2014-02-09
2140
Правовая основа выполнения требований к организационно-правовому обеспечению применения СКЗИ.
На первом месте находится компонент правового обеспечения.
Федеральный закон от 26 декября 2008г н294-ФЗ “О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля с изменениями от 28 апреля 17 июля 2009г” является правовой основой выполнения требований к организационно-правовому обеспечению применения СКЗИ. Закон дает правовую защиту юр лицам и предпринимателям, если они принимают решение защищать информацию с применением СКЗИ.
Проверки подразделяются на плановые и внеплановые, документарные и выездные. Плановые проверки как правило должны проводиться не чаще чем раз в три года за исключением организаций осуществляющих деятельность в сфере образования здравовоохранения и социальной сфере. Ежегодный сводный план проверок составляется генеральной прокуратурой и размещается на официальном сайте генпрокуратуры.
Внеплановые проверки возможны только в определенных случаях: Если есть угроза причинения вреда жизни и здоровью граждан, либо причинения вреда животным растениям и окружающей среде, безопасности государства, а также в случае угрозы чрезвычайных ситуаций природного и техногенного характера. Также возможны по жалобам.
|
|
|
Фз распространяется на все контрольные мероприятия в отношении организаций и ИП, кроме действий, связанных с ОРД, дознанием, следствием и судом, административным расследованием, прокурорским, налоговым, финансовым, валютным и банковским надзором.
Под действие закона также не подпадают контрольные мероприятия в пунктах пропуска через госграницу и мероприятия по возникновению причин ЧС, массовых заболеваний и всё такое.
Государственный контроль(надзор) – деятельность уполномоченных органов (фоив, овсРФ, те которые направлены на предупреждение различных нарушений. контроль осуществляется по средствам организаций и проведения проверок а также по принятию мер по пресечению и устранению нарушений. Кроме того, для выполнения надзорных функций это деятельность также по систематическому наблюдению за выполнением исполнением обязательных требований, а также анализу, прогнозированию состоянию исполнения требований.
Закон также разъясняет что такое мероприятия по контролю, при этом выделяется что действия по контролю это действия должностных лиц органа по контролю, и привлекаемых по необходимости эксперта, эти действия будут направлены на рассмотрение документов юридического лица.
Мероприятия по контролю – действия должностного лица или должностных лиц органа государственного контроля либо охрана муниципального контроля и привлекаемых в случае необходимости в установленном настоящим ФЗ порядке к проведению проверок экспертов, экспертных организаций. Обследование оборудования, транспортных средств и всего что окружает работу.
|
|
|
Законодатель сформулировал, что мероприятия по контролю также включает в себя расследование на установление причинно-следственной связи.
ПРОВЕРКА – совокупность проводимых органом государственного контроля или органом муниципального контроля в отношении юридического лица, индивидуального предпринимателя мероприятий по контролю для оценки:
-соответствия осуществляемых ими деятельности или действий(бездействия)
-производимых и реализуемых ими товаров (Выполняемых работ, предоставляемых услуг) обязательным требованиям и требованиям, установленным муниуципальными правовыми актами.
2. Принципы защиты прав юридических лиц, ИП при осуществлении государственного контроля.
Основные принципы:
· Уведомительный порядок;
· Презумпция добросовестности юридических лиц, индивидуальных предпринимателей;
· Открытость и доступность для юридических лиц, ИП нормативных правовых актов РФ, муниципальных правовых актов, соблюдение которых проверяется при осуществлении государственного контроля;
· Проведение проверок в соответствии с полномочиями органа гос контроля, органа муниципального контроля, их должностных лиц;
· Недопустимость проводимых в отношении одного и того же юридического лица несколькими органами проверок одних и тех же обязательных требований;
· Недопустимость требования о предоставлении уведомлений о начале осуществления предпринимательской деятельности;
· Ответственность органов контроля за нарушение законодательства;
· Недопустимость взимания органами платы, за проведение мероприятий по контролю;
· Финансирование за счет средств соответствующих бюджетов проводимых органами государственного контроля, органами муниципального контроля проверок, в том числе мероприятий по контролю;
· Разграничение полномочий в сфере проверок, каждый проверяет то что он должен проверять.
