Категоризация на информацията и информационните системи. Осигуряване на базово ниво на информационна сигурност. Категоризиране на информацията по важност

Михаил Коптенков | © М. Коптенков

Информационната сигурност е състояние на сигурност информационна среда. Информационната сигурност трябва да се разглежда като набор от мерки, сред които е невъзможно да се отделят повече или по-малко важни. Концепция информационна сигурносте тясно свързана с концепцията за информационна сигурност, която е дейност за предотвратяване на изтичане на защитена информация, неразрешени и непреднамерени въздействия върху нея, т.е. процес, насочен към постигане на състояние на информационна сигурност. Въпреки това, преди да защитите информацията, е необходимо да определите каква информация трябва да бъде защитена и до каква степен. За тази цел се използва категоризация (класификация) на информацията, т.е. установяване на степени на важността на осигуряването на информационна сигурност и присвояване на специфични информационни ресурсикъм съответните категории. По този начин категоризирането на информация може да се нарече първата стъпка към осигуряване на информационната сигурност на организацията.

Исторически, когато се класифицира информацията, тя веднага започва да се класифицира според нивото на секретност (конфиденциалност). В същото време изискванията за осигуряване на наличност и цялост често не се вземат предвид или се вземат предвид заедно с общите изисквания към системите за обработка на информация. Това е грешен подход. В много области делът на поверителната информация е сравнително малък. За отворената информация, чието разкриване липсва, най-важните свойства са: достъпност, цялостност и защита от неразрешено копиране. Пример е онлайн магазин, където е важно да се поддържа постоянна достъпност до сайта на компанията. Въз основа на необходимостта да се осигурят различни нива на защита на информацията, могат да бъдат въведени различни категории на поверителност, цялост и наличност.

1. Категории поверителност на защитената информация

Поверителността на информацията е свойство на информацията, което показва необходимостта от въвеждане на ограничения върху кръга от лица, които имат достъп до тази информация.
Въвеждат се следните категории поверителност на информацията:
– – информация, която е поверителна в съответствие със законовите изисквания, както и информация, чието разпространение е въведено с решения на ръководството на организацията, чието разкриване може да доведе до значителни вреди на дейността на организацията.
– Конфиденциална информация– информация, която не е строго поверителна, ограниченията върху разпространението на която се въвеждат само по решение на ръководството на организацията, чието разкриване може да доведе до увреждане на дейността на организацията.
– Отворена информация– тази категория включва информация, която не се изисква да се пази поверителна.

2. Категории на целостта на информацията

Информационната цялост е свойство, при което данните запазват предварително определена форма и качество (остават непроменени по отношение на някакво фиксирано състояние).
Въвеждат се следните категории за цялост на информацията:
– Високо– тази категория включва информация, чиято неразрешена промяна или фалшификация може да доведе до значителни вреди на дейността на организацията.
– ниско– тази категория включва информация, чиято неразрешена промяна може да доведе до умерени или незначителни щети върху дейността на организацията.
– Без изисквания– тази категория включва информация, за която няма изисквания за гарантиране на целостта.

3. Категории информационна наличност

Наличността е състояние на информацията, при което субектите, които имат право на достъп, могат да го упражняват безпрепятствено.
Въвеждат се следните категории наличност на информация:
– – достъпът до информация трябва да бъде осигурен по всяко време (закъснението при получаване на достъп до информация не трябва да надвишава няколко секунди или минути).
– Висока наличност– достъпът до информация трябва да се осъществява без значителни забавяния във времето (закъснението при получаване на достъп до информация не трябва да надвишава няколко часа).
– Средна наличност– достъпът до информация може да бъде предоставен със значителни закъснения във времето (закъснението при получаване на информация не трябва да надвишава няколко дни).
– Ниска наличност– времевите закъснения за достъп до информация са практически неограничени (допустимото забавяне за получаване на достъп до информация е няколко седмици).

От горното става ясно, че категориите поверителност и цялост на информацията пряко зависят от размера на щетите върху дейността на организацията, ако тези свойства на информацията бъдат нарушени. Категориите за достъпност са в по-малка степен, но също зависят от размера на щетите върху дейността на организацията. За определяне на размера на щетите се използва субективна оценка и се въвежда тристепенна скала: значителни щети, средни щети и ниски щети (или без щети).
къс, ако загубата на наличност, поверителността и/или целостта на информацията има незначително отрицателно въздействие върху дейностите на организацията, нейните активи и персонал.
Незначителността на отрицателното въздействие означава, че:
- организацията остава способна да изпълнява своите дейности, но ефективността на основните й функции е намалена;
- причинени са незначителни щети на активите на организацията;
- организацията претърпява незначителни финансови загуби.
Щетите за дейността на организацията се оценяват като умереноако загубата на наличност, поверителност и/или цялост има значително неблагоприятно въздействие върху операциите, активите и персонала на организацията.
Тежестта на отрицателното въздействие означава, че:
- организацията остава в състояние да изпълнява своите дейности, но ефективността на основните й функции е значително намалена;
- причинени са значителни щети на активите на организацията;
- дружеството претърпява значителни финансови загуби.
Потенциалните щети за организацията се оценяват като значително, ако загубата на достъпност, поверителност и/или цялост има сериозно (катастрофално) отрицателно въздействие върху дейностите на организацията, нейните активи и персонал, т.е.:
- организацията губи способността да изпълнява всички или някои от основните си функции;
- причинени са големи щети на имуществото на организацията;
- организацията претърпява големи финансови загуби.
По този начин, когато оценяваме щетите за дейността на организацията в случай на нарушаване на поверителността, целостта и достъпността на информацията и на тази основа определяме категориите информация, можем да разграничим три вида: най-критична, критична и некритична. .

Типът информация се определя чрез сравняване на категориите на тази информация.
Таблица 1 дава дефиниция на типа информация.

Таблица 1: Дефиниция на типа информация

По този начин категоризирането на информация е първата стъпка към осигуряване на информационната сигурност на организацията, тъй като преди да защитите нещо, първо си струва да определите какво точно трябва да бъде защитено и до каква степен. Както потребителската, така и системната информация, представена както в електронен вид, така и на физически носител, трябва да бъдат категоризирани. За да се определи вида на информацията, която трябва да бъде защитена, е необходимо да се определи каква щета ще бъде причинена на организацията, ако поверителността, целостта и наличността на такава информация бъдат загубени.
В бъдеще, след като определите кой тип информация към кой принадлежи, можете да приложите различни мерки за защита на всеки тип информация. Това ще позволи не само да се структурират данните, обработвани в организацията, но и най-ефективно да се внедри и използва подсистемата за контрол на достъпа до защитена информация, както и да се оптимизират разходите за осигуряване на информационна сигурност.

Библиография:
1. Безмалий В., Служба за информационна сигурност: първи стъпки, 2008 г., http://www.compress.ru/Article.aspx?id=20512
2. Гладких А. А., Дементиев В. Е., Основни принципи на информационната сигурност компютърни мрежи. Уляновск: UlSTU, 2009. – 156 с.

Проблемът с информационната сигурност трудно може да се нарече пресилен. Навсякъде чуваме за хакове, вируси, зловреден софтуер, атаки, заплахи, уязвимости... И всеки път, когато трябва да се замислим дали всичко е направено за нашата безопасност? Можем ли да спим спокойно? Нека се опитаме да разберем откъде започва работата на службата за информационна сигурност.

Информационната сигурност като система

Информационната сигурност е набор от мерки, сред които е невъзможно да се отделят повече или по-малко важни. И не може да се възприеме по друг начин. Тук всичко е важно! Мерките за защита трябва да се спазват във всички точки на мрежата, когато субекти работят с вашата информация (под субекта в в такъв случайсе отнася до потребителя на система, процес, компютър или софтуер за обработка на информация). Всеки информационен ресурс, било то компютър на потребител, сървър на организация или мрежово оборудване, трябва да бъде защитен от всякакъв вид заплахи. Трябва да бъдат защитени файлови системи, мрежа и т.н. В тази статия няма да разглеждаме методи за прилагане на защита поради огромното им разнообразие.

Невъзможно е да се осигури 100% защита. В същото време трябва да разберете, че колкото по-високо е нивото на сигурност, толкова по-скъпа е системата и толкова по-неудобна става за потребителя да я използва, което естествено води до влошаване на защитата поради въздействие човешки фактор. Например прекаленото усложняване на паролите води до това, че потребителите залепват листчета с пароли върху монитори, клавиатури и т.н. Струва си да припомним факта, че според някои западни изследователи до 45% от времето, което службата за поддръжка на клиенти изразходва за възстановяване на пароли, изгубени от потребителите!

Има огромно количество софтуер, насочени към решаване на проблеми със сигурността на информацията: антивирусен софтуер, защитни стени, вградени инструменти на операционната система и много други. Най-уязвимото звено в защитата обаче е човекът, тъй като работата на всеки софтуер зависи от качеството на неговото писане, от грамотността на администратора на съответния инструмент за сигурност, от нивото на дисциплина на потребителите, които работят с този софтуер. В тази връзка много организации създават услуги (отдели) за информационна сигурност или поставят съответните задачи на своите ИТ отдели. Не можете обаче да заредите ИТ услугата с необичайни за нея функции. Това вече е обсъждано повече от веднъж. В крайна сметка, ако поверите информационната сигурност на ИТ отдела, тогава и тези задачи ще бъдат изпълнени последна инстанция, или в ущърб на основните му задачи. Освен това всичко това ще се случи само ако вашият ИТ отдел разбира какво и как трябва да прави.

И така, нека приемем, че вашата организация е създала отдел за информационна сигурност. Какво да правя след това? Откъде да започна?

Трябва да започнете с обучение на служители на отдела за информационна сигурност и в бъдеще да направите това редовен процес (те трябва да преминават обучение поне два пъти годишно). Обучението на общия персонал в основите на информационната сигурност е отговорност на отдела за информационна сигурност и също трябва да се провежда поне два пъти годишно.

Много мениджъри незабавно искат да получат документ, наречен „Политика за сигурност на организацията“ от отдела за информационна сигурност. Правилно ли е? Според мен – не. Преди да започнете да пишете тази огромна работа, трябва да отговорите на следните въпроси:

• каква информация обработвате?
• как да го класифицирам по свойства?
• какви ресурси имаш?
• Как се разпределя обработката на информация между ресурсите?
• как да класифицираме ресурсите?

Класификация на информацията

Исторически, веднага щом се повдигне въпросът за класифициране на информация (предимно това се отнася за информация, собственост на държавата), тя веднага започва да се класифицира според нивото на секретност (конфиденциалност). В същото време изискванията за осигуряване на наличност, цялостност и наблюдаемост се запомнят, ако изобщо се запомнят, мимоходом, заедно с общите изисквания към системите за обработка на информация.

Ако такъв подход все още може да бъде оправдан по някакъв начин по отношение на правителствената информация, тогава прехвърлянето му в друга предметна област е просто нелепо.

В много области делът на поверителната информация е сравнително малък. За отворената информация, чиято вреда от разкриването е малка, най-важните свойства са достъпността, целостта и защитата от неразрешено копиране. Да вземем за пример уебсайта на онлайн издание, приоритети за което според мен ще бъдат наличието и целостта на информацията, а не нейната поверителност.

Ако разглеждате и класифицирате информация само от позиция на секретност, това ще доведе до провал. Основните причини за това поведение са ограничеността на традиционния подход към защитата на информацията, липсата на опит в осигуряването на наличност, цялост и видимост на информация, която не е секретна (поверителна). Съгласно законовите изисквания собственикът на информацията сам определя нивото на нейната поверителност (ако тази информация не принадлежи на държавата).

Категории защитена информация

Въз основа на необходимостта от осигуряване на различни нива на защита на информация (несъдържаща информация, представляваща държавна тайна), съхранявана и обработвана в организация, ще въведем няколко категории поверителност и няколко категории интегритет на защитената информация.

• снапълно поверително- информация, призната за поверителна в съответствие с изискванията на закона, или информация, чието разпространение е въведено с решение на ръководството и чието разкриване може да доведе до сериозни финансови и икономически последици за организацията, включително фалит;
• поверително- тази категория включва информация, която не попада в категорията „напълно поверителна“, ограниченията за разпространението на която са въведени с решение на ръководството в съответствие с правата, предоставени му като собственик на информацията от действащото законодателство, чието разкриване би могло да доведе до значителни загуби и загуба на конкурентоспособност на организацията (причиняване на значителна вреда на интересите на нейните клиенти, партньори или служители);
• отворен- тази категория включва информация, която не се изисква да се пази поверителна.

• VВисоко- информация, чието неоторизирано изменение или фалшифициране може да доведе до значителни щети на организацията;
• ниско- тази категория включва информация, чиято неразрешена промяна може да доведе до незначителни щети на организацията, нейните клиенти, партньори или служители;
• няма изисквания- тази категория включва информация, за която няма изисквания за гарантиране на целостта и автентичността.

Според степента на достъпност ще въведем четири категории в зависимост от честотата на решаване на функционални проблеми и максимално допустимото забавяне при получаване на резултатите от тяхното решение:

• реално време- достъпът до задачата трябва да бъде осигурен по всяко време;
• час- достъпът до задачата трябва да се извършва без дълги периоди от време с x закъснения (проблемът се решава всеки ден, закъснението не надвишава няколко часа);
• ден- достъпът до задачата може да бъде осигурен със значително време сзакъснения (проблемът се решава на всеки няколко дни);
• седмица- временно сНяма забавяне в достъпа до проблема (срокът за решаване на проблема е няколко седмици или месеци, допустимото забавяне на получаване на резултата е няколко седмици).

Категоризиране на информация

1. Категоризиране на всички видове информация, използвани при решаване на проблеми на конкретни компютри (задаване на категории за поверителност, цялост и достъпност на конкретни видове информация).
2. Категоризация на всички задачи, които се решават на този компютър.
3. Въз основа на максималните категории информация, която се обработва, се определя категорията на компютъра, на който се обработва.

