Translate

вторник, 12 април 2016 г.

ПРИМЕР !





РЪКОВОДСТВО
ЗА КЛАСИФИЦИРАНЕ И ИЗБОР НА ЗАЩИТИТЕ



1. Цел

Целта на Ръководството е да подпомогне процеса на избор на защитни механизми, в съответствие с разкритите рискове към информационните активи.

2. Обхват

В Ръководството са обхванати защитни механизми в съответствие с описаните в Приложение А “Цели по контрола и механизми на контрол” на ISO 27001:2005

Забележка:

Това Ръководство е напълно прибложимо, след малка актуализация (зобавяне на нови контролни / защитни механизми)и за ISO 27001:2013

3. Прилагане

Ръководството е полезно за прилагане при:

-       избор на защитен механизъм за постигане на определена функция за защита на информационните активи;
и/или за
-       избор на защитен механизъм, за осигуряване на определено влияние върху конфиденциалността, цялостта и/или наличността на информационните активи.

Функциите на защитните механизми за информационните активи се класифицират, като:

-       Възпираща – предотвратяване или намаляване на вероятността дадено нежелано събитие (по сигурността) да се случи;
-       Избягваща – премахване на известните уязвимости и предотвратяване на създаването на нови;
-       Предпазваща – защита на информационните активи с установени уязвимости от събития, вредни за тяхната сигурност
-       Разкриваща – откриване на появата на нежелано събитие по сигурността и активиране на защити за предпазване, противодействие и/или възстановяване;
-       Противодействаща – действие в отговор на възникнало събитие по сигурността, с цел минимизиране на неговото въздействие и осигуряване непрекъснатост на бизнес процесите;
-       Възстановяваща – възстановяване на цялостта, наличността и/или ковфиденциалността на информационните активи, в желано/очаквано състояние
В следващата таблица е показана класификацията на защитните механизми по функции и връзката им с конфиденциалността, цялостта и наличността на информационните активи

Забележка:

Цифрите на колоните в таблицата означават:

1 – Контролен / защитен механизъм от Приложение А от ISO 27001:2005
2 - Възпираща функция
3 – Избягваща функция
4 – Предпазваща функция
5 – Разкриваща функция
6 – Противодействаща функция
7 – Възстановяваща функция
8 – Функция осигуряваща конфиденциалност
9 – Функция осигуряваща цялостност
10 - Функция осигуряваща наличност

Име / функция на контрол (защита)
1
2
3
4
5
6
7
8
9
10
Политика по сигурността
А.5









Политика по сигурността на информацията
А.5.1









Документ за политика по сигурността на информацията
А.5.1.1
Х
Х
Х

Х
Х
Х
Х
Х
Преглед и оценка на политиката за информационна сигурност
А.5.1.2
Х
Х
Х

Х
Х
Х
Х
Х
Организация та информационната сигурност
А.6









Инфраструктура на сигурността на информацията
А.6.1









Ангажираност на ръководството по инф. сигурност
А.6.1.1
Х
Х
Х

Х
Х
Х
Х
Х
Координиране на инф. сигурност
А.6.1.2

Х
Х

Х
Х
Х
Х
Х
Определяне на отговорностите по инф. сигурност
А.6.1.3

Х
Х
Х
Х
Х
Х
Х
Х
Процес за оторизиране на средствата  за обработка на инф.
А.6.1.4

Х




Х
Х
Х
Споразумение за конфиденциалност
А.6.1.5

Х
Х



Х


Връзка с органите на властта
А.6.1.6

Х



Х
Х
Х
Х
Връзка с групи, имащи интерес в областта на инф. сигурност
А.6.1.7

Х
Х
Х


Х
Х
Х
Независим преглед на информационната сигурност
А.6.1.8

Х
Х
Х
Х
Х
Х
Х
Х
Сигурност при достъп на трети страни
А.6.2









Идентифициране на рисковете при достъп на трети страни
А.6.2.1
Х
Х
Х



Х
Х
Х
Изисквания за сигурност при работа с потребители
А.6.2.2
Х
Х
Х



Х
Х
Х
Изисквания за сигурност при договори с трети страни
А.6.2.3
Х
Х
Х
Х
Х
Х
Х
Х
Х
Управление на активите
А.7









Отговорност за активите
А.7.1









Опис на активите
А.7.1.1

Х
Х


Х
Х
Х
Х
Притежание на активите
А.7.1.2

Х
Х
Х
Х
Х
Х
Х
Х
Приемлива употреба на активите
А.7.1.3

Х
Х



Х
Х
Х
Класификация на информацията
А.7.2









Указания за класифициране на информацията
А.7.2.1

Х





Х
Х
Обозначаване и боравене с класифицираната информация
А.7.2.2
Х

Х
Х


Х
Х
Х
Сигурност, свързана с персонала (персонална сигурност)
А.8









……………………….
……...

…..
……
…….
…….
…….
……
…..
Управление на инциденти по сигурността на информационните системи
13









Докладване на пробиви и слабости в информационната сигурност
13.1









Докладване на пробиви в информационната система
13.1.1



Х
Х

Х
Х
Х
Докладване на слабости по сигурността
13.1.2
Х


Х


Х
Х
Х
Управление на инциденти и подобрения в инф. сигурност
13.2









Отговорности и процедури
13.2.1




Х
Х
Х
Х
Х
Извличане на поуки от инциденти по информационната сигурност
13.2.2

Х



Х
Х
Х
Х
Събиране на доказателства
13.2.3
Х

Х

Х

Х
Х
Х
Управление на непрекъсваемост на бизнеса
14









Аспекти на информационната сигурност при управление непрекъсваемостта на бизнеса
14.1









Включване на информационната сигурност в процеса на управление (непрекъснатост на бизнеса)
14.1.1

