среда, 5 августа 2015 г.

СОИБ. Анализ. Структура политик по ИБ

В одной из предыдущих статей я делал обзор лучших практик по ИБ (публичный комплекс требований, рекомендаций и стандартов) из Австралии. В них немалое внимание уделяется внутренней документации по ИБ в организации. На этой теме и остановимся подробнее.

В соответствии со стандартом Information Security Manual 2015 - Principles  необходимо сформировать в организации структуру документов по управления информационной безопасностью (Information Security Management Framework), которая должна включать:
·         Политику ИБ (Information security policy, ISP).
·         План управления рисками ИБ (Security risk management plan, SRMP).
·         План системы защиты (System security plan, SSP).
·         Описание стандартных операционных процедур (Standard operating procedures, SOP).
·         План реагирования на инциденты (Incident response plan, IRP).
·         Описание порядка действий в чрезвычайных ситуациях (Emergency procedures, EP)
·         План обеспечения непрерывности и восстановления (Business continuity and disaster recovery plans, BCDRP)

Политика ИБ (ISP) должна затрагивать такие темы как:
·         процедуры оценки соответствия и приемки систем (accreditation processes)
·         ответственность сотрудников (personnel responsibilities)
·         управление конфигурациями (configuration control)
·         управление доступом (access control)
·         безопасное взаимодействие между сетями и системами (networking and connections with other systems)
·         физическая безопасность и управление носителями информации (physical security and media control)
·         процедуры реагирования в чрезвычайных ситуациях и при обнаружении инцидентов ИБ (emergency procedures and cyber security incident management)
·         управление изменениями (change management)
·         повышение осведомленности и обучение по вопросам ИБ (information security awareness and training)

Требования к плану управления рисками ИБ (SRMP):
·         должен включать оценку рисков ИБ и правила обработки рисков ИБ
·         должен включаться в общий план управления рисками Организации
·         должен учитывать особенности Организации и конкретных ИС
·         должен основываться на национальных стандартах по управлению рисками и угрозами

Требования к плану системы защиты (SSP) - должен включать меры защиты из стандарта ISM, определенные в зависимости от класса ИС, функций и технологий, используемых в ИС (используя последнюю версию Australian ISM пользователь обеспечивает то, что меры защиты учитывают актуальные для текущего года угрозы; глобальные изменения актуальности угроз учитывается при обновлении ISM)

Требования к описанию стандартных операционных процедур (SOP):
·         должны разрабатываться описания процедур обеспечения ИБ для следующих ролей:
o   менеджер ИБ (Information Technology Security Manager)
o   ответственный за обеспечение ИБ (Information Technology Security Officer)
o   администратор ИТ/ИС (system administrator)
o   пользователь (user)
·         для менеджера по ИБ должны быть описаны как минимум следующие процедуры:
o   (Cyber security incidents) управление и отчетность об инцидентах ИБ


·         для ответственного за обеспечение ИБ должны быть описаны как минимум следующие процедуры:
o   (Access control) управление доступом - авторизация
o   (User account management) управление учетными записями пользователей - авторизация
o   (Asset musters) инвентаризация, учет и управление ИТ активами, включая носители информации
o   (Audit logs) просмотр и анализ логов и записей аудита
o   (Configuration control) контроль и утверждение изменений в составе ПО или конфигурациях
o   (Cyber security incidents) обнаружение инцидентов ИБ, определение причин инцидентов, определение действий, необходимых для устранения или минимизации последствий инцидентов ИБ
o   (Data transfers) проверка отправляемых из организации носителей информации, проверка входящих в организацию носителей информации
o   (ICT equipment) вывод из эксплуатации оборудования и носителей информации
o   (System integrity audit) анализ защищенности ИС, в том числе анализ учетных записей, прав доступа, целостности ПО и данных, тестирование защитных механизмов, проверка оборудования
o   (System maintenance) обеспечение ИБ при эксплуатации систем, в том числе отслеживание уязвимостей ПО, тестирование и применение обновлений, применение дополнительных мер по защите


·         для администратора ИТ/ИС должны быть описаны как минимум следующие процедуры:
o   (Access control) управление доступом - предоставление
o   (User account management) управление учетными записями пользователей - создание, назначение прав, изменение
o   (Configuration control) внесение изменений в составе ПО или конфигурациях
o   (System backup and recovery) резервное копирование и восстановление


·         для пользователя должны быть описаны как минимум следующие процедуры:
o   (Cyber security incidents) действий при подозрении на инцидент ИБ
o   (End of day) действия по безопасному завершению рабочего дня
o   (Media control) работа с носителями информации
o   (Passphrases) создание и использование паролей
o   (Temporary absence) обеспечение безопасности систем при временном отсутствии


·         сотрудники всех озвученных ролей должны быть ознакомлены под роспись с процедурами по ИБ и последствиями их нарушения
Требования к Плану реагирования на инциденты (IRP):
·         должен (must) включаться в IRP как минимум:
o   общее описание инцидентов ИБ
o   минимальные инструкции по реагированию и расследованию инцидентов ИБ
o   группа, ответственная за расследование инцидентов ИБ
o   действия, необходимые для сбора и сохранения свидетельств и доказательств
o   действия, необходимые для непрерывности работы критических ИС
o   форма отчета об инциденте ИБ
·         необходимо (should) включать в IRP:
o   описания типов инцидентов ИБ, которые могут встретится
o   планируемые действия при обнаружении каждого типа инцидентов ИБ
o   критерии, по которым принимается решение о привлечении правоохранительных органов
o   другие лица, которые должны быть проинформированы о начале расследования

Требования к описанию порядка действий в чрезвычайных ситуациях (EP):
·         в общие процедуры действий в чрезвычайных ситуациях должны включатся обеспечить безопасность информации и критических ИС, в случае если принято решение, что это не угрожает здоровью или жизни персонала;
·         необходимо разделять сигналы о чрезвычайных ситуациях на предупреждающие и критические, таким образом, чтобы во время предупреждающего сигнала можно было принимать меры по обеспечению безопасности информации и критических ИС.

Требования к плану обеспечения непрерывности и восстановления (BCDRP):
·         должны быть определены требования по доступности ИС в зависимости от бизнес- требований
·         должна включать стратегию резервирования, которая определяет необходимость:
o   резервирования всей критической информации
o   хранить резервные копии на удаленной площадке, обеспечивая при этом меры ИБ, необходимые в соответствии с критичностью информации и классом ИС
o   документировать процедуры восстановления
o   регулярно проводить тестирование восстановления
·         должен включать план непрерывности бизнес процессов в особых ситуациях
·         должен включать план восстановления в случае аварий

Кроме этого есть указания и требования к структуре документации по ИБ в целом:
·         необходимо разрабатывать структуру документов по ИБ, включая иерархию и связи между документами
·         структура документов по ИБ и сами документы должны разрабатываться специалистами со знанием как области ИБ так и требований бизнеса
·         можно отдавать разработку документов на аутсорсинг, но при этом необходимо контролировать результат, для того чтобы документы учитывали особенности вашей организации
·         формально принимать и согласовывать документы по ИБ со всеми заинтересованными лицами (руководством организации, владельцами ИС, менеджером ИБ, ..)
·         после утверждения документов, они должны быть опубликованы в организации и доведены до всех затрагиваемых лиц
·         документы должны пересматриваться ежегодно и при значительных изменениях в бизнес процессах и ИС


Что меня наиболее удивило и в чем сильная сторона структуры документов по Australian ISM – большее внимание уделяется не политике ИБ и подполитикам, а планам и процедурам в области ИБ.



Комментариев нет: