В одной из предыдущих статей я делал обзор лучших практик по ИБ (публичный комплекс требований, рекомендаций и стандартов) из Австралии. В них немалое внимание уделяется внутренней документации по ИБ в организации. На этой теме и остановимся подробнее.
В соответствии со стандартом InformationSecurityManual2015 - Principles необходимо сформировать в организации структуру документов по управления информационной безопасностью (Information Security Management Framework), которая должна включать:
·
Политику ИБ (Information security policy, ISP).
·
План управления рисками ИБ (Security risk management plan, SRMP).
·
План системы защиты (System security plan, SSP).
·
Описание стандартных операционных процедур (Standardoperatingprocedures, SOP).
·
План реагирования на инциденты (Incidentresponseplan, IRP).
·
Описание порядка действий в чрезвычайных ситуациях (Emergencyprocedures, EP)
·
План обеспечения непрерывности и восстановления (Business continuity and disaster recovery plans, BCDRP)
Политика ИБ (ISP) должна затрагивать такие темы как:
·
процедуры оценки соответствия и приемки систем (accreditation processes)
·
ответственность сотрудников (personnel responsibilities)
·
управление конфигурациями (configuration control)
·
управление доступом (access control)
·
безопасное взаимодействие между сетями и системами (networkingandconnectionswithothersystems)
·
физическая безопасность и управление носителями информации (physical security and media control)
·
процедуры реагирования в чрезвычайных ситуациях и при обнаружении инцидентов ИБ (emergencyproceduresandcybersecurityincidentmanagement)
·
управление изменениями (change management)
·
повышение осведомленности и обучение по вопросам ИБ (information security awareness and training)
Требования к плану управления рисками ИБ (SRMP):
·
должен включать оценку рисков ИБ и правила обработки рисков ИБ
·
должен включаться в общий план управления рисками Организации
·
должен учитывать особенности Организации и конкретных ИС
·
должен основываться на национальных стандартах по управлению рисками и угрозами
Требования к плану системы защиты (SSP) - должен включать меры защиты из стандарта ISM, определенные в зависимости от класса ИС, функций и технологий, используемых в ИС (используя последнюю версию AustralianISMпользователь обеспечивает то, что меры защиты учитывают актуальные для текущего года угрозы; глобальные изменения актуальности угроз учитывается при обновлении ISM)
Требования к описанию стандартных операционных процедур (SOP):
·
должны разрабатываться описания процедур обеспечения ИБ для следующих ролей:
o
менеджер ИБ (Information Technology Security Manager)
o
ответственный за обеспечение ИБ (Information Technology Security Officer)
o
администратор ИТ/ИС (system administrator)
o
пользователь (user)
·
для менеджера по ИБ должны быть описаны как минимум следующие процедуры:
o
(Cyber security incidents) управление и отчетность об инцидентах ИБ
·
для ответственного за обеспечение ИБ должны быть описаны как минимум следующие процедуры:
o
(Accesscontrol) управление доступом - авторизация
o
(Useraccountmanagement) управление учетными записями пользователей - авторизация
o
(Asset musters) инвентаризация, учет и управление ИТ активами, включая носители информации
o
(Auditlogs) просмотр и анализ логов и записей аудита
o
(Configuration control) контроль и утверждение изменений в составе ПО или конфигурациях
o
(Cyber security incidents) обнаружение инцидентов ИБ, определение причин инцидентов, определение действий, необходимых для устранения или минимизации последствий инцидентов ИБ
o
(Datatransfers) проверка отправляемых из организации носителей информации, проверка входящих в организацию носителей информации
o
(ICTequipment) вывод из эксплуатации оборудования и носителей информации
o
(System integrity audit) анализ защищенности ИС, в том числе анализ учетных записей, прав доступа, целостности ПО и данных, тестирование защитных механизмов, проверка оборудования
o
(System maintenance) обеспечение ИБ при эксплуатации систем, в том числе отслеживание уязвимостей ПО, тестирование и применение обновлений, применение дополнительных мер по защите
·
для администратора ИТ/ИС должны быть описаны как минимум следующие процедуры:
o
(Access control) управление доступом - предоставление
o
(User account management) управление учетными записями пользователей - создание, назначение прав, изменение
o
(Configuration control) внесение изменений в составе ПО или конфигурациях
o
(System backup and recovery) резервное копирование и восстановление
·
для пользователя должны быть описаны как минимум следующие процедуры:
o
(Cybersecurityincidents) действий при подозрении на инцидент ИБ
o
(Endofday) действия по безопасному завершению рабочего дня
o
(Mediacontrol) работа с носителями информации
o
(Passphrases) создание и использование паролей
o
(Temporaryabsence) обеспечение безопасности систем при временном отсутствии
·
сотрудники всех озвученных ролей должны быть ознакомлены под роспись с процедурами по ИБ и последствиями их нарушения
Требования к Плану реагирования на инциденты (IRP):
·
должен (must) включаться в IRPкак минимум:
o
общее описание инцидентов ИБ
o
минимальные инструкции по реагированию и расследованию инцидентов ИБ
o
группа, ответственная за расследование инцидентов ИБ
o
действия, необходимые для сбора и сохранения свидетельств и доказательств
o
действия, необходимые для непрерывности работы критических ИС
o
форма отчета об инциденте ИБ
·
необходимо (should) включать в IRP:
o
описания типов инцидентов ИБ, которые могут встретится
o
планируемые действия при обнаружении каждого типа инцидентов ИБ
o
критерии, по которым принимается решение о привлечении правоохранительных органов
o
другие лица, которые должны быть проинформированы о начале расследования
Требования к описанию порядка действий в чрезвычайных ситуациях (EP):
·
в общие процедуры действий в чрезвычайных ситуациях должны включатся обеспечить безопасность информации и критических ИС, в случае если принято решение, что это не угрожает здоровью или жизни персонала;
·
необходимо разделять сигналы о чрезвычайных ситуациях на предупреждающие и критические, таким образом, чтобы во время предупреждающего сигнала можно было принимать меры по обеспечению безопасности информации и критических ИС.
Требования к плану обеспечения непрерывности и восстановления (BCDRP):
·
должны быть определены требования по доступности ИС в зависимости от бизнес- требований
·
должна включать стратегию резервирования, которая определяет необходимость:
o
резервирования всей критической информации
o
хранить резервные копии на удаленной площадке, обеспечивая при этом меры ИБ, необходимые в соответствии с критичностью информации и классом ИС
o
документировать процедуры восстановления
o
регулярно проводить тестирование восстановления
·
должен включать план непрерывности бизнес процессов в особых ситуациях
·
должен включать план восстановления в случае аварий
Кроме этого есть указания и требования к структуре документации по ИБ в целом:
·
необходимо разрабатывать структуру документов по ИБ, включая иерархию и связи между документами
·
структура документов по ИБ и сами документы должны разрабатываться специалистами со знанием как области ИБ так и требований бизнеса
·
можно отдавать разработку документов на аутсорсинг, но при этом необходимо контролировать результат, для того чтобы документы учитывали особенности вашей организации
·
формально принимать и согласовывать документы по ИБ со всеми заинтересованными лицами (руководством организации, владельцами ИС, менеджером ИБ, ..)
·
после утверждения документов, они должны быть опубликованы в организации и доведены до всех затрагиваемых лиц
·
документы должны пересматриваться ежегодно и при значительных изменениях в бизнес процессах и ИС
Что меня наиболее удивило и в чем сильная сторона структуры документов по AustralianISM– большее внимание уделяется не политике ИБ и подполитикам, а планам и процедурам в области ИБ.