Инвентаризация на ресурсите

Преди да говорите за защита на информацията в една организация, трябва ясно да дефинирате какво ще защитавате и с какви ресурси разполагате? За целта е необходимо да се извърши инвентаризация и анализ на всички ресурси автоматизирана системаорганизации, които трябва да бъдат защитени. За да направите това, трябва да направите следното:

1. Създава се специална работна група за извършване на инвентаризация и категоризиране на ресурсите, подлежащи на опазване. В него са включени специалисти от катедрата компютърна сигурности други отдели на организацията, които могат да осигурят помощ при разглеждането на проблемите на технологията за автоматизирана обработка на информация в организацията.
2. За да може създадената група да има необходимия организационен и правен статут, се издава съответна заповед от ръководството на организацията, в която се посочва, че всички ръководители на съответните отдели на организацията трябва да оказват съдействие и необходимата помощ работна групапри анализиране на ресурсите на всички компютри.
3. За оказване на помощ по време на работата на групата в отделите, техните ръководители трябва да разпределят служители, които владеят подробна информацияпо въпросите на автоматизираната обработка на информацията в тези отдели.
4. Настоящата заповед се довежда до знанието (срещу подпис) на ръководителите на всички отдели.
5. По време на проучването (анализа) на организацията и автоматизираните подсистеми се идентифицират и описват всички функционални задачи, решени с помощта на компютри, както и всички видове информация, използвани за решаване на тези проблеми в отделите.
6. В края на проучването се изготвя формуляр за всеки проблем, решен в организацията. Трябва да се разбере, че една и съща задача в различни отдели може да се нарича по различен начин и обратното - различни задачи могат да имат едно и също име. В същото време се водят записи софтуер, използвани при решаване на функционални задачи на отдела.

По време на проучването се идентифицират всички видове информация (входяща, изходяща, съхранявана, обработвана и др.). Необходимо е да се вземе предвид не само поверителна информация, но и информация, чиято цялост или наличност може да причини значителна вреда на организацията.

Когато се анализира информацията, обработвана в организацията, е необходимо да се оцени тежестта на последствията, до които може да доведе нарушаването на нейните свойства. За да направите това, е необходимо да се проведат проучвания (тестване, разпит) на специалисти, които работят с него. В този случай е необходимо да се установи кой има полза от незаконното използване на тази информация или влияние върху нея. Ако не можете да определите количествено възможните щети, направете качествена оценка (ниска, висока, много висока).

За да се разберат категориите наличност, е необходимо, когато се анализират задачите, които се решават в организацията, да се установи максимално допустимото време на забавяне на резултатите, честотата на тяхното решаване и тежестта на последствията, ако тяхната наличност бъде нарушена (задачи са блокирани).

По време на анализа всеки тип информация трябва да бъде присвоена на определена степен (клас) на поверителност (въз основа на изискванията на действащото законодателство и правата, предоставени на организацията). В същото време, за да се оцени категорията на поверителност на определени видове информация, от ръководителите (водещите специалисти) на структурното звено се изискват техните лични оценки за вероятните щети от нарушаване на свойствата на поверителност и целостта на информацията.

След приключване на анализа се съставя „Списък на информационните ресурси, които трябва да бъдат защитени“. След това се съгласува с ръководителите на отделите за ИТ и компютърна сигурност и се предлага за разглеждане от ръководството на организацията.

След това е необходимо да се категоризират функционалните задачи. Въз основа на изискванията за достъпност, определени от ръководителите на отделите на организацията и съгласувани с ИТ службата, всички приложни задачи, решавани в отделите, се категоризират. Информация за категориите на приложените задачи се въвежда във формуляри за задачи. Трябва да се отбележи, че е невъзможно да се категоризират системни задачи и софтуер без позоваване на конкретни компютри и задачи на приложения.

В бъдеще, с участието на специалисти от ИТ службата и отдела за информационна сигурност, е необходимо да се изясни съставът на ресурсите (информация, софтуер) за всяка задача и да се въведе във формуляра за конкретна задача информация за потребителските групи за тази задача и инструкции за настройка на средствата за защита, използвани за решаването му (например разрешения за достъп на потребителски групи до изброените ресурси на задачите). В бъдеще въз основа на тази информация ще бъдат конфигурирани мерки за сигурност за компютрите, на които ще се решава тази задача.

На следващия етап компютрите се категоризират. Категорията на компютъра се определя въз основа на максималната категория задачи, изпълнявани на него, и максималните категории на поверителност и цялост на информацията, използвана при изпълнението на тези задачи. Във формуляра му се въвежда информация за категорията компютър.

Концепцията за инвентаризация на ресурсите включва не само съгласуването на тези активни и пасивни мрежови ресурсикоето имате, със списък на оборудването (и неговата пълнота), закупено от организацията (за това можете да използвате подходящия софтуер, например Microsoft Systems Management Server). Това включва и създаване на мрежова карта с описание на всички възможни точкивръзки, списък на използвания софтуер, фонд от стандарти на лицензиран софтуер, използван в организацията, и фонд от алгоритми и програми собствена разработка.

Трябва да се отбележи, че софтуерът може да бъде разрешен да работи само след като бъде проверен от отдела за информационна сигурност за съответствие с възложените задачи и липсата на всички видове отметки и „логически бомби“.

В тази връзка бих искал да отбележа налагащата се тенденция у нас към използването на програмен код с отворен код. Не твърдя, че това ви позволява значително да спестите ресурси. Въпреки това, според мен, в този случай въпросът за сигурността става въпрос на доверие не само в системния разработчик, но и във вашия администратор. И ако си спомните колко печели вашият администратор, не е трудно да заключите, че закупуването на вашите тайни е много по-лесно и по-евтино от извършването на директна външна атака. Струва си да се спомене и това ОПовечето от успешните атаки са извършени от вътрешни лица, тоест от служители на компанията.

Според мен можете да използвате свободно разпространяван софтуер само ако ви бъде доставен в компилиран вид и с цифров подпис от организация, която гарантира, че не съдържа логически бомби, различни видовеотметки и задни врати. Освен това организацията трябва да носи финансова отговорност за своята гаранция, което според мен е невъзможно. Изборът обаче е ваш.

След проверка референтният софтуер се въвежда в колекцията от алгоритми и програми (референтното копие трябва да бъде придружено от файл с контролна сума или още по-добре - електронен подписразработчик). В бъдеще, когато версиите се променят и се появяват актуализации, софтуерът се проверява по предписания начин.

Впоследствие във формата на всеки компютър се въвежда информация за инсталирания софтуер, датата на инсталирането му, целите, задачите, решени с негова помощ, както и имената и подписите на лицата, инсталирали и конфигурирали програмите. След създаването на такива формуляри службата за информационна сигурност трябва да осигури редовна проверка на съответствието на действителното състояние с формуляра.

Особено бих искал да разгледам такъв труден момент като „инвентаризацията“ на персонала. Когато вашата организация е създадена, изобщо не е факт, че е бил набран персонал, който разбира какво и как да прави. Затова са необходими проверка на знанията и обучение на персонала. Успоредно с проверката на знанията трябва задължителензапознайте персонала със съответните членове от Наказателния кодекс срещу подпис, така че в случай на нарушение служителите да разберат какво правят.

Следващият етап от изграждането на услугата за информационна сигурност е анализът на рисковете на организацията, който определя политиката за сигурност.

Заключение

След приключване на описаната работа ще получите първоначалните данни за написване на политика за сигурност, която ще се основава на съответните международни стандарти.

От редактора

Всеки вид човешка дейност може да бъде представен като процес, който води до продукт, материален или интелектуален, който има определена стойност, тоест цена. Информацията е един от видовете такива ценности, чиято стойност може да бъде толкова висока, че нейната загуба или изтичане, дори частично, може да постави под въпрос самото съществуване на компанията. Следователно защитата на информацията става все по-важна всеки ден. по-висока стойност, почти всички повече или по-малко големи организации имат свои собствени отдели за информационна сигурност.

Гамата от предложения за информационна сигурност нараства на ИТ пазара. Как да навигирате в този поток от предлагани продукти? Как да изберете най-добрия вариант по отношение на финансовите разходи и да вземете предвид всички нужди на вашата компания? Какви критерии за избор трябва да приложа? В крайна сметка, въпреки че самата услуга за информационна сигурност на всяка организация или предприятие не произвежда никакви интелектуални или материални активи, никой не се съмнява в нейната необходимост и важност и рядко спестява от разходите за тази услуга.

Какво трябва да се направи, за да се гарантира, че разходите и нивото на информационна сигурност на компанията са в съответствие? оптимално съотношение- тази публикация е посветена на тези въпроси.

Въведение

Мерките за информационна сигурност (IS), както е известно, не генерират приходи, с тяхна помощ можете само да намалите щетите от възможни инциденти. Ето защо е много важно разходите за създаване и поддържане на ИС на правилното ниво да са съизмерими със стойността на активите на организацията, свързани с нейната информационна система (ИС). Пропорционалността може да се осигури чрез категоризиране на информацията и информационната система, както и чрез избор на регулатори на сигурността въз основа на резултатите от категоризацията.

Категоризация на информацията и информационни системи

Присвояването на категории за сигурност на информацията и информационните системи се основава на оценка на щетите, които могат да бъдат причинени от нарушения на сигурността. Такива инциденти могат да попречат на дадена организация да изпълни мисията си, да компрометират активи, да поставят компанията в положение на нарушаване на действащото законодателство, да представляват заплаха за ежедневните дейности и да изложат персонала на риск. Категориите за сигурност се използват заедно с данни за уязвимости и заплахи, за да се анализират рисковете, на които е изложена една организация.

Има три основни аспекта на информационната сигурност:

• наличност;
• конфиденциалност;
• интегритет.

Най-общо казано, нарушенията на информационната сигурност могат да засегнат само някои от тези аспекти, точно както разпоредбите за сигурност могат да бъдат специфични за определени аспекти. Поради това е препоръчително евентуалните щети да се оценят отделно за нарушения на наличността, поверителността и целостта и, ако е необходимо, може да се получи интегрална оценка.

Удобно е да се оцени размерът на щетите по тристепенна скала като къс, умерено или високо ().

Фигура 1. Скала за оценка на щетите при нарушение на информационната сигурност

Потенциалната вреда за дадена организация се оценява като ниска, ако загубата на наличност, поверителност и/или цялост има ограничено неблагоприятно въздействие върху операциите, активите и персонала на организацията. Ограниченото вредно въздействие означава, че:

• организацията остава способна да изпълнява своята мисия, но ефективността на основните й функции е значително намалена;
• активите на организацията претърпяват незначителни щети;
• организацията претърпява малки финансови загуби;
• леки щети на персонала.

Потенциалните щети за компанията се оценяват като умереноако загубата на наличност, поверителност и/или цялост има значително вредно въздействие върху операциите, активите и персонала на организацията. Тежестта на вредното въздействие означава, че:

• компанията остава способна да изпълнява своята мисия, но ефективността на основните й функции е значително намалена;
• активите на организацията претърпяват значителни щети;
• компанията претърпява значителни финансови загуби;
• персоналът претърпява значителни щети, които не представляват заплаха за живота или здравето.

Потенциалните щети за организацията се оценяват като Високо, ако загубата на наличност, поверителност и/или цялост има сериозно или катастрофално вредно въздействие върху операциите, активите и персонала на организацията, тоест:

• дружеството губи способността да изпълнява всички или някои от основните си функции;
• причинени са големи щети на активите на организацията;
• организацията претърпява големи финансови загуби;
• персоналът претърпява сериозни или катастрофални щети, в резултат на възможна заплахаживот или здраве.

Необходимо е да се категоризира както потребителската, така и системната информация, представена както в електронен вид, така и под формата на „хартиено“ копие. Обществената информация не може да бъде класифицирана като поверителна. Например информацията, съдържаща се в публичния уеб сървър на дадена организация, не се класифицира като поверителна и нейната наличност и цялост се оценяват като умерени.

При категоризирането на една информационна система се вземат предвид категориите информация, съхранявана, обработвана и предавана от средствата на ИС, както и стойността на активите на самата ИС, т.е. максимален брой категории се вземат за всички видове информация и активи. За да получите интегрална оценка, трябва да вземете максимум категории за основните аспекти на информационната сигурност.

Минимални (основни) изисквания за сигурност

Минималните (основни) изисквания за безопасност са формулирани в общ изглед, без да се взема предвид категорията, присвоена на IP. Те определят основното ниво на информационна сигурност, всички информационни системи трябва да ги удовлетворяват. Резултатите от категоризацията са важни при избора на регулатори за безопасност, които осигуряват съответствие с изискванията, формулирани на базата на анализ на риска (фиг. 2).

Фигура 2. Нива на информационна сигурност

Минималните изисквания за сигурност (фиг. 3) обхващат административното, процедурното и софтуерно-хардуерното ниво на информационна сигурност и са формулирани по следния начин.

Фигура 3. Основни изисквания за сигурност за информация и IP.

