться ограничение периода времени, в течение которого разрешены подсоединения терминалов к компьютерным сервисам.

На уровне приложений также необходимо применять меры обеспечения информационной безопасности. В частности, это может быть ограничение доступа для определенных категорий пользователей. Системы, обрабатывающие важную информацию, должны быть обеспечены выделенной (изолированной) вычислительной средой.

Для обнаружения отклонения от требований политики контроля доступа и обеспечения доказательства на случай выявления инцидентов нарушения информационной безопасности необходимо проводить мониторинг системы. Результаты мониторинга следует регулярно анализировать. Журнал аудита может использоваться для расследования инцидентов, поэтому достаточно важной является правильная установка (синхронизация) компьютерных часов.

При использовании переносных устройств, например, ноутбуков, необходимо принимать специальные меры противодействия компромегации служебной информации. Необходимо принять формализованную политику, учитывающую риски, связанные с работой с переносными устройствами, в особенности в незащищенной среде.

Десятый раздел стандарта называегся «Разработка и обслуживание систем». Уже на этапе разработки информационных систем необходимо обеспечить учет требований безопасности. А в процессе эксплуатации системы требуется предотвращать потери, модификацию или неправильное использование пользовательских данных. Для этого в прикладных системах рекомендуется предусмотрегь подтверждение корректности ввода и вывода данных, контроль обработки данных в системе, аугентификацию сообщений, протоколирование действий пользователя.

Для обеспечения конфиденциальности, целостности и аутентификации данных могут быть использованы крипгофафические средства защиты.

Важную роль в процессе защиты информации ифает обеспечение целостности программного обеспечения. Чтобы свести к минимуму повреждения информационных систем, следует строго контролировать внедрение изменений. Периодически возникает необходимость внести изменения в операционные системы. В этих случаях необходимо провести анализ и протестировать прикладные системы с целью обеспечения уверенности в том, что не оказывается никакого неблагоприятного воздействия на их функционирование и безопасность. Насколько возможно, готовые пакеты программ рекомендуется использовать без внесения изменений.

Связанным вопросом является противодействие «троянским» программам и использованию скрытых каналов утечки. Одним из методов противодействия является использование про]раммного обеспечения, полученного от доверенных поставщиков, и контроль целостности системы.

В случаях, когда для разработки программного обеспечения привлекается сторонняя организация, необходимо предусмотреть меры по контролю качества и правильности выполненных работ.

Следующий раздел стандарта посвящен вопросам управления непрерывностью бизнеса. На начальном этапе предполагается идентифицировать события, которые могут быть причиной прерывания бизнес-процессов (отказ оборудования, пожар и т. п.). При этом нужно провести оценку последствий, после чего разработать планы восстановления. Адекватность планов должна быть подтверждена тестированием, а сами они должны периодически пересматриваться, чтобы учитывать происходящие в системе изменения.

Заключительный раздел посвящен вопросам соответствия требованиям. В первую очередь, эго касается соответствия системы и порядка ее эксплуатации требованиям законодательства. Сюда относятся вопросы соблюдения авторского права (в том числе, на программное обеспечение), защиты персональной информации (сотрудников, клиентов), предотвращения нецелевого использования средств обработки информации. При использовании криптографических средств защиты информации, они должны соответствовать действующему законодательству. Также должна быть досконально проработана процедура сбора доказательств па случай судебных разбирательств, связанных с инцидентами в области безопасности информационной системы.

Сами информационные системы должны соответствовать политике безопасности организации и используемым стандартам. Безопасность информационных систем необходимо регулярно анализировать и оценивать. В то же время требуется соблюдать меры безопасности и при проведении аудита безопасности, чтобы это не привело к нежелательным последствиям (например, сбой критически важного сервера из-за проведения проверки).

Подводя итог можно отметить, что в стандарте рассмотрен широкий круг вопросов, связанных с обеспечением безопасности информационных систем, и по ряду направлений даются практические рекомендации.

• В качестве примера можно назвать пароли для входа «под принуждением». Если пользователь вводит такой пароль, система отображает процессобычного входа пользователя, после чего имитируется сбой, чтобы нарушители не смогли получить доступ к данным.

