Іншим важливим завданням cert-ua є надання консультативної та методичної допомоги суб'єктам координації у вирішенні питань забезпечення захисту державних інформаційних ресурсів в ітс.

Крім того, CERT-UA:

— постійно відслідковує світові та українські події у сфері безпеки інформації в ІТС, а також найбільш важливі проблеми у цій сфері;

— надає рекомендації щодо методик протидії сучасним видам атак, побудови системи захисту ІТС, використання найбільш ефективних засобів захисту інформації тощо;

— взаємодіє з правоохоронними органами України;

— взаємодіє з іноземними та міжнародними організаціями реагування на несанкціоновані дії;

— здійснює накопичення та аналіз даних про вчинення та/або спроби вчинення несанкціонованих дій щодо державних інформаційних ресурсів в інформаційно-телекомунікаційних системах.

Поддержание таких контактов может быть требованием поддерживать менеджмент инцидентов в системе защиты информации (Раздел 13.2) или непрерывности бизнеса и процесс планирования чрезвычайных обстоятельств (Раздел 14).

Контакты с регулятивными органами также полезны для того, чтобы предполагать предстоящие изменения в законе или нормах, которым организации надлежит следовать, и готовиться к ним.

Контакты с другими органами включают коммунальные предприятия, аварийные службы и охрану труда, например, пожарные команды (в связи с деловой непрерывностью), поставщики телекоммуникационных услуг (в связи с прокладкой и доступностью линий связи), поставщики воды (в связи со средствами охлаждения для оборудования).

 

26. Визначення ризиків щодо захищеності інформації, що виникають у разі взаємодії з зовнішніми сторонами. (Выявление рисков, связанных с внешними сторонами) [27001-2 А 6].

Выявление рисков, связанных с внешними сторонами

Средство управления

До предоставления доступа должны быть выявлены риски для информации и средств обработки информации организации, проистекающие из деловых процессов, вовлекающих внешние стороны, и должны быть реализованы соответствующие средства управления.

 

Для этого необходимо.

Если есть потребность в разрешении допуска внешней стороны к средствам обработки информации или информации организации, то должна быть выполнена оценка рисков (см. также раздел 4), с целью определить любые требования для конкретных средств управления.

Выявление рисков, связанных с доступом внешних сторон, должно учитывать следующее вопросы:

a) средства обработки информации, к которым требуется иметь доступ внешней стороне;

b) тип доступа, который внешняя сторона будет иметь к информации и средствам обработки информации, например:

1) физический доступ, например, в офисы, компьютерные комнаты, картотечные шкафы;

2) логический доступ, например, к базам данных, информационным системам организации;

3) связность узлов в сети между сетью(сетями) организации и внешней стороны, например, неразъемное соединение, удаленный доступ;

4) происходит ли доступ на месте или со стороны;

c) ценность и конфиденциальность вовлеченной информации, а также ее критичность для деловых операций;

d) средства управления, необходимые для защиты информации, которая не предназначена для того, чтобы быть доступной внешним сторонам;

e) персонал внешний стороны, вовлеченный в работу с информацией организации;

f) как могут быть обозначены организация или персонал, которым был разрешен доступ, как может быть верифицировано наличие разрешения, и как часто его необходимо подтверждать;

g) различные способы и средства управления, применяемые внешней стороной при хранении, обработке, передаче, совместном использовании информации и обмене информацией;

h) негативное влияние ситуации, когда внешней стороне не предоставляется требуемый доступ, и когда внешняя сторона вводит или получает неточную или вводящую в заблуждение информацию;

i) практики и процедуры по работе с инцидентами в системе защиты информации и возможными повреждениями, а также условия для продолжения доступа внешней стороны в случае инцидента в системе защиты информации;

j) требования закона, прочие обязательные требования, а также другие договорные обязательства, значимые для внешней стороны, которые должны быть учтены;

k) как эти меры могут повлиять на интересы любых других заинтересованных сторон.

Доступ внешних сторон к информации организации не должен предоставляться до тех пор, пока не будут реализованы надлежащие средства управления, и, если выполнимо, до тех пор, пока не будет подписан договор, определяющий постановления и условия для соединения или доступа, а также рабочий механизм.

Обычно, все требования защиты, проистекающие из работы с внешними сторонами, или внутренние средства управления должны быть отражены соглашением с внешней стороной (см. также 2.2 и 2.3).

Следует обеспечить, чтобы внешняя сторона отдавала себе отчет о своих обязательствах и принимала обязанности и ответственность, связанные с осуществлением доступа, обработкой, передачей или управлением информацией и средствами обработки информации организации.

Прочая информация

Информация может подвергаться риску внешними сторонами с ненадлежащим управлением защитой.

Должны быть определены и применены средства управления для того, чтобы руководить доступом внешней стороны к средствам обработки информации.

Например, если есть особая потребность в конфиденциальности информации, то можно использовать соглашения о неразглашении.