Х


Х
Х


Х
Непрекъсваемост на бизнеса и оценка на риска
14.1.2

Х


Х
Х


Х
Разработване и внедряване на планове за непрекъсваемост
14.1.3





Х


Х
Рамка за планиране на непрекъсваемост на бизнеса
14.1.4




Х
Х


Х
Тестване, подържане и повторна оценка на плановете за непрекъсваемост
14.1.5




Х
Х


Х
Съответствие
15









Съответствие със законовите изисквания
15.1









Идентифициране на приложимото законодателство
15.1.1


Х



Х
Х
Х
Интелектуална собственост
15.1.2


Х



Х


Съхраняване на  записите на организацията
15.1.3


Х

Х
Х
Х
Х
Х
Защита на информацията и личните данни
15.1.4


Х



Х


Предотвратяване на злоупотреби с устройствата за обработка на информация
15.1.5
Х

Х





Х
Наредби относно криптографските контроли
15.1.6


Х



Х


Техническо съответствие и съответствие с политиките по сигурността и стандартите
15.2









Съответствие с политиките по сигурността и стандартите
15.2.1
Х


Х


Х
Х
Х
Проверка на техническото съответствие
15.2.2




Х

Х
Х

Одит на системата
15.3









Контролни средства за одит на системата
15.3.1
Х


Х




Х
Защита на инструментите за одит на системата
15.3.2


Х
Х



Х


4. Основни стъпки за внедряване на защити

Основните действия (стъпки), свързани с избор и внедряване на защитите се базират на методология за смекчаване на риска, както следва:

Стъпка 1 – Определяне на приоритетите на дейностите

Определянето на приоритетите на дейностите се основава на Доклада за оценка на риска (следствие от прилагането на Методика за оценка на риска). Най-висок приоритет се дава на тези дейности, които са свързани с най-големите нива на риск за съответните двойки “заплаха – уязвимост” и изискват незабавни корективни мерки, необходими за защита на съответните информационни активи.

Изход от Стъпка 1 – Списък на действията за смекчаване на риска, подредени от най-висок приоритет към най-ниските приоритети.

Стъпка 2 – Оценка на препоръчаните за прилагане защити

Препоръчаните за прилагане защити от провеждането на процесите за оценка на риска (Доклада за оценка на риска -  следствие от прилагането на Методика за оценка на риска) е възможно да не са най-подходящите за специфични ИТ системи на организацията. На тази стъпка се извършва допълнителна оценка на приложимостта, съвместимостта, ефикасността и възприемането от потребителите на препоръчаните за прилагане защити, с цел избор на най-приложимите от тях, минимизиращи риска.

Изход от Стъпка 2 – Списък на изпълнимите и приемливи за организацията защити за прилагане, минимизиращи съответните рискове.

Стъпка 3 – Провеждане на анализ за икономическа целесъобразност

Този анализ се провежда с цел, да се подпомогне Ръководството на организацията при окончателното утвърждаване на предложените защити за прилагане, от гледна точка на икономическата ефективност

Изход от Стъпка 3 – Описание на икономическата целесъобразност на предлаганите за прилагане защити, определящо дали дадена защита ще се прилага или няма да се прилага.

Стъпка 4 – Избор на защити

На база резултатите от Стъпка 3, Ръководството на организацията утвърждава защити за прилагане, които са икономически целесъобразни и минимизират (редуцират) рисковете в приемливи за организацията нива. Избраните за прилагане защити включват комбинация от технически, оперативни, организационни и управленски механизми за защита.

Изход от Стъпка 4 – Утвърден от Ръководството на организацията Списък на защити за прилагане


Стъпка 5 – Възлагане на отговорности

Целта на тази дейност е да се определят изпълнители и техните отговорности (от организацията или външни експерти), имащи необходимата квалификация и компетентност за внедряване на избраните за прилагане защити.

Изход от Стъпка 5 – Утвърден от Ръководството на организацията Списък на специалисти за внедряване на избраните защити, с описание на техните конкретни отговорности при изпълнението на процеса.

Стъпка 6 – Разработване на План за внедряване на защитите

Плана за внедряване на защитите включва най-малко информация за:
-       Установените нива на риска за всяка двойка “заплаха – уязвимост” (от Доклада за оценка на риска -  следствие от прилагането на Методика за оценка на риска);
-       Препоръчаните за прилагане защити (от Доклада за оценка на риска -  следствие от прилагането на Методика за оценка на риска);
-       Приоритетите на действията (от Списък на действията за смекчаване на риска, подредени от най-висок приоритет към най-ниските приоритети;
-       Избраните защити (от Списък на изпълнимите и приемливи за организацията защити за прилагане, минимизиращи съответните рискове и Описание на икономическата целесъобразност на предлаганите за прилагане защити, определящо дали дадена защита ще се прилага или няма да се прилага;
-       Ресурсите, необходими за внедряване на избраните за прилагане защити;
-       Отговорните за внедряването на защитите специалисти;
-       Начални дати и периоди за внедряване на защитите;
-       Изискванията за поддръжка;

Изход от Стъпка 6План за внедряване на защитите

Забележка: Този План по същество и в контекста на изискванията на ISO 27001:2005 е еквивалентен на Плана за третиране на риска

Стъпка 7 – Внедряване на защитите

В зависимост от конкретната ситуация, внедрените защити понижават нивото на риск, но не го премахват, като цяло. Необходимо е този риск да бъде оценен на база Методиката за оценка на риска.

Изход от Стъпка 7 Оценка на остатъчния риск

За въпроси и допълнителна  информация:

Пламен Каменов
0359 886 655 315
e-mail: infosecservicebg@gmail.com



Няма коментари:

Публикуване на коментар