Понятие информационной безопасности. Понятие информационной безопасности в российской юридической терминологии не является устоявшимся по причине отсутствия единого методологического основания, на базе которого только и могут быть определены его сущность, степень необходимости использования и границы применения. К сожалению, это методологическое основание до сих пор не выработано, что отчетливо проявляется не только в обсуждении понятия информационной безопасности на страницах учебных и научных изданий, но и в текстах официальных документов, в том числе нормативных актов.

Понятие информационной безопасности получило развитие в Доктрине информационной безопасности Российской Федерации (далее - Доктрина), являющейся совокупностью официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности государства. В соответствии с п. 1 Доктрины под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

В основу доктринального определения информационной безопасности положено родовое понятие безопасности как "состояния защищенности", закрепленное в Законе РФ "О безопасности". Доктринальная формула объекта защиты соответствует родовому объекту, идентифицированному в Законе РФ "О безопасности" как "жизненно важные интересы". Учитывая роль и значимость Доктрины, следует признать, что дальнейшее использование и развитие понятия информационной безопасности будет происходить в заданном этим документом направлении, хотя оно и наиболее проблемно, поскольку требует ответа на не найденный до сих пор несколькими поколениями ученых вопрос. Этот вопрос, коль скоро речь идет об объекте защиты, в качестве которого полагаются национальные интересы, определяющиеся совокупностью сбалансированных интересов личности, общества и государства, состоит в определении баланса интересов отдельной личности и общества в целом. Ведь то, что отвечает интересам отдельного индивида, не всегда отвечает интересам общества в целом; и наоборот, то, что соответствует интересам всего общества, может явно противоречить интересу отдельного индивида.

Между тем в Доктрине предпринята попытка структурирования национальных интересов Российской Федерации в информационной сфере на основе их четырех составляющих.

Первая составляющая национальных интересов включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей в обществе, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

Вторая составляющая национальных интересов содержит в себе информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике России, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.

Третья составляющая национальных интересов объединяет в себе развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.

И наконец, четвертую составляющую национальных интересов образуют защита информационных ресурсов от несанкционированного доступа и обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

Предполагается, что все четыре составляющие национальных интересов в информационной сфере могут, в свою очередь , рассматриваться как совокупность сбалансированных интересов личности, общества и государства. При этом интересы личности заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность . Интересы общества заключаются в обеспечении интересов личности в информационной сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России. Интересы государства заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

Основные задачи по обеспечению информационной безопасности. На основе национальных интересов Российской Федерации в информационной сфере формируются задачи по обеспечению информационной безопасности. Характер данных задач определяется текущим состоянием сферы информационной безопасности с учетом наличия тех либо иных внешних и внутренних угроз конституционным правам и свободам человека и гражданина, интересам общества и государства.

В Доктрине определены следующие основные задачи по обеспечению информационной безопасности:

• разработка основных направлений государственной политики в области обеспечения информационной безопасности России, а также мероприятий и механизмов, связанных с реализацией этой программы;
• развитие и совершенствование системы обеспечения информационной безопасности, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности России, а также системы противодействия этим угрозам;
• разработка федеральных целевых программ обеспечения информационной безопасности России;
• разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности, а также сертификации этих систем и средств;
• совершенствование нормативно-правовой базы обеспечения информационной безопасности России, включая механизмы реализации прав граждан на получение информации и доступ к ней, формы и способы реализации правовых норм, касающихся взаимодействия государства со средствами массовой информации;
• установление ответственности должностных лиц федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности;
• координация деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ, организаций независимо от формы собственности в области обеспечения информационной безопасности России;
• развитие научно-практических основ обеспечения информационной безопасности России с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения "информационного оружия";
• разработка и создание механизмов формирования и реализации государственной информационной политики России;
• разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;
• обеспечение технологической независимости России в важнейших областях информации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь в области создания специализированной вычислительной техники для образцов вооружений и военной техники;
• разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, и прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами;
• развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны;
• создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;
• расширение взаимодействия с международными и зарубежными органами и организациями при решении научно-технических и правовых вопросов обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи;
• обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;
• создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.

Представляется, что условием плодотворности решения указанных задач, как, впрочем, и любых иных, является перевод их в плоскость реальных установок, закрепленных нормативными средствами. Пока этого нет, задачи существуют сами по себе, будучи замкнутыми в системе официальных взглядов.

Методы обеспечения информационной безопасности. Методы обеспечения информационной безопасности делятся на общие и частные. Общие методы, в свою очередь , дифференцируются на правовые, организационно-технические и экономические.

К правовым методам обеспечения информационной безопасности согласно Доктрине относятся разработка нормативных правовых актов, регламентирующих отношения в информационной сфере и нормативных методических документов по вопросам обеспечения информационной безопасности России. Основными направлениями этой деятельности, в частности, являются:

• законодательное разграничение полномочий в области обеспечения информационной безопасности между федеральными органами государственной власти и органами государственной власти субъектов РФ, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
• разработка и принятие нормативных правовых актов РФ, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;
• законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;
• определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории России, и правовое регулирование деятельности этих организаций;
• создание правовой базы для формирования в России региональных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информационно безопасности, в частности, являются:

• создание и совершенствование системы обеспечения информационной безопасности России;
• усиление правоприменительной деятельности органов исполнительной власти;
• разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств;
• создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
• выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи;
• сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
• контроль за действиями персонала в защищенных информационных системах.

Экономические методы обеспечения информационной безопасности включают в себя:

• разработку программ обеспечения информационной безопасности России и определение порядка их финансирования;
• совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Частные методы обеспечения информационной безопасности России разделяются на методы, использование которых обусловлено спецификой различных сфер жизнедеятельности общества и государства. В каждой из этих сфер имеются свои особенности, связанные со своеобразием объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности. Доктрина не указывает прямо на конкретные частные методы, а оперирует объектами, наиболее подверженными воздействию угроз информационной безопасности, и мерами, которые следовало бы принять в сферах экономики, внутренней и внешней политики, науки и техники, духовной жизни, обороны, в общегосударственных информационных и телекоммуникационных системах, в правоохранительной и судебной сферах в условиях чрезвычайных ситуаций.

Составляющие информационной безопасности

В общем случае информационную безопасность (ИБ) можно определить как "защищенность информации, ресурсов и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений – производителям, владельцам и пользователям информации и поддерживающей инфраструктуре" .

Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации: это принципиально более широкое понятие, включающее защиту информации, технологий и систем.

Требования по обеспечению безопасности в различных аспектах информационной деятельности могут существенно отличаться, однако они всегда направлены на достижение следующих трех основных составляющих информационной безопасности:

• целостности . Это в первую очередь актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения, а именно: данные и информация, на основе которой принимаются решения, должны быть достоверными, точными и защищенными от возможных непреднамеренных и злоумышленных искажений;
• конфиденциальности . Засекреченная информация должна быть доступна только тому, кому она предназначена. Такую информацию невозможно получить, прочитать, изменить, передать, если на это нет соответствующих прав доступа;
• доступности (готовности). Это возможность за приемлемое время получить требуемую информационную услугу, т.е. данные, информация и соответствующие службы, автоматизированные сервисы, средства взаимодействия и связи должны быть доступны и готовы к работе всегда, когда в них возникает необходимость.

Деятельность по обеспечению информационной безопасности направлена на то, чтобы не допустить, предотвратить или нейтрализовать следующие действия:

• несанкционированный доступ к информационным ресурсам (НСД, Unauthorized Access – UAA);
• искажение, частичную или полную утрату конфиденциальной информации;
• целенаправленные действия (атаки) по разрушению целостности программных комплексов, систем данных и информационных структур;
• отказы и сбои в работе программно-аппаратного и телекоммуникационного обеспечения.

Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных технологий и систем (ИТ/ИС).

Оценка реальной ситуации сводится в большинстве случаев к ответу на ключевые вопросы, составляющие системную основу для обеспечения информационной безопасности, и в частности надо ли защищаться, от кого и чего следует защищаться, что и как требуется защищать, какие меры обеспечат эффективность защиты, а также оценить предполагаемую стоимость разработки, внедрения, эксплуатации, сопровождения и модернизации систем безопасности.

Первые три вопроса непосредственным образом относятся к проблеме оценки реальных угроз (рис. 7.1) 16]. Ответы на эти вопросы неоднозначны – многое зависит от структуры, области деятельности и целей компании. При интеграции индивидуальных и корпоративных информационных систем и ресурсов в единую информационную инфраструктуру определяющим фактором является обеспечение должного уровня информационной безопасности для каждого субъекта, принявшего решение войти в единую инфраструктуру.