• Организацията трябва да разработи, документира и публично оповести официални политики за сигурност и официални процедури, за да отговори на изискванията по-долу и да гарантира, че политиките и процедурите се прилагат ефективно.
• Компанията трябва периодично да извършва оценки на риска, включително оценки на заплахите за мисията, дейността, имиджа и репутацията на организацията, нейните активи и персонал. Тези заплахи са следствие от използването на информационни системи и обработката, съхранението и предаването на данни, извършвани по време на този процес.
• Във връзка със закупуването на системи и услуги във фирма е необходимо:
  • отделят достатъчно ресурси за адекватна защита на ИС;
  • когато разработвате системи, вземете предвид изискванията за информационна сигурност;
  • ограничаване на използването и инсталирането на софтуер;
  • гарантира, че външните доставчици на услуги отделят достатъчно ресурси за защита на информация, приложения и/или услуги.
• В областта на сертифицирането, акредитацията и оценката на безопасността организацията трябва да извършва:
  • непрекъснат мониторинг на регулаторите по безопасност, за да има доверие в тяхната ефективност;
  • периодична оценка на контролите за сигурност, използвани в ИС, за наблюдение на тяхната ефективност;
  • разработване и прилагане на план за действие за отстраняване на недостатъците и намаляване или премахване на уязвимостите в IP;
  • разрешение за въвеждане в експлоатация на ИС и осъществяване на връзки с други информационни системи.
• В областта на сигурността на персонала е необходимо:
  • гарантира надеждността (пълномощно) на длъжностните лица, заемащи отговорни длъжности, както и съответствието на тези лица с изискванията за сигурност на тези длъжности;
  • гарантира защитата на информацията и информационните системи по време на дисциплинарни действия, като уволнение или преместване на служители;
  • прилага подходящи официални санкции към нарушителите на политиките и процедурите за сигурност.
• Организацията трябва да предоставя информация и обучение на служителите:
  • така че мениджърите и потребителите на информационни системи да са наясно с рисковете, свързани с техните дейности и със съответните закони, разпоредби, насоки, стандарти, инструкции и др.;
  • гарантира, че персоналът има подходящо практическо обучение за изпълнение на отговорности, свързани с информационната сигурност.
• В областта на планиране е необходимо да се разработят, документират, периодично модифицират и прилагат планове за сигурност на IS, които описват контрола за сигурност (съществуващ и планиран) и правила за поведение на персонала, който има достъп до IS.
• За да планира непрекъснатост на бизнеса, една компания трябва да създаде, поддържа и ефективно да прилага планове за реагиране при извънредни ситуации, архивиране и възстановяване след бедствие, за да гарантира наличието на критични информационни ресурси и непрекъснатост на операциите при извънредни ситуации.
• По отношение на реагирането на нарушения на информационната сигурност, организацията трябва:
  • създаване на работеща структура за реагиране при инциденти, като се вземат предвид адекватни подготвителни мерки, идентифициране, анализ и локализиране на нарушения, възстановяване от инциденти и обслужване на потребителски заявки;
  • гарантира, че инцидентите се проследяват, документират и докладват на съответните длъжностни лица и органи на организацията.
• За целите на физическата защита организацията трябва:
  • предоставя физически достъп до IP, оборудване и производствени помещения само на оторизиран персонал;
  • физическа защита на хардуера и поддържащата IS инфраструктура;
  • осигурява подходящи технически условия за функциониране на ИС;
  • защита на ИС от заплахи за околната среда;
  • осигурява контрол на условията, в които функционира ИС;
  • Осигурете контрол на достъпа, като ограничите достъпа до IP активи до оторизирани потребители, процеси, действащи от името на тези потребители, и устройства (включително други IP) за извършване на упълномощени от потребителите транзакции и функции.
• За да осигурите регистриране и одит, трябва:
  • създаване, защита и поддържане на регистрационни файлове за наблюдение, анализиране, разследване и докладване за незаконна, неоторизирана или неподходяща дейност;
  • осигуряване на проследимост на действията в информационната система с точност до потребителя (отчетност на потребителя).
• Планът за управление на конфигурацията на компанията трябва:
  • установява и поддържа основни конфигурации;
  • притежават опис (карта) на IP, актуализиран, като се вземе предвид жизнения цикъл, който включва хардуер, софтуер и документация;
  • инсталирайте и предоставяйте практическа употребанастройки за конфигуриране на функции за сигурност в продукти, включени в IP.
• В областта на идентификацията и автентификацията е необходимо да се гарантира идентификацията и автентификацията на потребителите на IS, процесите, действащи от името на потребителите, както и устройства като необходимо условиепредоставяне на достъп до IP.

Освен това трябва:

• Във връзка с поддръжката:
  • извършва периодична и навременна поддръжка на информационната система;
  • осигуряване на ефективни регулатори за средствата, методите, механизмите и персонала, осигуряващи подкрепа.
• За да защитите медиите:
  • защита на носителите за съхранение на данни, както цифрови, така и хартиени;
  • предоставя достъп до данни на носител само на оторизирани потребители;
  • дезинфекцирайте или унищожавайте носителите преди извеждане от експлоатация или преди прехвърляне за повторна употреба.
• За защита на системи и комуникации:
  • наблюдават, контролират и защитават комуникациите (т.е. предадените и получените данни) на външни и ключови вътрешни граници на ИС;
  • прилагат архитектурни и хардуерно-софтуерни подходи, които повишават текущото ниво на информационна сигурност на ИС.
• За да гарантирате целостта на системите и данните:
  • своевременно идентифициране, докладване и коригиране на IS и дефекти в данните;
  • защита на IP от злонамерен софтуер;
  • следи за нарушения на сигурността и доклади за нови заплахи за информационната система и реагира по подходящ начин на тях.

Избор на основен набор от регулатори за безопасност, които да отговарят на изискванията за безопасност

Необходимо условие за изпълнение на изискванията за безопасност е изборът и прилагането на подходящи регулатори на безопасността, тоест разработването и прилагането на икономически обосновани противодействия и средства за защита. Регулаторите за сигурност се делят на административни, процедурни и софтуерно-технически и служат за осигуряване на наличността, поверителността и целостта на информационната система и обработваните, съхранявани и предавани от нея данни.

Изборът на регулатори на сигурността се извършва въз основа на резултатите от категоризирането на информационната и информационната система. Освен това трябва да се вземе предвид кои контроли за сигурност вече са въведени и за кои има конкретни планове за прилагане, както и необходимата степен на увереност в ефективността на съществуващите контроли.

Адекватен избор на регулатори на сигурността може да бъде опростен, ако се направи от предварително дефинирани основни набори, свързани с необходимото ниво на информационна сигурност. Използвайки тристепенна скала, се използват три основни набора, съответно за минимално (ниско, основно), умерено и високо ниво на информационна сигурност.

Регулатори на сигурността за минимално ниво на информационна сигурност

При минимално ниво на информационна сигурност е препоръчително да се прилага следното: административни регулатори на сигурността.

Фигура 4. Регулатори на сигурността по ниво на информационна сигурност

• Оценка на риска: политики и процедури.
  • официална, документирана политика за оценка на риска, която очертава целта, обхвата, ролите, отговорностите, подкрепата на управлението, координацията между организационните структури и спазването на приложимите закони;
  • официални документирани процедури в подкрепа на прилагането на политиките и свързаните с тях контроли за оценка на риска.
• Оценка на риска: категоризация според изискванията за безопасност.Категоризиране на данни и информационна система, документиране на резултатите, включително обосновка за установени категории; документът е заверен от ръководството.
• Оценка на риска: изпълнение.Оценка на рисковете и възможните щети от неоторизиран достъп, използване, разкриване, прекъсване, модификация и/или унищожаване на данни и/или информационна система, включително ресурси, управлявани от външни организации.
• Оценка на риска: преглед на резултатите.Прегледът на резултатите от оценката на риска се извършва или на определена честота, или след значителни промени в ИС или поддържащата инфраструктура, или след други събития, които биха могли значително да повлияят на нивото на сигурност на ИС или нейния статус на акредитация.
• Планиране на сигурността: политики и процедури.
  • официална, документирана политика за планиране на сигурността, която очертава целта, обхвата, ролите, отговорностите, подкрепата на управлението, координацията между организационните структури и спазването на приложимите закони;
  • официални документирани процедури в подкрепа на прилагането на политики за планиране на сигурността и свързания контрол.
• Планиране на сигурността: План за сигурност на ИС.Разработване и внедряване на план за информационната система, който описва изискванията за сигурност на информационната система и съществуващи и планирани регулатори за сигурност, които служат за изпълнение на тези изисквания; документът е заверен от ръководството.
• Планиране на сигурността: Модифициране на плана за сигурност на IS.Планът за сигурност на IS се преглежда на определена честота. Той се изменя, за да отрази промените в компанията и нейната информационна система или проблеми, установени по време на изпълнението на плана или при оценката на регулаторите по сигурността.
• Планиране на безопасността: правила за поведение.Организацията установява и съобщава на потребителите на IS набор от правила, които описват отговорностите и очакваното поведение във връзка с използването на информацията и информационната система. Преди достъп до ИС и нейните информационни ресурси, потребителите подписват декларация, че са прочели, разбрали и се съгласяват да спазват предписаните правила за поведение.
• Планиране на сигурността: Оценка на поверителността.Компанията оценява съответствието с изискванията за поверителност в IP.
• Поръчка на системи и услуги: политики и процедури.
  • Официална, документирана политика за доставка на системи и услуги, която очертава целта, обхвата, ролите, отговорностите, подкрепата на управлението, координацията между организационните структури и спазването на приложимите закони;
  • Официални документирани процедури, които улесняват прилагането на политики и свързаните с тях разпоредби за възлагане на поръчки за системи и услуги.
• Поръчка на системи и услуги: разпределяне на ресурси.Идентифицирането, документирането и разпределянето на ресурсите, необходими за адекватна защита на информационната система на компанията, са част от процесите на капиталово планиране и управление на инвестициите.
• Поръчка на системи и услуги: поддръжка на жизнения цикъл.Организацията управлява информационната система, като използва методология за поддръжка на жизнения цикъл, която взема предвид аспектите на информационната сигурност.
• Поръчка на системи и услуги: доставка.Договорите за обществени поръчки включват изисквания за безопасност и/или спецификации въз основа на резултатите от оценката на риска.
• Необходимо е да се гарантира, че адекватната документация на информационната система и нейните съставни части е достъпна, защитена и разпространена до упълномощени служители на компанията.
• Поръчка на системи и услуги: ограничения върху използването на софтуер.Организацията налага съществуващите ограничения върху използването на софтуера.
• Поръчка на системи и услуги: софтуер, инсталиран от потребителите.Трябва да се прилагат изрични правила относно това как потребителите изтеглят и инсталират софтуер.
• Доставяне на системи и услуги: аутсорсинг на информационни услуги.Трябва да се внимава да се гарантира, че външни организации, предоставящи информационни услуги, прилагайте адекватни контроли за безопасност, които са в съответствие с приложимото законодателство и договорни условия, и наблюдавайте адекватността на контролите за безопасност.
• Сертифициране, акредитация и оценка на безопасността: политики и процедури.Разработка, разпространение, периодично преразглеждане и промени:
  • официална, документирана политика за оценка на безопасността, сертифициране и акредитация, която очертава целта, обхвата, ролите, отговорностите, подкрепата на управлението, координацията между организационните структури и спазването на приложимите закони;
  • официални документирани процедури в подкрепа на прилагането на политики и свързани регулатори за оценка на безопасността, сертифициране и акредитация.
• Сертифициране, акредитация и оценка на сигурността: връзки с други ИС.Оторизиране от дружеството на всички връзки на неговата информационна система с други информационни системи, намиращи се извън границите на акредитация, и постоянно наблюдение/контрол на тези връзки; подписване от упълномощени длъжностни лица на споразумение за осъществяване на връзки между системите.
• Организацията оценява контролите за сигурност, използвани в информационната система, за да провери дали те са внедрени правилно, функционират в съответствие със спецификациите и произвеждат очакваните резултати по отношение на изпълнението на изискванията за информационна сигурност за информационната система.
• Сертифициране, акредитация и оценка на безопасността: календар на дейностите.Организацията разработва и променя календарен план на събитията с определена честота. Той описва планираните, изпълнени и оценени коригиращи действия за справяне с всички недостатъци, идентифицирани по време на процеса на оценка на регулаторната сигурност и за намаляване или премахване на известните уязвимости на IS.
• Сертифициране, акредитация и оценка на безопасността: акредитация.Дружеството изрично разрешава (акредитира) въвеждането в експлоатация на информационната система и извършва преакредитация с определена периодичност, но не по-рядко от веднъж на три години.
• Сертифициране, акредитация и оценка на безопасността: непрекъснат мониторинг.Постоянно наблюдение на регулаторите за сигурност в ИС.

Фигура 5. Поддържане на необходимото ниво на сигурност

регулатори на процедурна безопасност.

