ПРИМЕР !
РЪКОВОДСТВО
ЗА КЛАСИФИЦИРАНЕ И ИЗБОР НА ЗАЩИТИТЕ
1. Цел
Целта на Ръководството е да подпомогне процеса на избор
на защитни механизми, в съответствие с разкритите рискове към информационните
активи.
2. Обхват
В Ръководството са обхванати защитни механизми в
съответствие с описаните в Приложение А “Цели по контрола и механизми на
контрол” на ISO 27001 :2005
Забележка:
Това
Ръководство е напълно прибложимо, след малка актуализация (зобавяне на нови
контролни / защитни механизми)и за ISO 27001:2013
3. Прилагане
Ръководството е полезно за прилагане при:
-
избор на защитен механизъм за постигане на определена
функция за защита на информационните активи;
и/или за
-
избор на защитен механизъм, за осигуряване на определено
влияние върху конфиденциалността, цялостта и/или наличността на информационните
активи.
Функциите на защитните механизми за информационните
активи се класифицират, като:
-
Възпираща – предотвратяване или намаляване на
вероятността дадено нежелано събитие (по сигурността) да се случи;
-
Избягваща – премахване на известните
уязвимости и предотвратяване на създаването на нови;
-
Предпазваща – защита на информационните активи
с установени уязвимости от събития, вредни за тяхната сигурност
-
Разкриваща – откриване на появата на нежелано
събитие по сигурността и активиране на защити за предпазване, противодействие
и/или възстановяване;
-
Противодействаща – действие в
отговор на възникнало събитие по сигурността, с цел минимизиране на неговото
въздействие и осигуряване непрекъснатост на бизнес процесите;
-
Възстановяваща – възстановяване
на цялостта, наличността и/или ковфиденциалността на информационните активи, в
желано/очаквано състояние
В следващата таблица е показана класификацията на
защитните механизми по функции и връзката им с конфиденциалността, цялостта и
наличността на информационните активи
Забележка:
Цифрите на колоните в таблицата означават:
1 – Контролен / защитен механизъм от Приложение А от ISO 27001:2005
2 - Възпираща функция
3 – Избягваща функция
4 – Предпазваща функция
5 – Разкриваща функция
6 – Противодействаща функция
7 – Възстановяваща функция
8 – Функция осигуряваща конфиденциалност
9 – Функция осигуряваща цялостност
10 - Функция осигуряваща наличност
|
Име / функция на контрол (защита)
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
|
Политика по сигурността
|
А.5
|
|
|
|
|
|
|
|
|
|
|
Политика по сигурността на информацията
|
А.5.1
|
|
|
|
|
|
|
|
|
|
|
Документ за политика по
сигурността на информацията
|
А.5.1.1
|
Х
|
Х
|
Х
|
|
Х
|
Х
|
Х
|
Х
|
Х
|
|
Преглед и оценка на политиката за информационна
сигурност
|
А.5.1.2
|
Х
|
Х
|
Х
|
|
Х
|
Х
|
Х
|
Х
|
Х
|
|
Организация та информационната сигурност
|
А.6
|
|
|
|
|
|
|
|
|
|
|
Инфраструктура на сигурността на информацията
|
А.6.1
|
|
|
|
|
|
|
|
|
|
|
Ангажираност на
ръководството по инф. сигурност
|
А.6.1.1
|
Х
|
Х
|
Х
|
|
Х
|
Х
|
Х
|
Х
|
Х
|
|
Координиране на инф.
сигурност
|
А.6.1.2
|
|
Х
|
Х
|
|
Х
|
Х
|
Х
|
Х
|
Х
|
|
Определяне на отговорностите
по инф. сигурност
|
А.6.1.3
|
|
Х
|
Х
|
Х
|
Х
|
Х
|
Х
|
Х
|
Х
|
|
Процес за оторизиране на
средствата за обработка на инф.