Полномочий федеральных органов исполнительной власти, осуществляющих государственный контроль.
Определение федеральных органов исполнительной власти, уполномоченных на осуществление федерального государственного контроля, установление их организационной структуры, полномочий, функций и порядка их деятельности осуществляются.
Полномочия федеральных органов, которые могут осуществлять проверку:
· Разработка и реализация единой государственной политики в области защиты прав юридических лиц, индивидуальных предпринимателей при осуществлении федерального государственного контроля в соответствующих сферах деятельности;
· Непосредственно организация и осуществление контроля в соответствующих сферах деятельности;
· Принятие АДМИНИСТРАТИВНЫХ РЕГЛАМЕНТОВ проведения проверок при осуществлении федерального государственного контроля;
· Организация и проведение мониторинга эффективности федерального государственного контроля в соответствующих сферах деятельности, показатели и методика которого утверждаются правительством РФ;
· Осуществление других предусмотренных законодательством РФ полномочий.
Права юридического лица при проведении проверки.
Руководитель, иное должностное лицо или уполномоченный представитель юридического лица, индивидуальный предприниматель, его уполномоченный представитель при проведении проверки имеют право:
· Непосредственно присутствовать при проведении проверки
· Давать объяснения по вопросам, относящимся к предмету проверки
|
|
|
· Получать от органа государственного контроля, органа муниципального контроля, их должностных лиц информацию, которая относится к предмету проверки и предоставление которой предусмотрено настоящим федеральным законом;
· Знакомиться с результатами проверки, а также обязан указать в акте проверки об ознакомлении, и с согласием проверки и действием должностных лиц.
· Обжаловать действие или бездействие должностных лиц органов государственного контроля.
Следующий механизм возмещения вреда:
Вред, причиненный юридическим лицам, ип вследствие действий должностных лиц неправомерными, подлежит возмещению, включая упущенную выгоду за счет средств соответствующих бюджетов в соответствии с гражданским законодательством.
При определении размера вреда, причиненного юридическим лицам, ип неправомерными действиями проверяющего органа, их должностными лицами, также учитываются расходы юридических лиц, индивидуальных предпринимателей, относимые на себестоимость продукции или на финансовые результаты их деятельности, и затраты, которые юридические лица, ип права и законные интересы которых нарушены, осуществили или должны осуществить для получения юридической или иной профессиональной помощи.
Вред, причиненный юридическим лицам, индивидуальным предпринимателям правомерными действиями должностных лиц органа контроля возмещению не подлежит, за исключением случаев предусмотренных федеральными законами.
Защита прав ЮЛ, ИП осуществляется в административном или судебном порядке
Заявление об обжаловании идействий органа контроля либо их должностных лиц подлежит рассмотрению в порядке, установленном законодательством РФ.
Нормативные правовые акты органов гос контроля, нарушающие права или законные интересы ЮЛ, ИП и не соответствующие законодательству РФ могут быть признаны недействительными полностью или частично в порядке, установленном законодательством РФ.
Контроль за соблюдением правил пользования СКЗИ и условий их использования.
|
|
|
Осуществляется в соответствии с законом номер.
Приказ ФСБ России от 9 февраля 2005 н 66. Об утверждении положения о разработке, производств, реализации и эксплуатации шифровальных средств защиты информации. ПКЗ-2005
Определяется что контроль за соблюдением правил СКЗИ и условий их использования, указанных в правилах пользования на них осуществляется:
· Обладателем, пользователем защищаемой информации, установившим режим защиты информации с применением СКЗИ;
· Собственником информационных ресурсов в составе которых применяются СКЗИ.
ФСБ в рамках контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи.
Организация и функционирование криптографической и инженернотехнической чото там.