Рис. 7.1.

В едином информационном пространстве государственной структуры или коммерческой фирмы должны быть созданы механизмы и инструмент аутентификации для проверки подлинности пользователя, сообщения и контента. Таким образом, должна быть создана система информационной безопасности, которая включала бы необходимый комплекс мероприятий и технических решений по защите:

• от нарушения функционирования информационного пространства путем исключения воздействия на информационные каналы и ресурсы;
• несанкционированного доступа к информации путем обнаружения и ликвидации попыток по использованию ресурсов информационного пространства, приводящих к нарушению его целостности;
• разрушения встраиваемых средств защиты с возможностью выявления неправомочности действий пользователей и обслуживающего персонала;
• внедрения программных " вирусов " и "закладок " в программные продукты и технические средства.

Особо следует отметить задачи обеспечения безопасности разрабатываемых и модифицируемых систем в интегрированной информационной среде, так как в процессе модификации КИС неизбежно возникновение нештатных ситуаций незащищенности системы (так называемые "дыры в системе").

Наряду с анализом существующих в компании конкретных средств защиты должна осуществляться разработка политики в области информационной безопасности, включающей совокупность организационно-распорядительных мер и документов, а также методологических и технических решений, являющихся основой для создания инфраструктуры информационной безопасности (рис. 7.2) .

Рис. 7.2.

Следующим этапом по разработке комплексной системы информационной безопасности служит приобретение, установка и настройка средств и механизмов защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны (брандмауэры, файерволы), средства анализа защищенности и др. Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал.

С течением времени имеющиеся средства защиты устаревают, выходят новые версии систем обеспечения информационной безопасности, постоянно расширяется список найденных уязвимых мест и атак, меняются технология обработки информации, программные и аппаратные средства, а также персонал компании. Поэтому необходимо регулярно пересматривать разработанные организационнораспорядительные документы, проводить обследование ИС или ее подсистем, обучать персонал и обновлять средства защиты.

Любое предприятие, получающее ресурсы, в том числе и информационные, перерабатывает их, чтобы в конечном итоге реализовать на рынке собственный коммерческий продукт. При этом оно порождает специфическую внутреннюю среду, которая формируется усилиями персонала всех структурных подразделений, а также техническими средствами и технологическими процессами, экономическими и социальными отношениями как внутри предприятия, так и во взаимодействии с внешней средой.

Корпоративная информация отражает финансово- экономическое состояние предприятия и результаты его деятельности. Примеры подобной информации – это регистрационные и уставные документы, долгосрочные и текущие планы, приказы, распоряжения, отчеты, производственные данные, данные о движении финансов и других ресурсов, сведения о подготовке персонала и сферах применения продуктов деятельности, включая методы и каналы сбыта, технику продаж, заказы, логистику, информацию о поставщиках и партнерах.

Источники корпоративной информации – директорат и администрация предприятия, планово-финансовые подразделения, бухгалтерия, ИТ-отделы и вычислительные центры, отделы главного инженера и главного механика, производственные подразделения, юридические, эксплуатационные и ремонтные службы, отделы логистики, закупки и сбыта и т.д.

Корпоративная среда включает государственные, экономические, политические и социальные субъекты, действующие за пределами предприятия. Информация вне корпоративной среды часто неполна, противоречива, приблизительна, разнородна и неадекватно отражает состояние внешней среды. Примерами внешней информации, выходящей за пределы корпоративной среды, являются состояние рынка (его долговременное и текущее состояние, тенденции в деловой среде, колебания спроса и предложения, нестабильность ситуации, изменчивость, противоречивость требований), изменения в законодательстве, ожидания потребителей, "происки" конкурентов, последствия политических событий и т.д.

Бо́льшая часть этой информации является открытой, однако в зависимости от особенностей внутренней деятельности и взаимодействия с внешним миром часть информации может быть предназначена "для служебного пользования", т.е. быть "строго конфиденциальной" или "секретной". Такая информация является, как правило, "закрытой" и требует соответствующих мер защиты.

Для обеспечения безопасности при работе с охраняемой информацией следует, во-первых, выстроить политику работы с конфиденциальной и служебной информацией, разработать и внедрить соответствующие руководства и процедуры и, во-вторых, обеспечить необходимые программно-аппаратные ресурсы.