• Сигурност на персонала: политики и процедури.Разработка, разпространение, периодичен преглед и модификация:
  • официална, документирана политика за сигурност на персонала, която очертава целта, обхвата, ролите, отговорностите, управленската подкрепа, координацията между организационните структури и спазването на приложимите закони;
  • официални документирани процедури, които улесняват прилагането на политики за сигурност на персонала и свързаните с тях регулатори.
• Кадрова сигурност: категоризация на длъжностите.Всяка позиция е свързана с определено ниво на риск и са установени критерии за подбор на кандидатите за тези позиции. Препоръчително е да преглеждате с определена честота задайте нивариск.
• Кадрова сигурност: подбор на персонал.Преди предоставяне на достъп до информация и информационни системи се извършва проверка на лицата, нуждаещи се от такъв достъп.
• Кадрова сигурност: уволнение.На уволнения служител се отнема достъп до информационната система, провежда се последен разговор с него, проверява се предаването на цялото държавно имущество, включително ключове, идентификационни карти, пропуски и се убеждават, че съответните длъжностни лицаимат достъп до служебните данни, създадени от уволнения служител и съхранявани в информационната система.
• Кадрова сигурност: движение на персонала.Когато служител се премести на друга позиция, организацията преглежда предоставените му права за достъп до информационната система и нейните ресурси и извършва подходящи действия, като издаване на нови ключове, идентификационни карти, пропуски, закриване на стари и отваряне на нови системни акаунти, както и промяна на правата за достъп.
• Сигурност на персонала: споразумения за достъп.Преди предоставянето на достъп до информация и информационна система на служител, който се нуждае от такъв достъп, се изготвят подходящи споразумения (например за неразкриване на информация, за правилното използване на IP), както и правила за поведение, компанията гарантира, че тези споразумения са подписани от страните и ги преразглежда с определена честота.
• Сигурност на персонала: изисквания за сигурност за служители на организации на трети страни.Организацията установява изисквания за сигурност, включително роли и отговорности, за служители на трети страни (обслужващи отдели, изпълнители, разработчици, доставчици информационни услугии услуги за управление на системи и мрежи) и следи дали трети страни осигуряват адекватно ниво на информационна сигурност.
• Кадрова сигурност: санкции.Компанията има официален процес за дисциплиниране на служители, които нарушават установените политики и процедури за сигурност.
• Физическа сигурност: политики и процедури.Разработено, разпространено, периодично преразглеждано и променяно:
  • официална, документирана политика за физическа сигурност, която очертава целта, обхвата, ролите, отговорностите, подкрепата на управлението, координацията между организационните структури и спазването на приложимите закони;
  • официални документирани процедури за улесняване на прилагането на политики за физическа защита и свързания контрол.
• Физическа сигурност: разрешение за физически достъп.Организацията съставя и поддържа актуални списъци на служителите, които имат достъп до помещенията, в които се намират компонентите на информационната система (с изключение на помещенията, официално считани за обществено достъпни), и издава съответните удостоверения (баджове, идентификационни карти, смарт карти); съответните служители преглеждат и одобряват списъци и сертификати с определена честота.
• Физическа сигурност: физически контрол на достъпа.Необходимо е да се контролират физическите точки за достъп, включително официално обозначените входно/изходни точки, до помещенията, в които се намират компонентите на информационната система (с изключение на помещенията, официално считани за обществено достъпни). Трябва да проверите правата, предоставени на служителите, преди да им разрешите достъп. Освен това достъпът до помещения, официално считани за обществено достъпни, се контролира в съответствие с оценка на риска.
• Физическият достъп до системата се наблюдава за идентифициране и реагиране на нарушения.
• Физическият достъп до информационната система се контролира чрез удостоверяване на посетителите, преди да се позволи влизане в помещенията, където се намират компонентите на ИС (с изключение на помещенията, официално считани за обществено достъпни).
• Компанията поддържа дневници на посещенията в помещенията (с изключение на тези, които официално се считат за обществено достъпни), които записват:
  • фамилия, собствено име на посетителя и име на организацията;
  • подпис на посетителя;
  • представени документи (формуляр за самоличност);
  • дата и час на достъп (влизане и излизане);
  • цел на посещението;
  • фамилия, собствено име на посетеното лице и неговата организационна принадлежност; Съответните длъжностни лица преглеждат дневниците за посещения на определена честота.
• Физическа защита: аварийно осветление.Фирмата трябва да кандидатства и подкрепя автоматични системиаварийно осветление, което се включва при прекъсване на електрозахранването и покрива аварийни изходи и евакуационни пътища.
• Експлоатира и поддържа устройства/системи за пожарогасене и пожароизвестяване.
• Физическа защита: контрол на температурата и влажността.Температурата и влажността в зоните, съдържащи IC компоненти, се наблюдават и поддържат в приемливи граници.
• Необходимо е IP да се защити от наводнения и течове поради повредена водопроводна мрежа или други причини, като се гарантира, че спирателните вентили за вода са достъпни и в добро работно състояние и че съответните служители са информирани за местоположението на тези клапани.
• Физическа защита: доставка и извозване.Организацията контролира доставката и премахването на компоненти на информационната система (хардуер и софтуер) и поддържа информация за местоположението на тези компоненти.
• Планиране на непрекъснатостта на бизнеса: политики и процедури.Разработено, разпространено, периодично преразглеждано и променяно:
  • Официална, документирана политика за планиране на непрекъснатостта на бизнеса, която очертава целта, обхвата, ролите, отговорностите, подкрепата на управлението, координацията между организационните структури и спазването на приложимите закони;
  • Официални документирани процедури, които подпомагат прилагането на политики за планиране на непрекъснатостта на бизнеса и свързаните с тях контроли.
• Разработва се и се изпълнява план за осигуряване на непрекъсната работа на информационната система, в който са описани ролите и отговорностите на отговорните длъжностни лица и са посочени техните координати за контакт. Освен това в плана са посочени действията, които трябва да се предприемат при възстановяване на информационната система след повреди и аварии. Съответните служители преглеждат и одобряват плана и го съобщават на служителите, отговорни за гладкото функциониране.
• Планиране на непрекъснатостта на бизнеса: Променете плана за непрекъснатост на бизнеса.С определена честота, но най-малко веднъж годишно, организацията преразглежда своя план за непрекъснатост на информационната система, за да отрази промените в IS или организационната структура и/или да коригира проблемите, идентифицирани по време на прилагането, изпълнението и/или тестването на плана.
• Извършва се с определена честота архивиранеПотребителските и системните данни, съдържащи се в информационната система (включително данни за състоянието на информационната система), резервни копия се съхраняват на надлежно защитени места.
• Организацията използва механизми и поддържащи процедури за възстановяване на информационната система след повреди или аварии.
• Управление на конфигурацията: политики и процедури.Разработено, разпространено, периодично преразглеждано и променяно:
  • Официална, документирана политика за управление на конфигурацията, която очертава целта, обхвата, ролите, отговорностите, подкрепата на управлението, координацията между организационните структури и спазването на приложимите закони;
  • Официални, документирани процедури, които поддържат прилагането на политиките за управление на конфигурацията и свързаните контроли.
• Компанията разработва, документира и поддържа актуална базова конфигурация на информационната система, опис на компонентите на ИС и съответните данни за техните собственици.
• В компанията:
  • са одобрени задължителни настройки за продуктите информационни технологии, използвани в IS;
  • настройките за сигурност на продуктите на информационните технологии са зададени на най-рестриктивния режим, съвместим с оперативните изисквания;
  • настройките са документирани;
  • осигурени са правилни настройки на всички компоненти на информационната система.
  • Поддръжка: политики и процедури. Разработено, разпространено, периодично преразглеждано и променяно:
  • официална, документирана политика за поддръжка, която очертава цел, обхват, роли, отговорности, подкрепа от управлението, координация между организационните структури и спазване на приложимите закони;
  • Официални документирани процедури, които улесняват прилагането на политики и свързания контрол за поддръжка.
• Планирайте, внедрявайте и документирайте рутинна, превантивна и рутинна поддръжка на компонентите на информационната система в съответствие със спецификациите на производителя или доставчика и/или организационните изисквания.
• Организацията оторизира, контролира и наблюдава извършваните от разстояние дейности по поддръжка и диагностика.
• Ескорт: Ескорт персонал.Необходимо е да се поддържа списък на лицата, упълномощени да поддържат информационната система. Само оторизиран персонал осигурява поддръжка на IS.
• Системи и цялост на данните: Политики и процедури.Разработка, разпространение, периодичен преглед и модификация:
  • формална, документирана политика за системи и цялост на данните, която очертава целта, обхвата, ролите, отговорностите, подкрепата на управлението, координацията между организационните структури и спазването на приложимите закони;
  • официални документирани процедури, които подпомагат прилагането на политики и свързани контроли за целостта на системата и данните.
• Системи и цялост на данните: елиминиране на дефекти.Идентифициране на дефекти в информационната система, докладването им и коригирането им.
• Компанията внедрява защита срещу злонамерен софтуер в своята информационна система, включително възможност за автоматични актуализации.
• Цялост на системата и данните: предупреждения за сигурност и предупреждения за нови заплахи.Предупрежденията за сигурност и докладите за нови IP заплахи трябва редовно да се наблюдават, да се предоставят на вниманието на съответните служители и да се реагира по подходящ начин.
• Медийна сигурност: Политики и процедури.Разработка, разпространение, периодичен преглед и модификация:
  • официална, документирана политика за защита на медиите, която очертава целта, обхвата, ролите, отговорностите, подкрепата на управлението, координацията между организационните структури и спазването на приложимите закони;
  • официални документирани процедури за улесняване на прилагането на политиките за защита на медиите и свързаните с тях регулатори.
• Необходимо е да се гарантира, че само оторизирани потребители имат достъп до информацията в печатна формаили на цифров носител, премахнат от информационната система.
• Защита на медиите: дезинфекция и извеждане от експлоатация.Организация:
  • дезинфекцира носители (както хартиени, така и цифрови) преди извеждане от експлоатация или повторна употреба;
  • наблюдава, документира и проверява дейностите по възстановяване на медиите;
  • Периодично тества санитарно оборудване и процедури, за да се увери, че функционират правилно.
• Реагиране на нарушения на информационната сигурност: политики и процедури.Разработка, разпространение, периодично преразглеждане и промени:
  • официална, документирана политика за реакция при нарушаване на сигурността на информацията, която очертава целта, обхвата, ролите, отговорностите, подкрепата на управлението, координацията между организационните структури и спазването на приложимите закони;
  • официални документирани процедури, които улесняват прилагането на политики и свързаните с тях регулатори за реагиране на нарушения на информационната сигурност.
• Компанията създава структури за реагиране при нарушения на информационната сигурност (response team), включително подготовка, идентификация и анализ, локализиране, отстраняване на въздействието и възстановяване от нарушения.
• Необходимо е незабавно да се предоставя информация за нарушения на информационната сигурност на вниманието на упълномощените служители.
• Формиране на структура за издаване на препоръки и подпомагане на потребителите на ИС при реагиране и докладване на нарушения на ИС; тази структура е интегрална интегрална частекипи за реагиране.
• Информация и обучение: политики и процедури.Разработка, разпространение, периодично преразглеждане и промени:
  • официална, документирана политика за информация и обучение на служителите, която очертава целта, обхвата, ролите, отговорностите, подкрепата на управлението, координацията между организационните структури и спазването на приложимите закони;
  • официални документирани процедури за улесняване прилагането на политиката и свързаните с нея разпоредби за информиране и обучение на служителите.
• Информация и обучение: информиране за проблемите на информационната сигурност.Трябва да се гарантира, че всички потребители, включително мениджърите, получават основна информация относно проблемите на информационната сигурност, преди тези потребители да получат достъп до информационната система; Такава информация следва да продължи да се предоставя с определена честота, но не по-рядко от веднъж годишно.
• Информация и обучение: обучение по въпросите на информационната сигурност.Необходимо е да се идентифицират играещите длъжностни лица важна роляи тези с отговорни отговорности за осигуряване на информационна сигурност на IP, документирайте тези роли и отговорности и осигурете подходящо обучение на тези лица, преди да им предоставите достъп до IP. Такова обучение трябва да продължи с определена честота.
• Обхват и обучение: документиране на обучението по информационна сигурност.Компанията документира и проследява напредъка на обучението за информационна сигурност на всеки служител, включително въвеждащи и специфични курсове за информационна сигурност.
• Информираност и образование: контакти с групи и асоциации за информационна сигурност.Препоръчително е да установите и поддържате контакти с групи, форуми и асоциации, специализирани в информационната сигурност, за да сте информирани сегашно състояниеИнформационна сигурност, съвременни препоръчителни защитни средства, методи и технологии.

При минимално ниво на информационна сигурност се препоръчва използването на следното: софтуерни и хардуерни регулатори за безопасност.