С целью оценки обоснованности и достаточности мер, принятых для защиты инормации конфиденциального характера, обладатель, пользователь данной информации, установивший режим её защиты с применением СКЗИ а также собственник информационных ресурсов в составе которых применяются СКЗИ, вправе обратиться в ФСБ России с просьбой о проведении контроля за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования СКЗИ.
Контроль
Контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации.
Инструкция по организации и обеспечению безопасности хранения.
Лицензиаты ФСБ России обязаны контролировать выполнение обаладетялми указаний по организации
И соблюдение использования.
По результатам гос контроля составляется подробный или краткий акт справка.
С актом проверки под расписку должно быть ознакомлено руководство проверяемых лиц.
Если в ходе проверки выявлены нарушения требований и условий лицензий и сертификатов ФСБ России то федеральные органы безопасности сообщают в центр лицензирования, сертификации и защиты государственной тайны ФСБ россии об этих нарушениях и принятых мерах. Если обнаружены недостатки в использовании СКЗИ то лицензиаты обязаны принять безотлагательные меры к устранению вскрытых проверкой недостатков к выполнению рекомендаций, изложенных в акте проверки. При необходимости может быть составлен план мероприятий, где предусматривается решение соответствующих вопросов.
Органы криптографической защиты, координирующие органы криптограф защиты должны обобщать результаты всех видов контроля анализивровать причины выявленных недостатков разрабатывать меры, по их профилактике контролировать выполнение рекомендаций содержащихся в актах проверок.
При выявлении серьезных наршуений лицензиаты вправе указание о немедленном прекращении использования скзи до устранения причин выявленных нарушений. В этом случае территориальные органы безопасности могут направить в центр лцензироватния сертификации и защиты государственной тайны ФСБ россии представление об отзыве лицензий ФСБ России.
Обладатель конфиденциальной информации вправе обратиться в ФСБ с просьбой о проведении на договорной основе государственного контроля.
Порядок организации и проведения проверки требований, установленных правительством РФ к обеспечению безопасности персональных данных при использовании СКЗИ.
Организация и проведение проверки осуществляется в соответствии с типовым регламентом проведения в пределах полномочий мероприятий по контролю за выполнением требований установленных правительством РФ к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, который был утвержден руководством 8 центра ФСБ России 08 августа 2009 года.
В области защиты ПД действуют следующие постановления правительства РФ:
Постановление правительства РФ от 15 сентября 2008. Постановление от 17 ноября 2007 года 781 Об утверждении положения об обеспечении безопасности в информационных системах персональных данных. Безопасность пд достигается путем исключения НСД к ПД результатом которого может стать уничтожение, изменение блокирование.
Постановление от 6 июля 2008 года номер 512. Об утвеждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем.
Типовой регламент: Мероприятие по контролю за выполнением требований установленных правительством РФ, к обеспечению безопасности пд при их обработке в ис персональных данных проводится на основании распоряжения или приказа начальника 8 центра ФСБ России либо лица его замещающего.
В этом распоряжении указываются: наименование органа государственного контроля; фамилии, имена, отчества, должности уполномоченных лиц на проведение проверки, а также данные по экспертным организациям. В распоряжении также указывается наименование юридического лица; цели, задачи и предмет проверки; правовые основания проведения проверки. Перечень мероприятий по контролю необходимых для достижения целей и задач проведения проверки; даты начала и окончания проведения проверки.
Заверенные печатью копии вручаются под роспись.
По просьбе руководителя или уполномоченного представителя ЮЛ, ип должностные лица 8 центра ФСБ России обязаны ознакомить подлежазих проверке лиц с типовым регламентом проведения в пределах полномочий. Общий срок проведения проверки не более 25 рабочих дней.
Микропредприятие – 556 от 22 июля 2008, выручка до 60 млн рублей, малые предприятия – 400 млн рублей, средние предприятия – 1000млн рублей.
Ограничения при проведении проверки за использованием СКЗИ, применяемых для обеспечения безопасности ПД.