Программно-аппаратные средства для работы с охраняемой информацией либо встраиваются в соответствующие модули корпоративной информационной системы (КИС), либо используются локально в системах, оговоренных в политике ИБ. К ним относятся устройства, осуществляющие:

• мониторинг перемещения конфиденциальной информации по информационной системе (Data-in-Shell);
• управление контролем утечки данных через сетевой трафик по протоколам TCP/IP, SMTP, IMAP, HTTP(s), IM (ICQ, AOL, MSN), FTP, SQL, собственных протоколов посредством фильтрации контента на уровне:
• – шлюза, через который идет трафик из внутренней сети во внешнюю сеть (Data-in-Motion);
• – сервера, обрабатывающего определенный тип трафика (Data-at-Rest);
• – рабочей станции (Data-in-Use);
• – внутренних каналов почты Microsoft Exchange, Lotus Notes и др.
• – управления контролем утечки охраняемой информации с рабочих станций, периферийных и мобильных

• – установления проактивной защиты и персональных сетевых экранов;
• – теневого копирования информационных объектов в единую базу контентной фильтрации для всех каналов по единым правилам.

Грамотно организовать защиту охраняемых данных и информации нелегко и недешево. Для этого нужно провести классификацию данных, тщательную инвентаризацию информационных ресурсов, выбрать адекватное программноаппаратное решение, разработать и внедрить совокупность регламентирующих документов по обеспечению внутренней безопасности. Главную роль в этой непростой работе по минимизации рисков утечки данных играют компетентность и воля высшего руководства предприятия, актуальные политики и эффективные программные средства, а также режим коммерческой тайны при работе с охраняемой информацией.

Информационная безопасность. Курс лекций Артемов А. В.

Вопрос 1. Состояние вопросов обеспечения информационной безопасности

В настоящее время вопросы ИБ в вузах стали принимать все более актуальное значение. Следует вспомнить, что проблема компьютерных правонарушений зародилась именно в вузах (например, вирус Морриса). По оценкам МВД число компьютерных преступлений за предыдущий год в России возросло в 4 раза. Анализ сообщений в Интернет относительно уголовных правонарушений по статьям компьютерных преступлений показал, что фактически все они были совершены студентами. Кроме того, множество инцидентов находятся на грани компьютерных преступлений. Помимо сетевых атак, в последнее время возникло такое явление, как информационное противостояние студентов в Интернет, например: ведение неофициальных сайтов вузов (mgtu.ru), выкладывание компрамата на преподавателей, «реферативная» поддержка и т. д.

В настоящее можно насчитать около двух десятком вузов, где активно ведутся работы в области ИБ и создали подготовку по специальностям ИБ. Пять вузов имеют действительные лицензии Гостехкомиссии России на преподавание спецкурсов, а также разработку средств защиты информации. Однако в большинстве вузов вопросам всестороннему обеспечению ИБ уделяют недостаточное внимание. Представленный в Интернет обзор по ИТ-технологиям в вузах (http://www.cnews.ru/education) позволяет сделать вывод, что их внедрение находится на самом раннем этапе развития.

Из книги Информационная безопасность человека и общества: учебное пособие автора Петров Сергей Викторович

2.3. Место информационной безопасности в системе национальной безопасности России В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым, звеном всей

Из книги Засады, подставы и другие хитрости инспекторов ГИБДД автора Кузьмин Сергей

Глава 3 ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской

Из книги Сертификация сложных технических систем автора Смирнов Владимир

4.1. Конституция РФ и Доктрина информационной безопасности РФ о правовом обеспечении информационной сферы Проблема правового регулирования отношений в сфере обеспечения информационной безопасности является для России одной из важнейших. От ее решения во многом зависит

Из книги Информационная безопасность. Курс лекций автора Артемов А. В.