• Идентификация и удостоверяване: Политики и процедури.Разработка, разпространение, периодично преразглеждане и промени:
  • официална, документирана политика за идентификация и удостоверяване, която очертава целта, обхвата, ролите, отговорностите, подкрепата на управлението, координацията между организационните структури и спазването на приложимите закони;
  • официални документирани процедури в подкрепа на прилагането на политики за идентификация и удостоверяване и свързаните с тях контроли.
• Информационната система уникално идентифицира и удостоверява потребителите (или процесите, действащи от името на потребителите).
• Идентификация и удостоверяване: управление на самоличността.Организацията управлява самоличността на потребителите чрез:
  • уникална идентификация на всеки потребител;
  • проверка на ID на всеки потребител;
  • получаване на официално одобрение от упълномощени служители за издаване на потребителски идентификатор;
  • гарантиране, че идентификаторът е издаден на правилния потребител;
  • прекратяване на потребителски идентификатор след определен период на неактивност;
  • архивиране на потребителски идентификатори.
• Идентификация и автентификация: управление на автентификатори.Компанията управлява автентификатори в информационната система (токени, сертификати в инфраструктурата публични ключове, биометрични данни, пароли, ключови карти и др.) чрез:
  • определяне на първоначалното съдържание на автентификатори;
  • регулиране на административните процедури за първоначално разпространение на автентификатори, замяна на изгубени, компрометирани или повредени автентификатори и отмяна на автентификатори;
  • промяна на подразбиращите се автентификатори след инсталиране на информационната система.
• Идентификация и автентификация: Отговор на автентификаторите.Информационната система скрива ехо дисплея на информация за удостоверяване по време на процеса на удостоверяване, за да защити тази информация от евентуално използване от неоторизирани лица.
• Идентификация и автентификация: автентификация по отношение на криптографски модули.За автентификация по отношение на криптографски модули информационната система използва методи, които отговарят на изискванията на стандартите за такива модули.
• Контрол на достъпа: Политики и процедури.Разработка, разпространение, периодично преразглеждане и промени:
  • официална, документирана политика за контрол на достъпа, която очертава целта, обхвата, ролите, отговорностите, подкрепата на управлението, координацията между организационните структури и спазването на приложимите закони;
  • официални документирани процедури в подкрепа на прилагането на политиките за контрол на достъпа и свързаните контроли.
• Организацията управлява акаунти в информационната система, включително тяхното създаване, активиране, промяна, ревизия (с определена честота), деактивиране и изтриване.
• Информационната система налага присвоени привилегии за контрол на достъпа до системата в съответствие с приложимите политики.
• Контрол на достъпа: неуспешни опити за влизане.Информационната система налага зададено ограничение за броя на последователните неуспешни опитидостъп на потребителя за определен период от време, автоматично заключване на акаунта или забавяне по зададен алгоритъм на издаване на покана за влизане за определено време при надвишаване на максимално допустимия брой неуспешни опити.
• Контрол на достъпа: Предупреждение за използване на системата.Информационната система показва официално одобрено предупредително съобщение за използването на системата, преди да предостави достъп до нея, като информира потенциалните потребители:
  • за организационната принадлежност на системата;
  • относно възможния мониторинг, регистриране и одит на използването на системата;
  • относно забраната и възможното наказание за неразрешено използване на системата;
  • съгласието на потребителя за наблюдение и регистриране при използване на системата; Предупредителното съобщение съдържа съответните разпоредби на политиката за сигурност и остава на екрана, докато потребителят предприеме изрично действие за влизане в IS.
• Контрол на достъпа: надзор и преглед.Организацията контролира и проверява действията на потребителите по отношение на внедряването и използването на наличните в ИС контроли за достъп.
• Контрол на достъпа: разрешени действия без идентификация и удостоверяване. Определяне на конкретни потребителски действия, които могат да се извършват в информационната система без идентификация и автентификация.
• Документирайте, проследявайте и контролирайте всички видове отдалечен достъп до ИС (например чрез модемни входове или през Интернет), вкл. отдалечен достъпда извършва привилегировани действия; съответните длъжностни лица разрешават използването на всеки тип отдалечен достъп и упълномощават само тези потребители, които се нуждаят от него, да го използват.
• Организация:
  • установява ограничения върху използването и ръководи внедряването на безжични технологии;
  • документира, следи и контролира безжичния достъп до ИС; съответните служители разрешават използването на безжични технологии.
• Контрол на достъпа: персонални информационни системи.Ограничаване на използването на лични информационни системи за производствени нужди, включително обработка, съхранение и предаване на производствена информация.
• Записване и одит: политики и процедури.Разработка, разпространение, периодично преразглеждане и промени:
  • официална, документирана политика за запис и одит, която очертава целта, обхвата, ролите, отговорностите, подкрепата на управлението, координацията между организационните структури и спазването на приложимите закони;
  • официални документирани процедури в подкрепа на прилагането на политиките и свързаните контроли за записване и одитиране.
• Регистриране и одит: регистрирани събития.Информационната система генерира регистрационни записи за определени събития.
• Информационната система съхранява достатъчно информация в регистрационните записи, за да установи какво събитие е настъпило, какъв е източникът на събитието и какъв е резултатът от събитието.
• Регистриране и одит: Ресурси за съхраняване на информация от регистрационни файлове.Трябва да разпределите достатъчно ресурси за съхраняване на информация за вход и да конфигурирате регистриране, за да сте сигурни, че тези ресурси не са изчерпани.
• В случай на неуспешно регистриране или изчерпване на ресурсите за съхранение на регистрационна информация, информационната система уведомява съответните служители и предприема определени допълнителни действия.
• Регистриране и одит: защита на регистрационната информация.Информационната система защитава информацията за регистрация и инструментите за регистриране/одит от неоторизиран достъп, промяна и изтриване.
• Регистриране и одит: запазване на информация за регистрация.Регистрационната информация трябва да се съхранява за определен период от време, за да се подпомогнат разследванията на предишни нарушения на сигурността на информацията и да се спазят приложимите правни и организационни изисквания за съхранение.
• Сигурност на системи и комуникации: политики и процедури.Разработка, разпространение, периодичен преглед и модификация:
  • формална, документирана политика за сигурност на системите и комуникациите, която очертава целта, обхвата, ролите, отговорностите, подкрепата на управлението, координацията между организационните структури и спазването на приложимите закони;
  • официални документирани процедури за улесняване на прилагането на политики и свързания контрол за защита на системи и комуникации.
• Сигурност на системи и комуникации: защита срещу атаки върху наличността.Информационната система защитава от атаки върху наличността на определени видове или ограничава тяхното въздействие.
• Информационната система наблюдава и контролира комуникациите на своите външни и ключови вътрешни граници на IS.
• Сигурност на системи и комуникации: прилагане на легална криптография.Ако информационната система използва криптографски средства, те трябва да отговарят на изискванията на действащото законодателство, техническите разпоредби, стандартите, насоките и разпоредбите, индустриалните и организационните стандарти.
• Защита на системи и комуникации: Защита на публични системи.Информационната система гарантира целостта на данните и приложенията за публичните системи.

Допълнителни и подобрени контроли за сигурност за умерено ниво на информационна сигурност

За умерено ниво на информационна сигурност е препоръчително да използвате следните допълнителни и подобрени (в сравнение с минималното ниво) регулатори на сигурността.

• При дадена честота или след появата на информация за нови критични за ИС уязвимости е необходимо да се сканира за уязвимости в информационната система.
• Планиране на сигурността: Планиране на дейности, свързани със сигурността.Уверете се, че дейностите, свързани със сигурността, засягащи информационната система, са правилно планирани и координирани, за да се сведат до минимум отрицателните въздействия върху операциите и активите на организацията (включително нейната мисия, функции, имидж и репутация).
• Поръчка на системи и услуги: документация.В общия пакет от документи е необходимо да се включи документация от производителя/доставчика (ако има такъв), описваща функционалните свойства на включените в информационната система регулатори за безопасност, достатъчно подробна, за да е възможен анализ и тестване на регулаторите.
• Доставяне на системи и услуги: принципи на проектиране на информационната сигурност.Проектирането и внедряването на информационна система се извършва с помощта на принципите на проектиране на информационната сигурност.
• Поръчка на системи и услуги: тестване на сигурността от разработчика.Разработчикът на информационната система формира план за тестване и оценка на сигурността, прилага го и документира резултатите; последният може да се използва за поддръжка на сертифициране за сигурност и акредитация на доставения IP.
• Сертифициране, акредитация и оценка на безопасността: оценка на безопасността.С определена честота, но не по-рядко от веднъж годишно, е препоръчително да се оценяват контролите за сигурност в информационната система, за да се определи дали те са правилно внедрени, функционират в съответствие със спецификациите и дават очакваните резултати по отношение на постигането на информационната сигурност изисквания към информационната система.
• Сертифициране, акредитация и оценка на безопасността: сертифициране съгласно изискванията за безопасност.Оценката на регулаторите за сигурност в една информационна система за целите на сертифицирането по изискванията за сигурност се извършва от независима сертифицираща организация.
• Физическа защита: контрол на достъпа до устройства за извеждане на информация.Контрол на физическия достъп до устройствата за изобразяване на информация с цел защита на последните от гледане от неоторизирани лица.
• Физическа сигурност: наблюдение на физическия достъп.Входящите сигнали за проникване и данните от проследяващите устройства се наблюдават в реално време.
• Физическа защита: контрол на посетителите.Осигуряване на придружител на посетителите и при необходимост наблюдение на дейността им.
• Физическа защита: електрообзавеждане и окабеляване.Защита на електрическо оборудване и инсталации за информационна система от повреда и разрушаване.
• Физическа защита: аварийно изключване.За определени помещения, в които са концентрирани ресурси на информационната система (центрове за данни, сървърни зали, компютърни зали на мейнфрейм и т.н.), трябва да е възможно да се изключи захранването при всяка повреда (например поради късо съединение) или компрометиран (напр. прекъсване на водопровод) компонент на IP, без да излага персонала на опасностите, свързани с достъпа до оборудването.
• Осигуряване на краткосрочни източници непрекъсваемо захранванеза да ви позволи внимателно да изключите информационната система в случай на прекъсване на основното захранване.
• Физическа защита: противопожарна защита.Трябва да се използват и поддържат устройства/системи за гасене на пожар и пожароизвестяване, които се активират автоматично в случай на пожар.
• Физическа защита: алтернативна производствена площадка. Служителите на организацията на алтернативния производствен обект прилагат подходящия контрол на безопасността на IC.
• Физическа защита: местоположение на компонентите на информационната система.Компонентите на информационната система трябва да бъдат разположени на определени места, за да се сведат до минимум потенциалните щети от физически и екологични опасности, както и възможността за неоторизиран достъп.
• Планиране на непрекъснатостта на бизнеса: План за непрекъснатост на бизнеса.Организацията координира разработването на плана за непрекъснатост на бизнеса с лицата, отговорни за свързаните планове (например планове за възстановяване след бедствие, планове за отговор на сигурността и т.н.).
• Компанията организира обучение на служителите в техните роли и отговорности за осигуряване на безпроблемна работа на информационната система, както и провежда обучения за поддържане на практически умения с определена честота, но поне веднъж годишно.
• С определена честота, но не по-рядко от веднъж годишно, организацията тества план за осигуряване на непрекъсната работа на информационната система. За целта се използват определени тестове и процедури за обучение, за да се определи ефективността на плана и готовността на организацията да го приложи. Съответните длъжностни лица преглеждат резултатите от тестването на плана и инициират коригиращи действия. Организацията координира тестването на плана за непрекъснатост на бизнеса със субекти, отговорни за свързаните планове (например планове за възстановяване след бедствие, планове за реакция при инциденти със сигурността и т.н.).
• Необходимо е да се определи място за съхранение на резервни копия и да се сключат необходимите споразумения, за да може да се съхраняват резервни копия на данни от информационната система там; Резервното място за съхранение трябва да е географски отдалечено от основното, за да не го излага на същите опасности.
• Идентифицира се място за обработка на резервни данни и се инициират необходимите споразумения, за да се даде възможност на информационната система да възобнови критичните бизнес функции в рамките на определен период от време, ако основните съоръжения за обработка на данни не са налични. Вторичното място за обработка на данни е географски отдалечено от основното и следователно не е изложено на същите опасности. Идентифицирани са потенциални проблеми с достъпа до място за обработка на резервни копия в случай на мащабни аварии или природни бедствия и са очертани изрични действия за смекчаване на идентифицираните проблеми. Споразумението за алтернативен сайт за данни съдържа задължения за приоритетни услуги въз основа на изискванията за наличност на организацията.
• Определени са основните и резервни източници на телекомуникационни услуги, поддържащи информационната система. Необходимите споразумения се инициират, за да се позволи на информационната система да възобнови критичните бизнес функции в рамките на определен период от време, ако основният източник на телекомуникационни услуги е недостъпен. Споразуменията за основни и резервни телекомуникационни услуги съдържат задължения за предоставяне на приоритетна услуга въз основа на изискванията за наличност на организацията. Резервният източник на телекомуникационни услуги не споделя нито една точка на повреда с основния източник.
• Планиране на непрекъснатостта на бизнеса: архивиране.Организацията тества резервни копия на определена честота, за да гарантира надеждността на носителя и целостта на данните.
• Управление на конфигурацията: основна конфигурация и опис на компонентите на информационната система.При инсталиране на нови компоненти се променя основната конфигурация на информационната система и списъкът на компонентите на ИС.
• Промените в информационната система се документират и контролират; подходящи длъжностни лица разрешават промени в IP в съответствие с политиките и процедурите на организацията.
• Управление на конфигурацията: Наблюдение на промените в конфигурацията. Промените в информационната система трябва да се наблюдават и тяхното въздействие върху сигурността да се анализира, за да се определи ефектът от промените.
• Организацията налага физически и логически ограничения за достъп, свързани с промени в информационната система и генерира, поддържа и преглежда записи, отразяващи всички такива промени.
• Информационната система трябва да бъде конфигурирана така, че да предоставя само необходимите възможности и изрично да забранява и/или ограничава използването на определени функции, портове, протоколи и/или услуги.
• Поддръжка: периодична поддръжка.Поддържа се дневник за поддръжка на информационната система, в който се записват:
  • дата и час на услугата;
  • фамилия и собствено име на лицето, извършващо услугата;
  • фамилно и собствено име на придружителя, ако е необходимо;
  • описание на предприетите действия за поддържане на ИС;
  • списък на премахнато или преместено оборудване (с идентификационни номера).
• Организацията разрешава, контролира и наблюдава използването на инструменти за поддръжка на информационната система и непрекъснато поддържа тези инструменти.
• Поддръжка: своевременно обслужване.Една организация получава сервиз и резервни части за определени ключови компоненти на информационната система за определен период от време.
• Цялост на системата и данните: защита срещу зловреден софтуер.Централизирано управление на механизмите за защита от зловреден софтуер.
• Цялост на системи и данни: средства и методи за наблюдение на информационна система.Приложение на инструменти и методи за наблюдение на събития в информационната система, идентифициране на атаки и идентифициране на неоторизирано използване на информационни системи.
• В информационната система е реализирана антиспам защита.
• Цялост на системите и данните: ограничения за въвеждане на данни.Организацията предоставя правото да въвеждат данни в информационната система само на упълномощени лица.
• Системи и цялост на данните: точност, пълнота, надеждност и автентичност на данните. Информационната система проверява данните за точност, пълнота, надеждност и автентичност.
• Цялост на системата и данните: обработка на грешки.Информационната система изрично идентифицира и обработва ситуации на грешка.
• Системи и цялост на данните: обработка и съхраняване на изходни данни.Резултатът от информационната система се обработва и съхранява в съответствие с политиките и оперативните изисквания на организацията.
• Защита на носителя: Знаци на носителя. Сменяем носителданните и изходните данни на ИС са снабдени с външни етикети, съдържащи ограничения върху разпространението и обработката на тези данни; определени видове носители или хардуерни компоненти се изчистват, защото остават в контролираната зона.
• Защита на медиите: съхранение на медии. Физически контрол и безопасно съхранениеносители за съхранение, хартиени и цифрови, въз основа на максималната категория, присвоена на данните, записани на носителя.
• Защита на медиите: Транспортиране на медии.Контрол на носителите за съхранение, хартиени и цифрови, и ограничаване на изпращането, получаването, транспортирането и доставянето на носители на упълномощени лица.
• Дружеството обучава служителите на техните роли и отговорности, свързани с реагиране при пробиви в информационната сигурност и провежда обучение за поддържане на практически умения с определена честота, но поне веднъж годишно.
• С определена честота, но не по-рядко от веднъж годишно, се тестват средствата за реагиране при нарушения на информационната сигурност на IP, като се използват определени тестове и процедури за обучение, за да се определи ефективността на реакцията. Резултатите са документирани.
• Отговор при нарушения на информационната сигурност: отговор.Използват се автоматични механизми за подпомагане на процеса на реагиране при нарушения на информационната сигурност.
• Необходимо е постоянно наблюдение и документиране на нарушения на информационната сигурност на IP.
• Реагиране на нарушения на информационната сигурност: доклади за нарушения.Използване на автоматизирани механизми за улесняване на докладите за нарушения на информационната сигурност.
• Реагиране на нарушения на информационната сигурност: помощ.Използване на автоматизирани механизми за увеличаване на наличността на информация и поддръжка, свързана с реагирането на пробиви в информационната сигурност.
• Идентификация и удостоверяване: Идентификация и удостоверяване на устройството.Информационната система идентифицира и удостоверява определени устройства, преди да установи връзка с тях.
• Контрол на достъпа: управление на акаунти.Прилагане на автоматични механизми за поддръжка на управление на акаунти в информационната система; информационната система автоматично прекратява временни и спешни сметки след изтичане на периода от време, определен за всеки вид сметка; информационната система автоматично деактивира неактивните акаунти след определен период от време.
• Контрол на достъпа: изпълнение.Информационната система гарантира, че достъпът до функциите за сигурност (реализирани в хардуера и/или софтуера) и до данните за сигурност се предоставя само на упълномощени лица (например администратори по сигурността).
• Контрол на достъпа: Налагане на контрол на информационния поток.Информационната система налага присвоените привилегии за управление на информационните потоци в системата и между взаимосвързаните системи в съответствие с приетата политика за сигурност.
• Контрол на достъпа: разделяне на задълженията.Информационната система налага разделяне на задълженията чрез присвояване на привилегии за достъп.
• Контрол на достъпа: минимизиране на привилегиите.Информационната система налага най-рестриктивния набор от права/привилегии за достъп, необходими за потребителите(или процеси, действащи от името на тези потребители), за да изпълняват задачите си.
• Контрол на достъпа: блокиране на сесии.Информационната система предотвратява по-нататъшен достъп до информационната система, като блокира сесията, докато потребителят възстанови достъпа, използвайки подходящи процедури за идентификация и удостоверяване.
• Контрол на достъпа: прекратяване на сесия.Информационната система автоматично прекратява сесията след определен период на неактивност.
• Контрол на достъпа: разрешени действия без идентификация или удостоверяване.Организацията разрешава действия без идентификация или удостоверяване само ако са необходими за постигане на ключовите цели на организацията.
• Контрол на достъпа: отдалечен достъп.Използване на автоматични механизми за улесняване на наблюдението и контрола на методите за отдалечен достъп, криптиране за защита на поверителността на сесиите за отдалечен достъп. Целият отдалечен достъп трябва да се контролира от управлявана контролна точка за достъп.
• Контрол на достъпа: Ограничения за безжичен достъп.Използване на удостоверяване и криптиране за сигурност безжичен достъпкъм информационната система.
• Контрол на достъпа: мобилни устройства.Организация:
  • установява ограничения за употреба и разработва насоки за употреба мобилни устройства;
  • документира, наблюдава и контролира достъпа чрез такива устройства до IP; съответните служители разрешават използването на мобилни устройства; се използват подвижни твърди дисковеили криптография за защита на данни, намиращи се в мобилни устройства.
• Регистриране и одит: съдържание на регистрационните записи.Информационната система предоставя възможност за включване на допълнителна, по-подробна информация в регистрационните записи за регистрирани събития, идентифицирани по вид, местоположение или предмет.
• Регистрационната информация трябва редовно да се преглежда/анализира, за да се идентифицира неподходяща или необичайна дейност, да се разследват подозрителни дейности или предполагаеми нарушения, да се докладват констатациите на съответните служители и да се предприемат подходящи действия.
• Информационната система предоставя възможност за намаляване на регистрационната информация и генериране на отчети.
• Регистриране и одит: времеви печати.Информационната система предоставя времеви отпечатъци за използване при генериране на регистрационни записи.
• Защита на системи и комуникации: разделяне на приложения.Информационната система споделя потребителска функционалност (включително услуги потребителски интерфейс) от функционалността на управлението на ИС.
• Защита на системи и комуникации: остатъчна информация.Информационната система предотвратява неоторизиран и непреднамерен трансфер на информация чрез споделени системни ресурси.
• Защита на системи и комуникации: защита на границите.Препоръчително е физически да се поставят публично достъпни компоненти на информационна система (например публични уеб сървъри) в отделни подмрежи с отделни физически мрежови интерфейси, за да се предотврати публичен достъпвъв вътрешната мрежа, с изключение на правилно контролиран достъп.
• Информационната система защитава целостта на предаваните данни.
• Информационната система защитава поверителността на предаваните данни.
• Защита на системи и комуникации: прекъсване на мрежови връзки.Информационната система се прекратява мрежова връзкав края на сесия или след определен период на неактивност.
• Защита на системи и комуникации: генериране на криптографски ключове и тяхното управление.Информационната система използва автоматични механизми и спомагателни процедури или ръчни процедуриза генериране на криптографски ключове и управление на ключове.
• Защита на системи и комуникации: колективни приложения.Информационната система забранява дистанционното активиране на механизми за колективно приложение (например видео- или аудиоконференции) и предоставя ясни доказателства за тяхното използване на местните потребители (например индикация за използването на видеокамери или микрофони).
• Сигурност на системи и комуникации: инфраструктурни сертификати с публичен ключ.Организацията разработва и внедрява политика за сертификати и спецификация на практиките за сертифициране за издаване на сертификати за публичен ключ, използвани в информационна система.
• Защита на системи и комуникации: мобилен код.Организация:
  • определя ограничения за прилагане и разработва насоки за използване на технологиите мобилен код, въз основа на възможността за причиняване на щети на информационната система чрез злонамерено използване на тези технологии;
  • документира, следи и контролира използването на мобилен код в информационната система; съответните служители разрешават използването на мобилния код.
• Сигурност на системи и комуникации: VoIP протокол.Организация:
  • установява ограничения за използването и разработва насоки за използване на VoIP технологии, въз основа на възможността за причиняване на щети на информационната система, ако тези технологии се използват злонамерено;
  • документира, наблюдава и контролира използването на VoIP в информационната система; съответните служители разрешават използването на VoIP.
• Защита на системи и комуникации: сервиз безопасно търсенеимена (упълномощени източници).Информационните системи (оторизирани сървъри за имена на домейни), които предоставят услуги за търсене на имена на външни потребители за достъп до информационните ресурси на организацията чрез Интернет, предоставят атрибути за удостоверяване на източника на данни и контрол на целостта на данните, за да позволят на потребителите да получат гаранции за автентичност и цялост на съобщенията, когато получават данни в мрежови транзакции.

Допълнителни и подобрени регулатори за сигурност за високо ниво на информационна сигурност

За високо ниво на информационна сигурност се препоръчва използването на следните допълнителни и подобрени (в сравнение със средното ниво) контроли за сигурност.

Оценка на риска: сканиране на уязвимости.Инструментите за сканиране на уязвимости включват възможност за бърза промяна на списъка на сканираните уязвимости на информационната система.

На определена честота или след като се появи информация за нови критични за IS уязвимости, организацията променя списъка на сканираните уязвимости на информационната система.

• Поръчка на системи и услуги: документация.Документация от производителя/доставчика (ако има такава) трябва да бъде включена в общия пакет от документи, описващи детайлите на дизайна и изпълнението на контролите за безопасност, включени в информационната система, достатъчно подробно, за да позволи анализ и тестване на контролите (включително функционални интерфейси между регулаторни компоненти).
• Поръчка на системи и услуги: управление на конфигурацията от разработчика.Разработчикът на информационната система създава и внедрява план за управление на конфигурацията, който контролира промените в системата по време на разработката, проследява дефекти в сигурността, изисква разрешение за промяна и предоставя документация за плана и неговото изпълнение.
• Физическа защита: контрол на достъпа до каналите за предаване на данни.Физическият достъп до IP разпределителни и преносни линии, разположени в рамките на защитени граници, се контролира, за да се предотврати неволна повреда, подслушване, модификация по време на предаване, прекъсване или физическо изкривяване на линиите.
• Физическа сигурност: наблюдение на физическия достъп.Използват се автоматични механизми, за да се гарантира, че потенциалните прониквания са идентифицирани и е инициирана реакция.
• Физическа сигурност: регистриране на достъпа.Използват се автоматизирани механизми за улесняване на поддържането и прегледа на регистрационните файлове.
• Физическа защита: аварийно захранване.Необходимо е да се осигурят дълготрайни алтернативни източници на захранване на информационната система, които са в състояние да поддържат минимално необходимите оперативни възможности в случай на дълготраен отказ на първичния източник на захранване.
• Физическа защита: противопожарна защита.Използва и поддържа устройства/системи за гасене и откриване на пожар, които автоматично уведомяват организацията и службите за спешна помощ за тяхното активиране.
• Физическа защита: защита от наводнения.Автоматичните механизми се използват за автоматично спиране на водата в случай на силен теч.
• Планиране на непрекъснатостта на бизнеса: обучение.Симулациите на събития са включени в курсовете за обучение, за да помогнат на служителите да реагират ефективно на възможни кризисни ситуации.
• Планиране на непрекъснатостта на бизнеса: Тестване на вашия план за непрекъснатост на бизнеса.Планът за непрекъснатост на бизнеса се тества на алтернативното място, за да запознае служителите с наличните възможности и ресурси и да оцени способността на сайта да поддържа непрекъснатост на бизнеса.
• Планиране на непрекъснатост: резервни места за съхранение.Мястото за съхранение на резервни копия е конфигурирано да улеснява навременни и ефективни действия за възстановяване; идентифицирани са потенциални проблеми с достъпа до резервно хранилище в случай на мащабни аварии или природни бедствия и са очертани изрични действия за смекчаване на идентифицираните проблеми.
• Планиране на непрекъснатост: резервни места за обработка на данни.Резервното място за обработка е напълно конфигурируемо, за да поддържа минималната необходима оперативна способност и е готово за използване като производствена площадка.
• Планиране на непрекъснатостта на бизнеса: телекомуникационни услуги.Резервният източник на телекомуникационни услуги трябва да е достатъчно отдалечен географски от основния, за да не бъде изложен на същите опасности; Първичните и вторичните източници на телекомуникационни услуги имат адекватни планове за непрекъснатост на бизнеса.
• Планиране на непрекъснатостта на бизнеса: архивиране.За възстановяване на функционалността на информационната система, резервните копия се използват избирателно като част от тестването на плана за непрекъснатост на бизнеса. Архивиране операционна системаи друг критичен за IC софтуер се съхраняват на отделно място или в огнеупорен контейнер, разположен отделно от работния софтуер.
• Планиране на непрекъснатостта на бизнеса: възстановяване на информационната система.Организацията включва пълно възстановяване на информационната система като част от тестването на своя план за непрекъснатост на бизнеса.
• Управление на конфигурацията: основна конфигурация и опис на компонентите на информационната система.Използват се автоматични механизми за поддържане на актуална, пълна, точна и лесно достъпна основна конфигурация на информационната система и опис на компонентите на ИС.
• Управление на конфигурацията: контрол на промените в конфигурацията.Автоматичните механизми се използват за:
  • документира предложените промени в информационната система;
  • уведомете съответните длъжностни лица;
  • насочете вниманието към ненавременните одобрения за визи;
  • забавяне на промените до получаване на необходимите одобрения за визи;
  • документи, направени промени в информационната система.
• Управление на конфигурацията: ограничаване на достъпа за промени.Автоматичните механизми се използват за налагане на ограничения за достъп и поддържане на регистрирането на ограничителни действия.
• Управление на конфигурацията: настройки.Използват се автоматични механизми за централизирано управление, прилагане и проверка на настройките.
• Управление на конфигурацията: минимизиране на функционалността.Информационната система се преглежда на определена честота, за да се идентифицират и елиминират функции, портове, протоколи и други услуги, които не са необходими.
• Поддръжка: периодична поддръжка.Използват се автоматични механизми, за да се гарантира, че периодичната поддръжка се планира и извършва в съответствие с установените изисквания и че записите на необходимите и завършени действия по поддръжката са актуални, точни, пълни и достъпни.
• Придружаващ: средства за съпровод.Цялото поддържащо оборудване (например диагностично и тестово оборудване), внесено в организацията от персонала по поддръжката, трябва да бъде проверено за видими неподходящи модификации. Всички носители, съдържащи диагностични тестови програми (например софтуер, използван за поддръжка и диагностика на системи), трябва да бъдат проверени за злонамерен софтуер, преди носителят да се използва в информационната система. Цялото оборудване, използвано за целите на поддръжката и способно да съхранява информация, се проверява, за да се гарантира, че оборудването не записва частна информация или че е правилно дезинфекцирано преди повторна употреба. Ако оборудването не може да бъде дезинфекцирано, то остава в помещенията на организацията или се унищожава, освен ако не е изрично разрешено от съответните длъжностни лица.
• Поддръжка: дистанционна поддръжка.Всички сесии за отдалечена поддръжка се регистрират и съответните служители преглеждат дневника на отдалечените сесии. Инсталирането и използването на дистанционни диагностични канали се отразяват в плана за сигурност на информационната система. Услугите за дистанционна диагностика или поддръжка са допустими само ако обслужващата организация поддържа в своята ИС поне същото ниво на сигурност като обслужваната организация.
• Цялост на системата и данните: защита срещу зловреден софтуер.Информационната система автоматично променя механизмите за защита срещу зловреден софтуер.
• Цялост на системата и данните: проверка на функционалността за сигурност.Информационна система в рамките технически възможности, при стартиране или рестартиране на системата, по команда на оторизиран потребител и/или периодично с определена честота, проверява правилната работа на функциите за сигурност и уведомява системен администратори/или изключва или рестартира системата, ако бъдат открити някакви аномалии.
• Интегритет на системите и данните: Интегритет на софтуера и данните.Информационната система открива и защитава срещу неоторизирани промени в софтуера и данните.
• Цялост на системите и данните: защита срещу спам.Организацията управлява централно механизмите за защита от спам.
• Защита на медиите: достъп до медиите.Използват се или постове за сигурност, или автоматични механизми за контролиране на достъпа до зоните за съхранение на мултимедия, осигуряване на защита срещу неоторизиран достъп и записване на опитите за достъп и предоставения достъп.
• Отговор при нарушения на информационната сигурност: обучение.Курсовете за обучение включват симулации на събития, за да помогнат на служителите да реагират ефективно на потенциални кризисни ситуации.
• Отговор при нарушения на информационната сигурност: тестване.Използват се автоматизирани механизми за по-задълбочено и ефективно тестване на възможностите за реакция.
• Реакция при нарушения на информационната сигурност: мониторинг.Използват се автоматизирани механизми за улесняване на проследяването на нарушения на сигурността и събирането и анализа на информация за нарушенията.
• Идентификация и автентификация: Идентификация и автентикация на потребители.Информационната система използва многофакторна автентификация.
• Контрол на достъпа: управление на акаунти.Използват се автоматични механизми, за да се гарантира, че създаването, модифицирането, деактивирането и прекратяването на акаунта се записват и, когато е подходящо, се уведомяват съответните лица.
• Контрол на достъпа: Управление на едновременни сесии.Информационната система ограничава броя на паралелните сесии за един потребител.
• Контрол на достъпа: Надзор и преглед. Използват се автоматични механизми, за да се улесни прегледът на потребителската активност.
• Контрол на достъпа: автоматично маркиране.Информационната система етикетира изходните данни, като използва стандартни конвенции за именуване, за да идентифицира всички специални инструкции за разпространение, обработка и разпространение на данните.
• Регистриране и одит: съдържание на регистрационните записи.Информационната система предоставя възможност за централизирано управление на съдържанието на регистрационните записи, генерирани от отделните компоненти на ИС.
• Регистриране и одит: обработка на регистрационна информация.Информационната система предоставя предупредително съобщение, когато споделянето заето пространстворазпределен за съхраняване на информация за регистрация, достигне определената стойност.
• Регистриране и одит: Наблюдение, анализиране и докладване на информация за регистрация.Използване на автоматизирани механизми за интегриране на наблюдението, анализа и докладването на регистрационна информация в цялостния процес на идентифициране и реагиране на подозрителна дейност.
• Регистриране и одит: намаляване на регистрационната информация и генериране на отчети.Информационната система предоставя възможност за автоматична обработка на регистрационна информация за събития, изискващи внимание, въз основа на зададени критерии за подбор.
• Защитете системите и комуникациите: изолирайте функциите за сигурност.Информационната система изолира функциите за сигурност от други функции.
• Защита на системи и комуникации: цялост на предаваните данни.Използването на криптографски механизми, за да се гарантира, че промените в данните се разпознават по време на предаване, освен ако данните не са защитени с алтернативни физически мерки (например система за разпространение на сигурност).
• Защита на системи и комуникации: конфиденциалност на предаваните данни.Използването на криптографски механизми за предотвратяване на неоторизирано разкриване на информация по време на предаване, освен ако не е защитена с алтернативни физически мерки (например сигурна система за разпространение).
• Защита на системи и комуникации: защитена услуга за търсене на имена (разрешаване на имена).Информационни системи (оторизирани сървъри за имена на домейни), които предоставят на вътрешните потребители услуга за търсене на имена за достъп до информационни ресурси, предоставят механизми за удостоверяване на източника на данни и наблюдение на целостта на данните, а също така извършват тези действия при поискване от клиентски системи.