|
А.6.1.4
|
|
Х
|
|
|
|
|
Х
|
Х
|
Х
|
|
Споразумение за
конфиденциалност
|
А.6.1.5
|
|
Х
|
Х
|
|
|
|
Х
|
|
|
|
Връзка с органите на властта
|
А.6.1.6
|
|
Х
|
|
|
|
Х
|
Х
|
Х
|
Х
|
|
Връзка с групи, имащи
интерес в областта на инф. сигурност
|
А.6.1.7
|
|
Х
|
Х
|
Х
|
|
|
Х
|
Х
|
Х
|
|
Независим преглед на
информационната сигурност
|
А.6.1.8
|
|
Х
|
Х
|
Х
|
Х
|
Х
|
Х
|
Х
|
Х
|
|
Сигурност при достъп на трети страни
|
А.6.2
|
|
|
|
|
|
|
|
|
|
|
Идентифициране на рисковете
при достъп на трети страни
|
А.6.2.1
|
Х
|
Х
|
Х
|
|
|
|
Х
|
Х
|
Х
|
|
Изисквания за сигурност при
работа с потребители
|
А.6.2.2
|
Х
|
Х
|
Х
|
|
|
|
Х
|
Х
|
Х
|
|
Изисквания за сигурност при
договори с трети страни
|
А.6.2.3
|
Х
|
Х
|
Х
|
Х
|
Х
|
Х
|
Х
|
Х
|
Х
|
|
Управление на активите
|
А.7
|
|
|
|
|
|
|
|
|
|
|
Отговорност за активите
|
А.7.1
|
|
|
|
|
|
|
|
|
|
|
Опис на активите
|
А.7.1.1
|
|
Х
|
Х
|
|
|
Х
|
Х
|
Х
|
Х
|
|
Притежание на активите
|
А.7.1.2
|
|
Х
|
Х
|
Х
|
Х
|
Х
|
Х
|
Х
|
Х
|
|
Приемлива употреба на
активите
|
А.7.1.3
|
|
Х
|
Х
|
|
|
|
Х
|
Х
|
Х
|
|
Класификация на информацията
|
А.7.2
|
|
|
|
|
|
|
|
|
|
|
Указания за класифициране на
информацията
|
А.7.2.1
|
|
Х
|
|
|
|
|
|
Х
|
Х
|
|
Обозначаване и боравене с
класифицираната информация
|
А.7.2.2
|
Х
|
|
Х
|
Х
|
|
|
Х
|
Х
|
Х
|
|
Сигурност, свързана с персонала (персонална
сигурност)
|
А.8
|
|
|
|
|
|
|
|
|
|
|
……………………….
|
……...
|
|
…..
|
……
|
…….
|
…….
|
…….
|
……
|
…
|
…..
|
|
Управление на инциденти по сигурността на
информационните системи
|
13
|
|
|
|
|
|
|
|
|
|
|
Докладване на пробиви и слабости в информационната сигурност
|
13.1
|
|
|
|
|
|
|
|
|
|
|
Докладване на пробиви в информационната система
|
13.1.1
|
|
|
|
Х
|
Х
|
|
Х
|
Х
|
Х
|
|
Докладване на слабости по сигурността
|
13.1.2
|
Х
|
|
|
Х
|
|
|
Х
|
Х
|
Х
|
|
Управление на инциденти и подобрения в инф. сигурност
|
13.2
|
|
|
|
|
|
|
|
|
|
|
Отговорности и процедури
|
13.2.1
|
|
|
|
|
Х
|
Х
|
Х
|
Х
|
Х
|
|
Извличане на поуки от инциденти по информационната
сигурност
|
13.2.2
|
|
Х
|
|
|
|
Х
|
Х
|
Х
|
Х
|
|
Събиране на доказателства
|
13.2.3
|
Х
|
|
Х
|
|
Х
|
|
Х
|
Х
|
Х
|
|
Управление на непрекъсваемост на бизнеса
|
14
|
|
|
|
|
|
|
|
|
|
|
Аспекти на информационната сигурност при управление непрекъсваемостта на
бизнеса
|
14.1
|
|
|
|
|
|
|
|
|
|
|
Включване на информационната сигурност в процеса на
управление (непрекъснатост на бизнеса)
|
14.1.1
|
|
Х
|
|
|
Х
|
Х
|
|
|
Х
|
|
Непрекъсваемост на бизнеса и оценка на риска
|
14.1.2
|
|
Х
|
|
|
Х
|
Х
|
|
|
Х
|
|
Разработване и внедряване на планове за непрекъсваемост
|
14.1.3
|
|
|
|
|
|
Х
|
|
|
Х
|
|
Рамка за планиране на непрекъсваемост на бизнеса
|
14.1.4
|
|
|
|
|
Х
|
Х
|
|
|
Х
|
|
Тестване, подържане и повторна оценка на плановете за
непрекъсваемост
|
14.1.5
|
|
|
|
|
Х
|
Х
|
|
|
Х
|
|
Съответствие
|
15
|
|
|
|
|
|
|
|
|
|
|
Съответствие със законовите изисквания
|
15.1
|
|
|
|
|
|
|
|
|
|
|
Идентифициране на приложимото законодателство
|
15.1.1
|
|
|
Х
|
|
|
|
Х
|
Х
|
Х
|
|
Интелектуална собственост
|
15.1.2
|
|
|
Х
|
|
|
|
Х
|
|
|
|
Съхраняване на
записите на организацията
|
15.1.3
|
|
|
Х
|
|
Х
|
Х
|
Х
|
Х
|
Х
|
|
Защита на информацията и личните данни
|
15.1.4
|
|
|
Х
|
|
|
|
Х
|
|
|
|
Предотвратяване на злоупотреби с устройствата за
обработка на информация
|
15.1.5
|
Х
|
|
Х
|
|
|
|
|
|
Х
|
|
Наредби относно криптографските контроли
|
15.1.6
|
|
|
Х
|
|
|
|
Х
|
|
|
|
Техническо съответствие и съответствие с политиките по сигурността и
стандартите
|
15.2
|
|
|
|
|
|
|
|
|
|
|
Съответствие с политиките по сигурността и стандартите
|
15.2.1
|
Х
|
|
|
Х
|
|
|
Х
|
Х
|
Х
|
|
Проверка на техническото съответствие
|
15.2.2
|
|
|
|
|
Х
|
|
Х
|
Х
|
|
|
Одит на системата
|
15.3
|
|
|
|
|
|
|
|
|
|
|
Контролни средства за одит на системата
|
15.3.1
|
Х
|
|
|
Х
|
|
|
|
|
Х
|
|
Защита на инструментите за одит на системата
|
15.3.2
|
|
|
Х
|
Х
|
|
|
|
Х
|
|
4. Основни стъпки
за внедряване на защити
Основните действия (стъпки), свързани с избор и
внедряване на защитите се базират на методология за смекчаване на риска, както
следва:
Стъпка 1 – Определяне на приоритетите на дейностите
Определянето на приоритетите на дейностите се основава на
Доклада за оценка на риска
(следствие от прилагането на Методика за
оценка на риска). Най-висок приоритет се дава на тези дейности, които са
свързани с най-големите нива на риск за съответните двойки “заплаха –
уязвимост” и изискват незабавни корективни мерки, необходими за защита на
съответните информационни активи.