4.5. Международное сотрудничество России в области обеспечения информационной безопасности Международное сотрудничество РФ в области обеспечения информационной безопасности – неотъемлемая составляющая политического, военного, экономического, культурного и других

Из книги автора

ПРАВИЛА ОСВИДЕТЕЛЬСТВОВАНИЯ ЛИЦА, КОТОРОЕ УПРАВЛЯЕТ ТРАНСПОРТНЫМ СРЕДСТВОМ, НА СОСТОЯНИЕ АЛКОГОЛЬНОГО ОПЬЯНЕНИЯ И ОФОРМЛЕНИЯ ЕГО РЕЗУЛЬТАТОВ, НАПРАВЛЕНИЯ УКАЗАННОГО ЛИЦА НА МЕДИЦИНСКОЕ ОСВИДЕТЕЛЬСТВОВАНИЕ НА СОСТОЯНИЕ ОПЬЯНЕНИЯ, МЕДИЦИНСКОГО ОСВИДЕТЕЛЬСТВОВАНИЯ

Из книги автора

7.6. Методы и средства информационной поддержки систем обеспечения качества

Из книги автора

Вопрос 1. Место информационной безопасности в системе национальной безопасности России: понятие, структура и содержание Информатизация социально-политической, экономической и военной деятельности страны и, как следствие, бурное развитие информационных систем

Из книги автора

Вопрос 2. Основные руководящие документы, регламентирующие вопросы информационной безопасности Рассматривая Концепцию национальной безопасности России, утвержденную Указом Президента РФ от 17.12.97 № 1300 (в ред. от 10.01.2000), которая отражает названную «Окинавскую хартию

Из книги автора

Вопрос 3. Современные угрозы информационной безопасности в России Согласно Закону о безопасности под угрозой безопасности понимается совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства. Концепция

Из книги автора

Лекция 4 Методика построения корпоративной системы обеспечения информационной безопасности Учебные вопросы:1. Разновидности аналитических работ по оценке защищенности.2. Модель и методика корпоративной системы защиты информации.3. Формирование организационной

Из книги автора

Лекция 6 Основы обеспечения информационной безопасности в банковской сфере Учебные вопросы:1. Особенности информационной безопасности банков2. Анализ состояния банковских автоматизированных систем сточки зрения безопасности3. Принципы защиты банковских

Из книги автора

Вопрос 1. Особенности информационной безопасности банков Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная

Из книги автора

Вопрос 1. Обобщенная модель процессов информационной безопасности Общими моделями систем и процессов защиты информации названы такие, которые позволяют определять (оценивать) общие характеристики указанных систем и процессов в отличие от моделей локальных и частных,

Из книги автора

Вопрос 1. Назначение математических моделей обеспечения безопасности информации в АСУ Функционирование АСУ, обеспечивающее реализацию технологии автоматизированного управления сложными процессами в распределенной системе, должно основываться на плановом начале с

Из книги автора

Вопрос 2. Сравнительный анализ и основные определения математических моделей обеспечения безопасности информации Существующие технологии формального описания процессов обеспечения безопасности информации основываются на понятиях теории конечных автоматов, теории

Из книги автора

Лекция 11 Основные направления обеспечения информационной безопасности компьютерных сетей учебных заведений Учебные вопросы:1. Состояние вопросов обеспечения информационной безопасности.2. Угрозы и уязвимости КСУЗ.3. Этапы построения БКСУЗ.4. Направление

руководства, а также излагать подход организации к управлению информационной безопасностью. Как минимум, политика должна включать следующее:

а) определение информационной безопасности, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;

б) изложение целей и принципов информационной безопасности, сформулированных руко водством;

в) краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например:

1) соответствие законодательным требованиям и договорным обязательствам;

2) требования в отношении обучения вопросам безопасности;

3) предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;

4) управление непрерывностью бизнеса;

5) ответственность за нарушения политики безопасности;

г) определение общих и конкретных обязанностей сотрудников в рамках управления инфор мационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;

д) ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи,

Такая политика должна быть доведена до сведения всех сотрудников организации в доступной и понятной форме.

3.1.2 Пересмотр и оценка

Необходимо, чтобы в организации назначалось ответственное за политику безопасности должност­ ное лицо, которое отвечало бы за ее реализацию и пересмотр в соответствии с установленной процеду­ рой. Указанная процедура должна обеспечивать осуществление пересмотра политики информационной безопасности в соответствии с изменениями, влияющими на основу первоначальной оценки риска, например, путем выявления существенных инцидентов нарушения информационной безопасности, появление новых уязвимостей или изменения организационной или технологической инфраструктуры. Периодические пересмотры должны осуществляться в соответствии с установленным графиком и включать:

- проверку эффективности политики, исходя из характера, числа и последствий зарегистрированных инцидентов нарушения информационной безопасности;

- определение стоимости мероприятий по управлению информационной безопасностью и их влия­ ние на эффективность бизнеса;

- оценку влияния изменений в технологиях.

4 Организационные вопросы безопасности

4.1 Организационная инфраструктура информационной безопасности

Цель: управление информационной безопасностью в организации.

Структуру управления следует создавать так, чтобы она способствовала инициации и осуществле­ нию контроля за внедрением информационной безопасности в организации,

Следует создавать соответствующие управляющие советы с участием высшего руководства для утверждения политики информационной безопасности, назначения ответственных лиц в области информационной безопасности, а также осуществления координации внедрения мероприятий по управ­ лению информационной безопасностью в организации. При необходимости следует предусмотреть наличие специалиста по вопросам информационной безопасности внутри организации, к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специалистами по безопасности для того, чтобы быть в курсе отраслевых тенденций, способов и методов ее оценки, а также с целью адекватного реагирования на инциденты нарушения информационной безопасности. Следует поощрять многопрофильный подход к информационной безопасности, например, путем налаживания сотрудничества между менеджерами, пользователями, администраторами, разработчиками приложений, аудиторами и сотрудниками безопасности, а также специалистами в области страхования и управления рисками.

Обеспечение информационной безопасности - это ответственность высшего руководства орга­ низации, разделяемая всеми ее членами, Поэтому при формировании совета по вопросам информаци­ онной безопасности должны обеспечиваться четкое управление и реальная поддержка со стороны руководства инициатив в области безопасности. Такой совет должен способствовать укреплению безо­ пасности в организации путем непосредственного участия руководства и выделения необходимых ресурсов. Он может быть частью существующего органа управления. Как правило, такой совет выполняет следующие функции:

- утверждение и пересмотр политики информационной безопасности и соответствующих обязан­ ностей по ее выполнению;

- отслеживание существенных изменений в воздействиях основных угроз информационным акти­

- анализ и мониторинг инцидентов нарушения информационной безопасности;

- утверждение основных проектов в области информационной безопасности.

Кроме этого, должен быть назначен руководитель, отвечающий за все вопросы, связанные с информационной безопасностью.

4.1.2 Координация вопросов информационной безопасности

Для координации внедрения мероприятий по управлению информационной безопасностью в большой организации может потребоваться создание комитета, включающего представителей руково­ дства заинтересованных подразделений организации.

Как правило, такой комитет:

- согласовывает конкретные функции и обязанности в области информационной безопасности в рамках всей организации;

- согласовывает конкретные методики и процедуры информационной безопасности, например, такие как оценка рисков, классификация информации с точки зрения требований безопасности;

- согласовывает и обеспечивает поддержку инициатив и проектов в области информационной безопасности в рамках всей организации, например, таких как разработка программы повышения осве­ домленности сотрудников в области безопасности;

- обеспечивает учет включения требований безопасности во все проекты, связанные с обработкой и использованием информации;

- оценивает адекватность и координирует внедрение конкретных мероприятий по управлению информационной безопасностью для новых систем или услуг;

- проводит анализ инцидентов нарушения информационной безопасности;

- способствует демонстрации поддержки информационной безопасности со стороны высшего руководства организации.

4.1.3 Распределение обязанностей по обеспечению информационной безопасности

Следует определить обязанности по защите отдельных активов и по выполнению конкретных про­

цедур, связанных с информационной безопасностью.

Политика информационной безопасности (раздел 3 ) должна устанавливать общие принципы и правила распределения функций и обязанностей, связанных с обеспечением информационной безо­ пасности в организации. Политику следует дополнить, где необходимо, более детальными руководствами для конкретных областей, систем или услуг, Кроме этого, должна быть четко определена конкретная ответственность в отношении отдельных материальных и информационных активов и процессов, свя­ занных с информационной безопасностью, например, таких как планирование непрерывности бизнеса.

Во многих организациях на руководителя службы информационной безопасности возлагается общая ответственность за разработку и внедрение системы информационной безопасности, а также за оказание содействия в определении мероприятий по управлению информационной безопасностью.