Минимални изисквания за сигурност за регулаторите по сигурността

Минималните изисквания за сигурност за регулаторите по сигурността се прилагат за определени процеси и дейности. Проектантите и изпълнителите на регулатора дефинират и прилагат (изпълняват) тези процеси и дейности, за да повишат увереността, че контролите се изпълняват правилно, функционират в съответствие със спецификациите и произвеждат очакваните резултати по отношение на изпълнението на изискванията за информационна сигурност.

При минимално ниво на информационна сигурност е необходимо регулаторите за сигурност да бъдат активирани и да отговарят на функционалните изисквания, изрично посочени в тяхната дефиниция.

При средно ниво на информационна сигурност трябва допълнително да бъдат изпълнени следните условия. Специалистите, които разработват (внедряват) регулатори, предоставят описание на техните функционални свойства, което е достатъчно подробно, за да е възможно анализирането и тестването на регулаторите. Колко интегрално компонентна регулаторите, разработчиците документират и осигуряват разпределението на отговорностите и конкретните действия, благодарение на които след завършване на разработването (внедряването) регулаторите трябва да отговарят на наложените им функционални изисквания. Технологията, използвана за разработване на регулатори, трябва да поддържа висока степен на увереност в тяхната пълнота, последователност и коректност.

Фигура 6. Осигуряване на информационна сигурност. Процесен подход.

На високо нивоинформационна сигурност, в допълнение към всичко изброено по-горе, е необходимо да се предостави описание на дизайна и изпълнението на регулаторите, включително функционалните интерфейси между техните компоненти. От разработчиците се изисква да предоставят доказателства, че след като разработката (внедряването) е завършена, съответствието с регулаторните изисквания ще бъде непрекъснато и последователно в цялата информационна система и ще бъде подкрепена способността за подобряване на регулаторната ефективност.

Заключение

Осигуряването на информационна сигурност е сложен, многоизмерен процес, който изисква вземане на много решения, анализиране на много фактори и изисквания, понякога противоречиви. Наличие на категории и минимални изискваниясигурността, както и предварително определен каталог от регулатори на сигурността, могат да послужат като основа за систематичен подход за осигуряване на информационна сигурност, подход, който изисква разумни разходи за труд и материали и може да даде практически приемливи резултати за повечето организации.

Категоризирането на информацията по важност съществува обективно и не зависи от желанията на ръководството, тъй като се определя от механизма на дейността на банката и характеризира опасността от унищожаване или промяна на информацията. Има много опции за тази категоризация. Ето най-простият:

1. Важна информация- информация, която е незаменима и необходима за дейността на банката, процесът на нейното възстановяване след унищожаване е невъзможен или е много трудоемък и свързан с високи разходи, а погрешното й изменение или фалшифициране причинява големи щети.

2. Полезна информация- необходима информация, която може да бъде възстановена без големи разходи и нейното изменение или унищожаване причинява относително малки материални загуби.

Категоризирането на поверителната информация се извършва субективно от ръководството или персонала в съответствие с предоставените им правомощия в зависимост от риска от нейното разкриване. За дейността на търговската банка са достатъчни две степени на градация.

1. Поверителна информация - информация, до която достъпът на персонал или неупълномощени лица е нежелателен, тъй като може да причини материални и морални загуби.

2. Отворена информация - информация, достъпът до която от външни лица не е свързан със загуби.

Ръководството трябва да реши кой и как ще определя важността и поверителността на информацията. Без такова решение не е възможна смислена работа по създаването на система за електронно банкиране.

План за защита

Анализът на риска завършва с приемане на политика за сигурност и разработване на план за защита със следните раздели:

1. Текущо състояние. Описание на състоянието на системата за защита към момента на изготвяне на плана.

3. Отговорност. Списък на отговорните служители и области на отговорност.

4. График. Определяне на реда на работа на защитните механизми, включително контролите.

5. Преглед на разпоредбите на плана, които трябва да се преразглеждат периодично.

Ключовият въпрос в началния етап на създаване на система за сигурност е назначаването на лицата, отговорни за сигурността на системата и разграничаването на областите на тяхната дейност. По правило при първоначалното поставяне на такива въпроси се оказва, че никой не иска да носи отговорност за този аспект от сигурността на организацията. Системните програмисти и системните администратори са склонни да приписват тази задача на своята компетентност общо обслужванесигурност, докато последният от своя страна смята, че подобен проблем трябва да бъде отговорност на компютърните специалисти.

Разпоредби за безопасност

Когато се взема решение за разпределяне на отговорността за сигурността на компютърна система, трябва да се вземат предвид следните разпоредби:

1. никой друг освен ръководството не може да взема фундаментални решения в областта на политиката за компютърна сигурност;

2. никой друг освен специалисти не може да осигури правилното функциониране на системата за сигурност;

3. никоя външна организация или група от специалисти не е жизнено заинтересована от рентабилността на мерките за сигурност.

Областта на стратегическите решения при създаването на система за компютърна сигурност трябва да включва развитието Общи изискваниякъм класификацията на съхраняваните и обработваните данни компютърна система. В много случаи има объркване между понятията конфиденциалност (секретност) и важността на информацията.

Защитена информация (информация, подлежаща на защита)- информация (информация), която е обект на собственост и подлежи на защита в съответствие с изискванията на законодателни и други нормативни документи или в съответствие с изискванията, установени от собственика на информацията (Банката).

Защитени ресурси на информационната банкова система (IBS ресурси подлежат на защита)- информация, функционални задачи, канали за предаване на информация, работни места, които трябва да бъдат защитени с цел осигуряване на информационна сигурност на Банката, нейните клиенти и кореспонденти.

Защитен работно място(RM)- обект на защита ( Персонален компютърс подходящ набор от софтуер и данни), за които се признава необходимостта от установяване на регламентиран режим на обработка на информацията и се характеризира с:

• местоположението, както и степента на физическата му достъпност за неупълномощени лица (клиенти, посетители, служители, които нямат право да работят с УП и др.);

  хардуерен състав;

  състав на софтуер и задачи, решавани върху него (определени категории на достъпност);

  съставът на информацията, съхранявана и обработвана в RM (определени категории на поверителност и интегритет).

RM форма- документ от установената форма (Приложение 3), записващ характеристиките на RM (местоположение, конфигурация на хардуера и софтуера, списък на задачите, решени на RM и др.) И удостоверяващ възможността за работа с този RM (удостоверяващ изпълнението на изискванията за защита на информацията, обработвана в RM в съответствие с категорията на този RM).

Защитена задача- функционална задача, решена на отделен RM, за която се признава необходимостта от установяване на регулиран режим на обработка на информацията и се характеризира с:

• набор от ресурси, използвани в решението (софтуер, набори от данни, устройства);

  честота на решението;

  максимално допустимото време на забавяне за получаване на резултата от решаването на проблема.

Форма на задачите- документ от установената форма (Приложение 2), записващ характеристиките на задачата (нейното име, цел, вид, ресурси, използвани при решаването й, групи потребители на тази задача, техните права за достъп до ресурсите на задачата и др. .).

Защитен канал за предаване на информация- пътя, по който се предава защитената информация. Каналите са разделени на физически (от едно устройство към друго) и логически (от една задача към друга).

Конфиденциалност на информацията- характеристика (свойство), субективно определена (приписана) на информацията, показваща необходимостта от въвеждане на ограничения върху кръга от субекти (лица), които имат достъп до тази информация, и се осигурява от способността на системата (средата) да пази тази информация в тайна от субекти, които нямат правомощия за достъп до нея.

Целостта на информацията- свойство на информацията, което се състои в нейното съществуване в неизкривен вид (непроменен по отношение на някакво фиксирано състояние).

Наличие на информация (задачи)- свойство на системата за обработка (среда), в която циркулира информацията, характеризиращо се със способността да осигури своевременен безпрепятствен достъп на субектите до информацията, която ги интересува (ако субектите имат съответните правомощия за достъп) и готовността на съответните автоматизирани услуги(функционални задачи) за обслужване на заявки, получени от субекти, когато има нужда да се свържете с тях.

1. Общи положения

1.1. Настоящата наредба въвежда категории (градации на важността за осигуряване на защита) на ресурсите и установява процедура за категоризиране на ресурсите на информационната система, които подлежат на защита (причисляването им към съответните категории, като се отчита степента на риск от увреждане на Банката, своите клиенти и кореспонденти в случай на неоторизирана намеса в процеса на функциониране на IBS и нарушаване на целостта или поверителността на обработваната информация, блокиране на информация или нарушаване на достъпността на задачите, решавани от IBS).

1.2. Категоризация на ресурсите (определяне на изискванията за опазване на ресурсите) IBS е необходим елементорганизира работа за осигуряване на информационната сигурност на банката и има за свои цели:

създаване на регулаторна и методологична основа за диференциран подход за защита на ресурсите на автоматизираната система (информация, задачи, канали, PM) въз основа на тяхната класификация според степента на риск в случай на нарушаване на тяхната наличност, цялост или поверителност;

типизиране на предприетите организационни мерки и разпределение на хардуерните и софтуерни ресурси за защита на ресурсите в IBS RM и унифициране на техните настройки.

2. Категории защитена информация

2.1. Въз основа на необходимостта от осигуряване на различни нива на защита за различни видове информация, съхранявана и обработвана в IBS, както и отчитайки възможните начини за причиняване на вреди на Банката, нейните клиенти и кореспонденти, три категории на поверителност на защитената информация и въвеждат се три категории интегритет на защитената информация.

„ВИСОКА“ - тази категория включва некласифицирана информация, която е поверителна в съответствие с изискванията на действащото законодателство Руска федерация(банкова тайна, лични данни);

„НИСКО” - тази категория включва поверителна информация, която не е класифицирана в категория „ВИСОКА”, ограниченията за разпространението на която се въвеждат с решение на ръководството на Банката в съответствие с предоставените й права като собственик (упълномощено от собственик) на информацията от действащото законодателство;

„БЕЗ ИЗИСКВАНИЯ“ - тази категория включва информация, за която не се изисква конфиденциалност (въвеждане на ограничения за разпространение).