Федеральный закон 294 фз, При проведении проверки должностные лица 8 центра ФСБ России не вправе:
- проверять выполнение требований не относящихся к компетенции ФСБ России;
- осуществлять проверку в случае отсутствия представителей;
- требовать представления документов если они не являются объектами проверки и не относятся к предмету проверки а также изымать оригиналы документов относящихся к предмету проверки;
- распространять информацию, составляющую охраняемую законом тайну и полученную в результате проведения проверок, за исключением случаев предусмторе….
- превышать установленные сроки проведения;
- осуществлять выдачу юр лицам ИП предписаний или предложения о проведении за их счет мероприятий по контролю.
Структура надзорных мероприятий за использованием шифровальных средств, применяемых для обеспечения безопасности ПД.
Установлен объем допуска проверяющих лиц
При проведении должностные лица вправе допускаться к таким объектам проверки, как:
СКЗИ
Тхнич средства, на которых они реализованы
Оборудование комплексов
Помещения, в которых установлены КСЗИ
Средства технич защиты, предн для хранения обработки и передачи персональных данных
Ключевые документы
Структура надзорных мероприятий:
Организация системы организационных мер защиты ПДн
Организация системы криптографических мер ЗИ
Проверка разрешительной и эксплуатационной документации
Проверка выполнения требования к обслуживающему персоналу
Проверка вопросов эксплуатации СКЗИ
Оценка соответствия применяемых СКЗИ
Проверка выполнения организационных мер использования ШМ, применяемых для обеспечения безопасности ПДн
Организация системы организационных мер защиты ПДн:
- Определение области применения средств криптографической защиты информации в ИСПДн
- Наличие ведомственных документов и приказов по организации криптографической ЗИ
- Выполнение рекомендаций и указаний ФСБ
Организация системы криптографических мер:
- Наличие модели и угроз нарушителя
- Соответствие модели угроз исходным данным;
- Соответствие требуемого уровня крипто защиты получ модели нарушителя
- Соответствие используемых СКЗИ полученному уровню криптозащиты
- Наличие документов по поставке СКЗИ оператору.
Проверка разрешительной и эксплуатационной документации:
Наличие лицензий
Наличие сертификатов
Наличие эксплуатационной документации на СКЗИ
Порядок учета СКЗИ, эксплуатационной и технической документации
Выявление несертифицированных ФСБ России средств.
Проверка выполнения требований к обслуживающему персоналу:
Порядок учета лиц, наличие функциональных обязанностей пользователей СКЗИ, укомплектованность штатных должностей личным составом; Организация процесса обучения лиц, использующих СКЗИ, применяемых в ис правилам работы с ними и другими нормативным документам по организации работ с использованием СКЗИ.
Проверка вопросов эксплуатации СКЗИ:
- Проверка правильности ввода скзи в эксплуатацию
- Проверка соответствия условий эксплуатации
- Оценка технического состояния
- Проверка соблюдения правил пользования СКЗИ.
Оценка соответствия применяемых СКЗИ
- Соответствие программного обеспечения, реализующего криптографические алгоритмы эталонными версиями проходивших сертификацию в ФСБ России;
Проведение осуществления проверки оперативных тематических исследовании используемых СКЗИ.
Проверка выполнения организационных мер использования СКЗИ:
1 Выполнения требований по размещению, оборудованию и охране, организации режима
2 Выполнения требований по соответствия режима хранения СКЗИ и ключевой документации предъявляемым требованиям;
3 Оценка степени обеспечения оператора криптоключами и организации их доставки;
4 Проверка наличия инструкций по восстановлению связи в случае компрометации действующих ключей к СКЗИ;
5 Порядок проведения разбирательств и составления заключений по фактам нарушения условий хранения носителей ПДн или использования СКЗИ
Порядок оформления результатов проверки
В акте проверки указываются следующие реквизиты:
1-дата и время и место составления акта 2-Дата и номер распоряжения или приказа
3-Фамилия имя отчество и должности проводивших проверку 4-Объект проверки
5-Сведения о результатах проверки, в том числе и о выявленныъ нарушениях о лицах, на которые возлагается ответственность за это нарушение 6-Сведения об ознакомлении или об отказе в ознакомлении с актом оператора, осуществляющего обработку персональных данных, а также лиц, присутствоваших при проведении проверки; 7-Дата время место проверки 8-Подписи должностного лица или должностных лиц проводивших проверку
К акту могут прилагаться протоколы, объяснения должностных лиц, на которых ответственность и другие документы связ с результатами проверки. Акт оформляется непосредственно после завершения проверки в двух экземплярах. Один экземпляр с копиями вручается оператору под расписку об ознакомлении или отказе в ознакомлении с актом проверки. В журнале учета проверок должностными лицами 8 центра ФСБ России осуществляется запись о проведенной проверке,
Запись содержит сведения о датах начала времени основаниях целях задачах нарушениях фамилиях проверки.