В то же время ответственность за определение подлежащих защите ресурсов и реализацию мероприятий по управлению информационной безопасностью в большинстве случаев возлагается на руководителей среднего звена. Общепринятой практикой является назначение ответственного лица (администратора) для каждого информационного актива, в чьи повседневные обязанности входит обес­ печение безопасности данного актива.

Администратор информационных активов может передавать свои полномочия по обеспечению безопасности какому-либо руководителю среднего звена или поставщикам услуг, Тем не менее, адми­ нистратор остается ответственным за обеспечение безопасности актива и должен быть в состоянии определить, что любые переданные полномочия реализуются должным образом.

Следует устанавливать границы ответственности каждого руководителя и выполнять следующие правила:

- различные активы и процессы (процедуры) безопасности, связанные с каждой отдельной систе­ мой, должны быть выделены и четко определены;

- необходимо назначить ответственных (администраторов) за каждый актив или процедуру безо­ пасности, и детали этой ответственности должны быть документированы;

4.1.4 Процесс получения разрешения на использование средств обработки информации

Необходимо определить процедуры получения разрешения на использование новых средств обработки информации.

При этом могут осуществляться следующие мероприятия по управлению информационной безо­ пасностью:

- новые средства должны быть соответствующим образом одобрены со стороны руководства пользователей и администраторов средств управления, авторизующих их цель использования. Одобре­ ние следует также получать от менеджера, ответственного за поддержание среды безопасности локаль­ ной информационной системы, чтобы обеспечить уверенность в том, что все соответствующие политики безопасности и требования соблюдены;

- аппаратные средства и программное обеспечение следует проверять на совместимость с другими компонентами системы.

Примечания 1 Одобрение может потребоваться для соединений некоторых типов.

2 Использование личных средств обработки информации для обработки служебной информации и любых необходимых мероприятий по управлению информационной безопасностью должно быть авторизовано.

3 Использование личных средств обработки информации на рабочем месте может быть причиной новых уязвимостей и, следовательно, должно быть оценено и авторизовано.

Эти мероприятия по управлению информационной безопасностью особенно важны в сетевой среде.

4.1.5 Консультации специалистов по вопросам информационной безопасности

Консультации специалистов по вопросам безопасности требуются многим организациям. В идеале, их должен обеспечивать опытный консультант по информационной безопасности, являющийся сотрудником организации. Но не все организации могут иметь в своем штате профессионала-консуль­ танта. В таких случаях рекомендуется назначение выделенного сотрудника (администратора) для обоб­ щения знаний и опыта внутри организации с целью обеспечения согласованности и поддержки в принятии решений по безопасности. Этот сотрудник должен также иметь доступ к необходимым внешним консультантам для получения профессиональных консультаций по вопросам, выходящим за рамки его собственной компетенции.

Перед консультантами по информационной безопасности или администраторами должна быть поставлена задача по обеспечению консультаций по всем аспектам информационной безопасности, в том числе и с привлечением внешних консультантов. От качества их оценки угроз безопасности и разработки рекомендаций относительно мероприятий по управлению информационной безопасностью существенным образом зависит ее эффективность в организации. Для обеспечения максимальной эффективности и результативности деятельности консультантов (администраторов) им должна быть предоставлена возможность непосредственного доступа к высшему руководству организации.

С консультантом по информационной безопасности или администратором следует советоваться, по возможности, незамедлительно, в случае подозрения на выявление инцидента нарушения информа­ ционной безопасности или уязвимости безопасности для обеспечения получения квалифицированного совета или выделения ресурсов. Несмотря на то, что большинство внутренних расследований в отноше­ нии безопасности обычно выполняют под контролем руководства, может быть целесообразным обра­ щение к консультанту (администратору) по информационной безопасности с целью разработки рекомендаций, а также его участия в расследовании или в его руководстве.

4.1.6 Сотрудничество между организациями в области информационной безопасности

Соответствующие контакты с органами, отвечающими за соблюдение законов, с регулирующими органами, поставщиками информационных услуг и операторами связи следует поддерживать для того, чтобы гарантировать, что и в случае нарушения информационной безопасности можно быстро предпри­ нять соответствующие действия и получить правильный совет. С аналогичной целью следует рассмат­ ривать участие в профессиональных сообществах и в отраслевых мероприятиях в области безопасности.