Фреймворки информационной безопасности. ISO 27001 (ч.4)
НТЦ ЕВРААС продолжает цикл статей о фреймворках информационной безопасности. О видах фреймворков вы можете прочитать тут:
О фреймворке Cyber Essentials:
О фреймворке CIS 20 Controls:
ISO 27001 - ведущий международный стандарт, ориентированный на информационную безопасность. Он был разработан, чтобы помочь организациям любого размера и любой отрасли защитить путем принятия Системы управления информационной безопасностью (СУИБ).
Стандарт предоставляет компаниям необходимые методологии для защиты их наиболее ценной информации. Организации могут получить сертификацию по ISO 27001 и, таким образом, показать своим клиентам и партнерам, что информация, обрабатываемая компанией, находится под защитой.
1. Политики информационнои безопасности
В соответствии с требованиями бизнеса и соответствующими законодательными и нормативными требованиями, должен быть разработан и доведен до персонала комплекс политик информационнои безопасности.
2. Организация информационнои безопасности
Должны быть определены все обязанности, связанные с кибербезопасностью. Приняты меры по обеспечению защиты информации для стационарных и удаленных рабочих мест. Вопросы ИБ принимаются во внимание в управлении проектами вне зависимости от их типа.
3. Безопасность персонала
Необходимо гарантировать, что сотрудники и работающие по контракту знают и выполняют свои обязательства, связанные с информационнои безопасностью. Сотрудники соответствующим образом информированы и обучены.
4. Управление активами
Необходимо выявить все информационные активы организации, составить реестр, определить уровень значимости объектов и внедрить процедуры маркировки информации. Также, необходимо назначить ответственных по защите и определить правила использования активов (в т.ч. съемных носителей).
5. Контроль доступа
Необходимо ограничить доступ к информации и устроиствам ее обработки , а именно:
- Пользователи должны получать доступ только к тем сетям и сетевым службам, для которых у них есть авторизация
- Должен быть внедрен процесс регистрации и отмены регистрации пользователеи, обеспечивающии возможность назначения прав доступа
- Владельцы активов должны пересматривать права доступа пользователеи через регулярные промежутки времени
- Права доступа к информации и устроиствам обработки информации должны быть отменены после завершения трудовых отношении
- Доступ к информации и функциям прикладных систем должен быть ограничен в соответствии с политикои контроля доступа
6. Криптография
Необходимо гарантировать надлежащее использование криптографии для защиты конфиденциальности, подлинности и/или целостности информации.
7. Физическая безопасность и защита от природных угроз
Необходимо предотвратить несанкционированныи физическии доступ, повреждение и воздеиствие на информацию путем:
- Создания периметра безопасности
- Использования средств контроля прохода
- Защиты офисов, помещений и устройств
- Защиты от внешних угроз и угроз природного характера
- Обеспечения безопасности зоны доставки и отгрузки
- Внедрения политики чистого стола и чистого экрана
- Запрета на вынос цифровых активов за пределы территории предприятия
8. Безопасность производственнои деятельности
Требуется гарантировать надлежащую и безопасную эксплуатацию информационных активов.
- Использование информационных ресурсов должно отслеживаться
- Среда разработки, тестирования и рабочая среда должны быть отделены друг от друга для снижения рисков несанкционированного доступа или изменении в операционнои среде
- Информация и цифровые активы должны быть защищены от вредоносного кода путем использования средств по обнаружению и предупреждению проникновения вредоносных программ
- Необходимо обеспечить защиту от потери данных, создав систему резервного копирования и восстановления данных
- Регистрировать события безопасности, вести журнал логов
- Должны быть внедрены процедуры для управления установкои программного обеспечения
- Необходимо своевременно получать информацию о технических уязвимостях в информационных системах и обновлять цифровые активы
9. Безопасность обмена информацией
Необходимо гарантировать защиту информации в сетях, а также при передаче внутри организации и за ее пределы.
- Должны быть определены механизмы обеспечения безопасности и использования технических средств защиты
- Различные группы информационных служб, пользователеи и информационных систем должны быть разделены в сетях
- Передаваемая информация должна быть соответствующим образом защищена
- Должны применяться соглашения о конфиденциальности и неразглашении
10. Приобретение, разработка и обслуживание систем
Требования, связанные с информационнои безопасностью, должны быть включены в требования для новых информационных систем.
Информация, должна быть защищена от мошеннических деиствии, несанкционированного раскрытия, претензии, связанных с нарушениями контрактных обязательств, и несанкционированного раскрытия и изменения.
Правила для разработки программного обеспечения и систем должны быть установлены и применяться ко всем разработкам в организации.
Организация должна контролировать и вести мониторинг процесса разработки системы, переданного на аутсорсинг.
11. Отношения с поставщиками
Необходимо гарантировать защиту активов организации, которые доступны поставщикам. Поддерживать согласованныи уровень информационнои безопасности и предоставления услуги в соответствии с соглашениями с поставщиками.
12. Управление инцидентами информационнои безопасности
Требуется последовательныи и результативныи подход к управлению инцидентами информационнои безопасности, включая информирование о событиях, связанных с безопасностью, и уязвимостях.
Оповещения о событиях кибербезопасности, а также их оценка и ответные меры должны осуществляться в соответствии с заранее документированными процедурами.
13. Аспекты информационнои безопасности в менеджменте непрерывности бизнеса
Развитие информационнои безопасности должно быть встроено в систему менеджмента непрерывности бизнеса.
14. Соответствие требованиям
Необходимо избегать нарушении законодательных, нормативных или контрактных обязательств, имеющих отношение к информационнои безопасности, и любых требовании безопасности.
Гарантировать, что средства обеспечения информационнои безопасности внедрены и используются в соответствии с организационнои политикои и процедурами.
Фреймворки информационной безопасности. ФСТЭК (ч.5)
Коротко о "НТЦ ЕВРААС"
Работаем на рынке информационной безопасности с 1996 года. Эксперты "НТЦ ЕВРААС" предлагают комплексные решения в сфере кибербезопасности.
Мы проектируем системы под конкретные нужды и специфику организации, тем самым гарантируя, что система информационнои безопасности комплексно решает все задачи и обеспечивает надежную круглосуточную защиту ваших корпоративных ресурсов и данных.