Юридическое лицо в случае несогласия с фактами в течение 15 дней может предоставить письменные возражения по указанному акту.
Лекция от 12 декабря 2011.
Введение
Аудит – проверка, выполняемая компетентным органом с целью обеспечения независимой оценки соответствия программных продуктов или процессов установленным требованиям. ГОСТ Р ИСО/МЭК 12207-99
Комплексные решения по защите автоматизированных систем требуют различных мероприятий, которые взаимоувязаны и дополняют друг друга. Такая система защиты может быть предложена для ХС корпоративных клиентов, а также предприятий государственного сектора.
Процесс комплексного внедрения включает в себя несколько этапов:
· Обследование (аудит безопасности);
· Формирование технического задания на создание системы безопасности;
· Разработка технического проекта;
· Пуско-наладочные работы;
· Обучение персонала компании;
· Техническое сопровождение системы безопасности.
На первой стадии следует провести комплекс работ по обследованию текущего состояния информационной безопасности автоматизированной системы Заказчика.
Результаты обследования закладываются в основу работ по разработке решения с учетом специфики защищаемой системы.
Процесс разработки включает в себя уточнение состава решения, а также создание схемы размещения и конфигурации подсистем защиты.
Процесс выполнения работ предусматривает разработку технического задания, проектных решений по защите от угроз безопасности, а также подготовку рабочей и технической документации на создаваемый комплекс безопасности.
Следующий этап предполагает обучение персонала заказчика по вопросам, связанным с эксплуатацией системы защиты.
Процесс обучения включает получение как теоретических, так и практических знаний в области ЗИ.
Завершающий этап работ связан с внедрением и техническим сопровождением комплексной системы защиты.
Пуско-наладочные работы завершаются испытаниями установленных средств защиты и разработки пакета организационно-правовых и нормативно-методических документов, включая политику безопасности, инструкции пользователей и администраторов, а также ряд других документов.
Рекомендуемый состав политики безопасности:
Почему – политика
Что – стандарты
Как – процедуры
Нормативные рекомендации по аудиту информационной безопасности организации.
Для успешного функционирования СМИБ в организации следует выполнить следующие группы требований:
-требования к организации и функционирова…….СКОПИРОВАТЬ И ВСТАВИТЬ
Мониторинг безопасности информации – постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации. Гост Р50922-2006
Постоянное совершенствования системы менеджмента качества за счет мониторинга и аудита
Нормативные рекомендации по аудиту информационной безопасности организации
Для обеспечения уверенности в том что пользователи выполняют только те действия на которые они были явно подписаны, необходимо определить поцедуры монитоинга использования средства обработки информации.
Увроень мониторинга конкретных средств обработки информации следует определять на основе оценки рисков.
При мониторинге следует образать внимание на:
А) Авторизованный доступ, включая следующие детали:
Пользовательский ID;
Даты и время основных событий;
Типы событий;
Файлы к которым доступ осуществлен;
Используемые программы и утилит;
Б) все привилегированные действия, такие как:
1) использование учетной запис супервизора
2) запуск и останов системы;
3) подсоединение/отсоединение устройства ввода/вывода;
В) попытки неавторизованного доступа, такие как:
1) неудавшиеся попытки;
2) нарушения политики доступа и уведомления сетевых шлюзов и межсетевых экранов;
3) предупреждения от собственных систем обнаружения вторжения;
Г) предупреждения или отказы системы, такие как:
1) консольные (терминальные) предупреждения или сообщения;
2) исключения, записанные в системные журналы регистрации;
3) предупредительные сигналы, связанные с управлением сетью.