“ВИСОКА” - тази категория включва информация, чието неоторизирано изменение (изкривяване, унищожаване) или фалшифициране може да доведе до значителни преки вреди на Банката, нейните клиенти и кореспонденти, целостта и автентичността (потвърждение на автентичността на източника) на която трябва да се осигури чрез гарантирани методи (например чрез електронни цифров подпис) в съответствие със задължителните изисквания на действащото законодателство;

„НИСКО” - тази категория включва информация, чиято неразрешена промяна, изтриване или фалшифициране може да доведе до незначителни косвени щети за Банката, нейните клиенти и кореспонденти, чиято цялост (и, ако е необходимо, автентичност) трябва да бъде гарантирана в съответствие с решението на ръководството на Банката (методи за изчисляване на контролни суми, цифров подпис и др.);

“БЕЗ ИЗИСКВАНИЯ” - тази категория включва информация, за която няма изисквания за гарантиране на целостта (и автентичността) на която.

2.2. За да се опростят операциите за категоризиране на задачи, канали и PM, категориите за поверителност и цялост на защитената информация се комбинират и се установяват четири общи категории информация: „жизненоважна“, „много важна“, „важна“ и „неважна“ . Информацията се причислява към една или друга обща категория въз основа на нейните категории за поверителност и цялост в съответствие с таблица 1.

маса 1

1 – „Жизненоважна“ информация

2 – „Много важна“ информация

3 – „Важна“ информация

4 – „Неважна“ информация

3. Категории функционални задачи

3.1. В зависимост от честотата на решаване на функционални задачи и максимално допустимото забавяне при получаване на резултатите от тяхното решение се въвеждат четири необходими степени на достъпност на функционалните задачи.

Необходими степени на достъпност на функционалните задачи:

„БЕЗПРЕПЯТСТВЕН ДОСТЪП” – достъпът до задачата трябва да бъде осигурен по всяко време (задачата се решава непрекъснато, закъснението при получаване на резултата не трябва да надвишава няколко секунди или минути);

„ВИСОКА ДОСТЪПНОСТ“ – достъпът до задачата трябва да се извършва без значителни забавяния във времето (задачата се решава ежедневно, забавянето при получаване на резултата не трябва да надвишава няколко часа);

„СРЕДНА ДОСТЪПНОСТ“ – достъпът до дадена задача може да бъде осигурен със значителни закъснения във времето (задачата се решава веднъж на няколко дни, закъснението при получаване на резултата не трябва да надвишава няколко дни);

“НИСКА ДОСТЪПНОСТ” – времезакъсненията при достъп до задача са практически неограничени (задачата се решава за период от няколко седмици или месеци, приемливото забавяне при получаване на резултата е няколко седмици).

3.2. В зависимост от общата категория защитена информация, използвана при решаването на задачата и необходимата степен на достъпност на задачата, се установяват четири категории функционални задачи: „първа“, „втора“, „трета“ и „четвърта“ (в съответствие с Таблица 2).

таблица 2

4. Изисквания за осигуряване на сигурността на каналите за предаване на защитена информация (категории канали)

4.1. Изискванията за сигурност (категории) на логическия канал за предаване на защитена информация се определят от максималната категория от две задачи, между които този каналинсталиран.

5. Категории на РМ

5.1. В зависимост от категориите задачи, решавани на RM, се установяват четири категории RM: „A“, „B“, „C“ и „D“.

5.3. Групата PM от категория "B" включва PM, които решават поне една функционална задача от втора категория. Категориите на другите задачи, решавани в този RM, трябва да бъдат не по-ниски от трета и не по-високи от втора.

5.4. Групата на RM от категория "C" включва RM, които решават поне една функционална задача от трета категория. Категориите на другите задачи, решавани на този RM, не трябва да бъдат по-високи от третата.

Таблица 3

5.6. Изискванията за осигуряване на безопасността на RM от различни категории (за използване на подходящи мерки и средства за защита) са дадени в Приложение 5.

6. Процедурата за определяне на категориите защитени ресурси на IBS

6.1. Категоризацията се извършва въз основа на опис на ресурсите на информационната банкова система (RM, задачи, информация) и включва съставяне и последващо поддържане (поддържане в актуално състояние) на списъци (набори от формуляри) на IBS ресурси, които трябва да бъдат защитени .

6.2. Отговорността за съставянето и поддържането на списъци с IBS ресурси се носи от:

по отношение на съставянето и поддържането на списък на RM (с посочване на тяхното местоположение, разпределение към подразделенията на банката, състав и характеристики, включени в него технически средства) - към отдел "Информационни технологии" (наричан по-нататък ДИТ);

по отношение на съставянето и поддържането на списък на системни и приложни (специални) задачи, решени на RM (с посочване на списъци с ресурси, използвани при решаването им - устройства, директории, файлове с информация) - към отдела техническа поддръжка UIT.

6.3. Отговорността за определяне на изискванията за осигуряване на поверителност, цялостност, наличност и присвояване на подходящи категории на конкретни RM ресурси (информационни ресурси и задачи) се носи от подразделенията на Банката, които пряко решават проблеми с RM данни (собственици на информация), и отдела за информационна сигурност.

6.4. Одобряването на категориите информационни ресурси на IBS, определени в съответствие с този „Правилник за категоризиране на ресурсите на IBS“, се извършва от Председателя на Управителния съвет на Банката.

6.6. Категоризирането на IBS ресурси може да се извърши последователно за всеки RM поотделно, последвано от комбиниране и генериране на унифицирани списъци на IBS ресурси, които трябва да бъдат защитени:

списък на подлежащите на защита информационни ресурси на IBS (Приложение 2);

списък със задачи, които трябва да бъдат защитени (набор от формуляри за задачи);

списък на RM, предмет на закрила (набор от формуляри RM).

На първия етап от работата по категоризиране на ресурсите на конкретен RM се категоризират всички видове информация, използвани при решаването на проблеми на този RM. Обобщените категории информация се определят въз основа на установени категории за поверителност и цялост на конкретни видове информация. Информационните ресурси, подлежащи на защита, са включени в „Списък на информационните ресурси, подлежащи на защита“.

На втория етап, като се вземат предвид общите категории информация, използвани при решаване на проблеми, установени по-рано, и изискванията за степента на достъпност на задачите, всички функционални задачи, решени на този RM, се категоризират.

На четвъртия етап, въз основа на категориите взаимодействащи задачи, се установява категория логически канали за предаване на информация между функционални задачи (на различни PM). 6.7. Пресертификация (промяна на категорията) на информационните ресурси на IBS се извършва, когато се променят изискванията за осигуряване на защита на свойствата (конфиденциалност и цялост) на съответната информация.

Повторно сертифициране (промяна на категория) на функционални задачи се извършва, когато се променят общите категории информационни ресурси, използвани за решаване на дадена задача, както и когато се променят изискванията за наличие на функционални задачи.

Повторно сертифициране (промяна на категория) на логически канали се извършва, когато се променят категориите на взаимодействащи задачи.

Ресертификация (промяна на категорията) на RM се извършва, когато има промяна в категориите или състава на задачите, решени с помощта на данните от RM.

6.8. Периодично (веднъж годишно) или по искане на ръководителите на структурните подразделения на Банката установените категории защитени ресурси се преразглеждат за съответствие с реалното състояние на нещата.

7. Процедура за преразглеждане на Правилника

7.1. В случай на промени в изискванията за защита на RM от различни категории, Приложение 5 подлежи на преразглеждане (с последващо одобрение).

7.2. Ако се направят промени и допълнения в „Списък на информационните ресурси, подлежащи на защита“, Приложение 4 подлежи на преразглеждане (с последващо одобрение).

Приложение 1 - Методика за категоризиране на защитените ресурси

Тази методология има за цел да изясни процедурата за категоризиране на защитени ресурси в IBS на банката в съответствие с „Наредбата за категоризиране на ресурсите на информационната банкова система“. Категоризацията включва извършване на работа по проучване на IBS подсистемите и структурните подразделения на Банката и идентифициране (инвентаризация) на всички IBS ресурси, които подлежат на защита. По-долу е дадена приблизителна последователност и основно съдържание на конкретни действия за изпълнение на тези работи.

1. За извършване на информационно проучване на всички подсистеми на информационната система на Банката и извършване на инвентаризация на подлежащите на защита ресурси на IBS се сформира специална работна група. Тази група включва специалисти от отдела за информационна сигурност и отдела за информационни технологии на Банката (с познания по въпросите на технологиите за автоматизирана обработка на информация). За придаване на необходимия статут на работната група се издава съответна заповед от председателя на Управителния съвет на Банката, която по-специално дава указания на всички ръководители на структурните подразделения на Банката да оказват съдействие и необходимото съдействие на работната група при извършване на работа по изследването на IBS. За оказване на помощ по време на работата на групата в отделите, ръководителите на тези отдели трябва да разпределят служители, които имат подробна информация по въпросите на обработката на информация в тези отдели.

2. По време на проверката на конкретни подразделения на Банката и информационни подсистеми се идентифицират и описват всички функционални задачи, решавани с помощта на IBS, както и всички видове информация (информация), използвани при решаването на тези задачи в подразделенията.

3. Съставен общ списъкфункционални задачи, като за всяка задача се съставя формуляр (Приложение 2). Трябва да се има предвид, че една и съща задача в различни отдели може да се нарича по различен начин и обратното, различните задачи могат да имат едно и също име. В същото време се водят записи на софтуерни средства (общи, специални), използвани при решаване на функционалните задачи на отдела.

4. При изследване на подсистеми и анализиране на задачи се идентифицират всички видове входящи, изходящи, съхранени, обработени и др. информация. Необходимо е да се идентифицира не само информацията, която може да бъде класифицирана като поверителна (банкова и търговска тайна, лични данни), но и информация, която трябва да бъде защитена поради факта, че нарушаването на нейната цялост (изкривяване, фалшифициране) или достъпност (унищожаване, блокиране) може да причини значителни щети на Банката, нейните клиенти или кореспонденти.

5. При идентифициране на всички видове информация, циркулираща и обработвана в подсистемите, е желателно да се оцени тежестта на последствията, които могат да произтекат от нарушения на нейните свойства (конфиденциалност, цялостност). За да се получат първоначални оценки на тежестта на такива последствия, препоръчително е да се проведе проучване (например под формата на въпросник) на специалисти, работещи с тази информация. В този случай е необходимо да разберете кой може да се интересува тази информация, как могат да му влияят или да го използват незаконно, до какви последствия може да доведе това.

6. Информацията за оценките на вероятните щети се въвежда в специални формуляри (Приложение 3). Ако е невъзможно да се определи количествено вероятната щета, се прави качествена оценка (например: ниска, средна, висока, много висока).

7. При съставянето на списък и форми на функционални задачи, решавани в Банката, е необходимо да се установи честотата на тяхното решаване, максимално допустимото забавяне при получаване на резултатите от решаването на проблеми и тежестта на последствията, които могат да произтекат от нарушения на тяхната наличност (блокиране на способността за решаване на проблеми). Оценките на вероятните щети се записват в специални формуляри (Приложение 3). Ако е невъзможно да се определи количествено вероятната щета, се прави качествена оценка.

8. Всичко, идентифицирано по време на проучването, различни видовеинформацията е включена в „Списък на информационните ресурси, подлежащи на защита“.

9. Определя се (и след това се посочва в Списъка) към какъв тип тайна (банкова, търговска, лични данни, непредставляващи тайна) принадлежи всеки от идентифицираните видове информация (въз основа на изискванията на действащото законодателство и права, предоставени от него).

10. Първоначалните предложения за оценка на категориите за осигуряване на поверителност и интегритет на конкретни видове информация се изясняват от ръководителите (водещи специалисти) на структурното звено на Банката (въз основа на техните лични оценки за вероятните щети от нарушаване на поверителността и целостта) на информация). Тези оценки на информационните категории се въвеждат в „Списък на информационните ресурси, подлежащи на защита“ (в колони 2 и 3).

11. След това Списъкът се съгласува с ръководителите на отдел „Сигурност“, „ИТ“ и отдел „Сигурност на информацията“ и се внася за разглеждане от Комисията по управление на сигурността на информацията.

12. При разглеждане на Списъка от Комисията по управление на сигурността на информацията в него могат да се правят промени и допълнения. Подготвеният вариант на „Списък на информационните ресурси, подлежащи на защита” се предоставя за одобрение от Председателя на Управителния съвет на Банката.

13. В съответствие с категориите за поверителност и цялост, посочени в одобрения „Списък на информационните ресурси, подлежащи на защита“, се определя обобщена категория за всеки тип информация (в съответствие с таблица 1 от Правилника за категоризация).

14. На следващия етап се извършва категоризирането на функционалните задачи. Въз основа на изискванията за достъпност, определени от ръководителите на оперативните подразделения на Банката и съгласувани с отделите по сигурността и ИТ, всички специални (приложни) функционални задачи, решавани в подразделенията с помощта на IBS, се категоризират (Таблица 2 от Правилника за категоризиране на ресурсите). Във формулярите за задачи се въвежда информация за категориите специални задачи. Не се извършва категоризиране на общи (системни) задачи и софтуерни инструменти извън препратката към конкретни RM.

В бъдеще, с участието на ИТ специалисти, е необходимо да се изясни съставът на информационните и софтуерни ресурси на всяка задача и да се въведе във формата му информация за потребителските групи на задачата и инструкции за настройка на инструментите за сигурност, използвани при решаването то (права за достъп на потребителски групи до изброените ресурси за задачи). Тази информация ще се използва като стандарт за настройките на средствата за защита на съответните RM, на които ще се решава тази задача, и за наблюдение на правилността на тяхното инсталиране.

15. След това всички логически канали между функционалните задачи се категоризират. Категорията на канала се задава въз основа на максималната категория задачи, включени във взаимодействието.

16. На последния етап RM се категоризира. Категорията RM се установява въз основа на максималната категория специални проблеми, решени върху нея (или категорията информация, използвана при решаването на общи проблеми). Един RM може да реши произволен брой задачи, чиито категории са по-ниски от максимално възможните за даден RM, с не повече от една. Информацията за категорията RM се въвежда във формуляра RM.