Организации могут столкнуться с риском, связанным с межорганизационными процессами, управлением и обменом информацией, если применяется высокая степень аутсорсинга, или если вовлечено несколько внешних сторон.

Средства управления 2.2 и 2.3 охватывают различные соглашения с внешними сторонами, включая, например, следующие:

a) поставщики услуги, таких как поставщики Интернет-услуг, поставщики сетевых услуг, услуг телефонной связи, услуг по текущему обслуживанию и поддержке;

b) управляемые услуги защиты;

c) потребители;

d) аутсорсинг оборудования и/или операций, например, информационных систем, услуг по сбору данных;

f) разработчики и поставщики, например, программных продуктов и информационных систем;

g) сторонние услуги по очистке, обслуживанию и другие вспомогательные услуги;

h) временный персонал, размещение студентов, а также другие временные краткосрочные договоры.

Такие соглашения могут помочь снизить риски, связанные с внешними сторонами.

 

 

27. Організація роботи з активами підприємства, що пов’язані з обробкою інформації з обмеженим доступом. (Ответственность за активы. Реестр активов. Собственность на активы. Приемлемое использование активов) [27001-3 А 7].

Реестр активов

Средство управления

Все активы должны быть четко определены, должна быть составлена и должна

поддерживаться в рабочем состоянии опись всех важных активов.

Для этого необходимо.

Организация должна выявить все активы и документально подтвердить важность этих активов.

Опись активов должна включать всю информацию, необходимую для восстановления после бедствия, включая:

- тип актива,

- формат,

- местоположение,

- дублирующую информацию,

- информацию о лицензиях,

-ценность для бизнеса.

Ценность для бизнеса должна определяться на основе общего подхода. Например при помощи следующих критериев, которые могут использоваться для оценки возможного ущерба от потери конфиденциальности, целостности или доступности активов:

- нарушение законов и/или подзаконных актов;

- снижение эффективности бизнеса;

- потеря престижа/негативное воздействие на репутацию;

- финансовые потери;

- нарушение деловых операций;

- нарушение конфиденциальности коммерческой информации;

- нарушение конфиденциальности личных данных;

- необеспеченность личной безопасности;

- угроза охране окружающей среды. (Дополнительную информацию о том, как оценивать активы для того, чтобы представить их важность, можно найти в ISO/IEC TR 13335-3).

 

Опись не должна излишне дублировать другие описи, но следует обеспечить, чтобы содержимое было синхронизировано.

Кроме того, собственность (см. 1.2) и классификация информации (см. 7.2) должны быть согласованы и документально подтверждены для каждого из активов.

На основе важности актива, должны быть определены его:

- ценность для бизнеса;

- категория защиты;

-уровни защиты, соразмерные с важностью активов.

Прочая информация

Существует много типов активов, включая следующее:

a) информация: базы данных и файлы данных, договоры и соглашения, системная документация, научно-исследовательская информация, руководства пользователя, учебный материал, процедур эксплуатации или вспомогательные процедуры, планы обеспечения непрерывности бизнеса, мероприятия по нейтрализации неисправности, контрольные журналы и архивированная информация;

b) программные активы: прикладные программы, системные программы, инструментальные средства разработки и утилиты;

c) физические активы: компьютерное оборудование, аппаратура связи, сменные носители информации и другое оборудование;

d) услуги: обработка данных и услуги связи, общие коммунальные услуги, например, обогрев, освещение, энергия и кондиционирование воздуха;

e) люди, их квалификация, способности и опыт;

f) нематериальные активы, такие как репутация и имидж организации.

Описи активов помогают обеспечить наличие результативной защиты активов и также могут быть необходимы для других деловых целей, таких как техника безопасности и охрана труда, страхование или финансовые причины (менеджмент активов).

Процесс составления описи активов является важным предварительным условием управления рисками (см. также раздел 4).

 

Собственность на активы

Средство управления

Вся информация и активы, связанные со средствами обработки информации,

должны находиться во владении определенной части организации.

Для этого необходимо.

Владелец актива должен нести ответственность за следующее:

a) обеспечение того, чтобы информация и активы, связанные со средствами обработки информации, были надлежащим образом классифицированы;

b) определение и периодический анализ ограничений и классификаций доступа, с учетом применимой политики в области управления доступом.

Собственность может быть назначена на следующее:

a) деловой процесс;

b) определенный набор видов деятельности;

c) приложение;

d) определенный набор данных.

Прочая информация

Рутинные задачи можно делегировать, например, хранителю, ежедневно присматривающему за активом, но ответственность остается на владельце.

В сложных информационных системах может быть полезным определить группы активов, которые действуют вместе для того, чтобы обеспечить конкретную функцию как «услуги».

В этом случае, владелец услуги ответственен за предоставление услуги, включая функционирование активов, которые обеспечивают ее предоставление.