Факторы риска:
Результаты мониторинга следует регулярно анализировать.
Периодичность анализов должна зависеть от результатов оценки риска
Факторы риска, которые необходимо при этом учитывать включают:
- критичность процессов, которые поддерживаются бизнес-приложениями;
- стоимость, важность или критичность информации;
- анализ предшествующих случаев проникновения и неправильного использования системы;
- степень взаимосвязи информационных систем организации с другими сетями
Аудиторская проверка ИБ в организации – периодический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организации установленных требований по обеспечению информационной безопасности.
Примечание. Аудит ИБ в организации может осуществляться независимой организацией по договору с проверяемой организацией, а также подразделением или должностным лицом организации.
Анализ журнала АУДИТА подразумевает понимание угроз, которым подвержена система, и причин их возникновения.
Примеры событий, которые могли бы потребовать дальнейшего исследования в случае инцидентов нарушения ИБ, приведены в 9.7.1.
Системные журналы АУДИТА часто содержат информацию, значительный объем которой не представляет интереса с точки зрения мониторинга безопасности.
Для облегчения идентификации существенных событий при мониторинге безопасности целесообразно рассмотреть возможность автоматического копирования соответствующих типов сообщений в отдельный журнал и/или использовать подходящие системные утилиты или инструментальные средства АУДИТА для подготовки к анализу данных.
При распределении ответственности за анализ журнала АУДИТА необходимо учитывать разделение ролей между лицом, проводящим анализ, и теми, чьи действия подвергаются мониторингу.
Мероприятия по управлению ИБ должны обеспечивать защиту от неавторизованных изменений и эксплуатационных сбоев, включая:
Отключение средств регистрации;
Изменение типов зарегистрированных сообщения;
Редактирование или удаление файлов, содержащихся в журналах АУДИТА;
Регистрацию случаев полного заполнения носителей журнальных файлов, а также случаев невозможности записи событий вследствие сбоев, либо случае перезаписи новых данных поверх старых.
Модель циклического дэмпинга
PDCA – plan-do-check-act
1й этап – планирование
2й этап – внедрение
3й этап – контроль
4й этап – действия для улучшения
Менеджмент ИБ – скоординированные действия по руководству и управлению организацией в части обеспечения ее ИБ в соответствии с исзменяющимися условиями внутренней и внешней среды организации. ГОСТ Р53114-2008
Внутренние аудиты системы менеджмента информационной безопасности
Аудит безопасности информации – совокупность действий по независимой проверке и изучению документации автоматизированный системы, а также по испытаниям СЗИ, направленная на обеспечение выполнения установленной политики безопасности информацаии и правил эксплуатации автоматизированной системы, на выявление уязвимостей АИС и на выработку рекомендация по устранению выяаленных недостатков в СЗИ, политике безопасности информации и правилах эксплуатации АИС.
Организация должна в соответствии с утвержденным графиком проводить внутренние аудиты СМИБ, позволяющие установить, что цели управления, меры управления, процессы и процедуры СМИБ:
А) соответствуют требованиям настоящего стандарта и соовтетствующим законам или нормативным документам; Б) соответствуют установленным требованиям ИБ; В) результативно внедряются и поддерживаются; Г) функционируют должным образом
Программа аудита должна быть спланирована с учетом статуса и важности проверяемых процессов и зон, подлежащих аудиту, а также результатов предыдущих аудитов.
Должны быть определены критериИ, область, частота и методы аудита.
Отбор аудиторов и процедура аудита должны обеспечивать его объективность и беспристрасность.
Аудиторы не должны проводить проверку собственной работы.
Правила и требования, относящиеся к планированию, проведению аудита, сообщению о его результатах и поддержанию в рабочем состоянии учетных записей.