Изход от Стъпка 1 – Списък
на действията за смекчаване на риска, подредени от най-висок приоритет към
най-ниските приоритети.
Стъпка 2 – Оценка на препоръчаните за прилагане защити
Препоръчаните за прилагане защити от провеждането на
процесите за оценка на риска (Доклада за
оценка на риска - следствие от
прилагането на Методика за оценка на
риска) е възможно да не са най-подходящите за специфични ИТ системи на
организацията. На тази стъпка се извършва допълнителна оценка на приложимостта,
съвместимостта, ефикасността и възприемането от потребителите на препоръчаните
за прилагане защити, с цел избор на най-приложимите от тях, минимизиращи риска.
Изход от Стъпка 2 – Списък
на изпълнимите и приемливи за организацията защити за прилагане, минимизиращи
съответните рискове.
Стъпка 3 – Провеждане на анализ за икономическа целесъобразност
Този анализ се провежда с цел, да се подпомогне
Ръководството на организацията при окончателното утвърждаване на предложените
защити за прилагане, от гледна точка на икономическата ефективност
Изход от Стъпка 3 –
Описание на икономическата целесъобразност на предлаганите за прилагане защити,
определящо дали дадена защита ще се прилага или няма да се прилага.
Стъпка 4 – Избор на защити
На база резултатите от Стъпка 3, Ръководството на организацията утвърждава защити за
прилагане, които са икономически целесъобразни и минимизират (редуцират)
рисковете в приемливи за организацията нива. Избраните за прилагане защити
включват комбинация от технически,
оперативни, организационни и управленски механизми за защита.
Изход от Стъпка 4 –
Утвърден от Ръководството на организацията Списък
на защити за прилагане
Стъпка 5 – Възлагане на отговорности
Целта на тази дейност е да се определят изпълнители и
техните отговорности (от организацията или външни експерти), имащи необходимата
квалификация и компетентност за внедряване на избраните за прилагане защити.
Изход от Стъпка 5 –
Утвърден от Ръководството на организацията Списък
на специалисти за внедряване на избраните защити, с описание на техните
конкретни отговорности при изпълнението на процеса.
Стъпка 6 – Разработване на План за внедряване на защитите
Плана за внедряване на защитите включва най-малко
информация за:
-
Установените нива на риска за всяка двойка “заплаха –
уязвимост” (от Доклада за оценка на
риска - следствие от прилагането на Методика за оценка на риска);
-
Препоръчаните за прилагане защити (от Доклада за оценка на риска - следствие от прилагането на Методика за оценка на риска);
-
Приоритетите на действията (от Списък на действията за смекчаване на риска, подредени от най-висок
приоритет към най-ниските приоритети;
-
Избраните защити (от Списък
на изпълнимите и приемливи за организацията защити за прилагане,
минимизиращи съответните рискове и Описание
на икономическата целесъобразност на предлаганите за прилагане защити,
определящо дали дадена защита ще се прилага или няма да се прилага;
-
Ресурсите, необходими за внедряване на избраните за
прилагане защити;
-
Отговорните за внедряването на защитите специалисти;
-
Начални дати и периоди за внедряване на защитите;
-
Изискванията за поддръжка;
Изход от Стъпка 6 – План за внедряване на защитите
Забележка: Този План
по същество и в контекста на изискванията на ISO 27001:2005 е еквивалентен на Плана
за третиране на риска
Стъпка 7 – Внедряване на защитите
В зависимост от конкретната ситуация, внедрените защити
понижават нивото на риск, но не го премахват, като цяло. Необходимо е този риск
да бъде оценен на база Методиката за оценка на риска.
Изход от Стъпка 7
– Оценка на остатъчния риск
За въпроси и допълнителна информация:
Пламен Каменов
0359 886 655 315
e-mail: infosecservicebg@gmail.com