Руководитель, ответственный за проверяемый участок деятельности организации, должен своевременно и без задержки обеспечить проведение проверки в целях устранения обнаруженных несоответствй и их причин.
Последующие действия должны включать в себя проверку предпринятых действий и сообщение о результатах проверки Гост р27001-2006)
Улучшение системы менеджмента безопасности
Организация должна постоянно повышать результативность СМИБ посредством уточнения политики ИБ, целей ИБ, использования результатов аудитов, анализа контролируемых
Предупреждающие действия:
Организация должна определять действия для устранения причин потенциальных несоответствий требованиям СМБ, с целью предотвратить их повторное появление. Процедура предпринятого предупреждающего действии должна устанавливать требования по:
А) выявлению потенциальных несоответствий
Г) запись результатов предпринятого действия
Д) анализ результатов предпринятого действия
Организация должна определить изменения в оценках рисков и установить требования к предупреждающим действиям, при этом обращая особое внимание на существенно измененные количественные показатели рисков.
Приоритеты в отношении реализации предупреждающих действий основываются на основе оценки риска.
ПРИМЕЧАНИЕ.
Обычно затраты на проведение мероприятий по предотвращению несоответствий более экономичны чем на корректирующие действия.
Рекомендации по реализации указания с точки зрения передовой практики в отношении поддержки мер проведения аудита
Таблица А.1 – Цели и меры управления
Рекомендации и указания с точки зрения передовой практики в отношении поддержки мер управления.
Перечень мер управления, содержащийся в данной таблице, не является исчерпывающим, и организация может рассмотреть необходимость дополнительных целей и мер управления. Стандарт 17799-2005
Таблица. Цели и меры управления.
| А.6. Организация информационной безопасности | ||
| А.6.1.Внутреннаяя организация | ||
| Цель: Обеспечение управления ИБ в организации | ||
| А.6.1.8 | Независимая проверка - АУДИТ | Порядок организации и управления ИБ и ее реализация (например изменение целей, политики, процедур и процессов обеспечения иб) должны быть подвергнуты независимой проверке через определенные промежутки времени или при появлении существенных изменений в способах реализации мер безопасности. |
Независимая проверка (аудит иб)
Документ политики ИБ устанавливает цели и обязанности в области информационной безопасности
Его выполнение должно проверяться в интересах обеспечения уверенности в том, что разработанные в организации мероприятия должным образом отражают политику и что она является выполнимой и эффективной.
Такая проверка может быть выполнена внутренним аудитом, независимым менеджером или сторонней организацией. Специалисты проверки должны обладать навыками и опытом.
Цель: обеспечение соответствия систем политике безопасности организации и стандартам.
Безопасность ИС необходимо регулярно анализировать и оценивать.
Таблица А1. Цели и меры управления
| А.10 Управление средствами коммуникаций и их функционированием | ||
| А.10.2 Управление поставкой услуг лицами и-или сторонними организациями | ||
| Цель: Реализовать и поддерживатьтребуемый уровень иб и оказания услуг в соответствии с договорами об оказании услуг сторонними организациями (внешними лицами и-или организациями) | ||
| А.10.2.2 | Мониторинг и анализ услуг, оказываемых сторонними лицами и-или организациями | Необходимо регулярно проводить мониторинг, аудит и анализ услуг, отчетов и актов,обеспечиваемых сторонней организацией. |
| А.15 Вопросы аудита информационных систем | ||
| А.15.3 Управление поставкой услуг лицами и-или сторонними организациями | ||
| Цель: Повышение эффективности процесса аудита информационных систем и снижение негативного влияния, связанного с данным процессом | ||
| А.15.3.1 | Меры управления аудитом информационных систем | Требования и процедуры аудита, включающие в себя проверки ОС, необходимо тщательно планировать и согласовывать, чтобы свести к минимуму риск прерывания бизнес-процессов |
| А.15.3.2. | Защита инструментальных средств АУДИТА информационных систем | Доступ к инструментальным средствам АУДИТА информационных систем необходимо защищать для предотвращение любой возможности их неправильного использования или компрометации. |
