ТЕМА 3 Система за управление на информационната сигурност

ТЕМА 3 Система за управление на информационната сигурност (СУИС) 1

Задължителните документи включват: Политика за СУИС и цели; n Обхват на СУИС; n Процедури и контроли за подпомагане на СУИС; n Описание на методологията за оценка на риска; n Доклад за оценка на риска; 2

Задължителните документи включват (продължение): n n План за третиране на риска; Процедури, необходими за осигуряване на ефективно планиране и контрол на процесите, описващи измерването на ефективността; Записи, изисквани по други стандарти, документиращи действия; Декларация за приложимост. 3

Наръчник по информационна сигурност (съдържание) Изискваните документи от практична гледна точка е уместно да се публикуват в общ наръчник. В него се публикуват общите изисквания и достъпните документи на едно място. Всички други документи, които имат ограничен достъп, се цитират в наръчника и създават общата представа за използвания комплект документи, местата за съхранение и конкретните отговорности по съхранение. 4

Наръчник по информационна сигурност (съдържание) Методологично е удобно да се следват точките от стандарта, за да могат да се съпоставят документите със задължителните изисквания по стандарта. 5

Декларация за приложимост на СУИС Декларацията за приложимост обобщава документалната част на СУИС и определя реалните действия и разходи, които последват разработката на тази документална част. Основният документ, който включва стъпките за изпълнение е именно Декларация за приложимост. Тя включва: n описание на заплахите и уязвимости за организацията; n мерките, които се предвижда да се предприемат; n средствата, които се използват за действие за всяка конкретна заплаха. 6

Декларация за приложимост на СУИС (продължение) Следва да се подчертае, че ако заплахите са определени, но няма действие по тях, се обяснява защо не се предприемат мерки. Декларацията за приложимост се преглежда периодично. Съществуването й демонстрира на трети страни – клиенти, бизнес партньори, съдружници, поддържащи организации и други, каква е степента на сигурност, чрез издаване на сертификат за регистрация. 7

Декларация за приложимост на СУИС (продължение) Одитиращите организации нямат пълен достъп до Декларацията за приложимост, поради това, че тя описва основните заплахи и уязвимости и не е уместно предоставяне на тази информация пред външни организации. 8

Избор на контроли След идентифициране на изискванията за оценка и третиране на риска, трябва да се изберат и приложат подходящи контроли за редуциране на риска до подходящо приемливо ниво. Контроли могат да се прилагат като се използва стандарта ISO/IEC 27001: 2005. Може да се формира обаче и множество от допълнителни контроли, които да посрещат нови, специфични нужди. 9

Избор на контроли (продължение) n Изборът на контроли зависи преди всичко от организационни решения, които са базирани на приемливостта на определен риск, неговото третиране и целите по общата картина за оценка. Отчитат се и националните и интернационални законови изисквания и регулации. 10

Избор на контроли (продължение) Като пример може да се посочи: Анекс А на стандарта ISO/IEC 27001: 2005. Той дефинира набор от контроли, които се прилагат комплексно. Същите могат да се използват като начална точка за прилагане на СУИС. Контролите са базирани на основните изисквания, които се считат за добра практика за информационна сигурност. 11

Избор на контроли (продължение) n n Процесът за избор на конкретни контроли включва разглеждане на заплахи и уязвимости, които са необходими за доказателство, че контролите са внедрени и работят ефективно. При изборът на контроли се отчита и намаляването на всеки идентифициран риск в приемливи граници, както се изисква от плана за третиране на риска. 12 12

Критични фактори за успех на СУИС n n n Политиката по СУИС пряко рефлектира върху бизнес целите; Целите по прилагане, поддръжка, контрол и подобрение трябва да съответстват на организационната култура; Осезаема подкрепа и съпричастност на ръководството; Разбиране на изискванията на СУИС, оценка на риска, и управление на риска; Ефективни средства за запознаване на целия персонал и външни контрагенти за достигнатите постижения в областта на СУИС; 13

Критични фактори за успех на СУИС(продължение) n n n Разпространение на политики и важна информация за всички ръководители, служители и трети страни; Средства за осигуряване действия по СУИС; Провеждане на подходящо обучение; Установяване на ефективен процес за управление на инциденти; Прилагане на система за измерване, която да дава подходяща обратна връзка към висшето ръководство за предложения и подобрения. 14

ЧОВЕШКИТЕ РЕСУРСИ В СУИС За постигане на убеденост, че служителите на постоянна длъжност, както и работещите по временен договор, разбират отговорностите си, е удачно да се разглеждат ролите за всеки отделен процес и за всеки отделен човек. По този начин значително се намалява риска от инциденти с активите. Отговорностите, свързани със сигурността, трябва да са адекватни с бизнес-процесите на организацията. Всички служители следва да бъдат добре проучвани, особено ако извършват отговорни дейности. 15

Роли и отговорности. Практически насоки. Отговорностите и ролите, трябва да са дефинирани в съответствие с политиката по информационна сигурност на фирмата. Ролите и отговорностите по сигурността, включват следните изисквания: n Прилагане и действие в съответствие с политиката за СУИС; n Запазване на активите от непозволен достъп, разкриване, модификация, разрушаване; n Изпълняване на практически процеси и дейности; 16

Роли и отговорности. Практически насоки(продължение) Осигуряване на отговорности за индивидуални действия; n Рапортуване на събития, свързани със сигурността или други рискове за организацията. n Ролите и отговорностите трябва да се дискутират открито още по време на процеса за наемане на работа. n 17

Роли и отговорности. Практически насоки(продължение) При разпределението на отговорностите е особено важно определянето на собственици на информационни активи, което бе коментирано подробно в предходната глава. Необходимо е също да бъде осигурено и участие на технически обучени служители, които осигуряват изпълнението на административните мерки по СУИС. 18

Пример за ролите и отговорностите при определяне на „собственик” на актив Собственик Роля: Изпълнява се от директор. Отговорен е за управлението и защитата на информацията. Собственика може предприема всички необходими мерки касаещи информацията, и контрола за интегритет и конфиденциалност. Директора е с постоянен договор. 19

Собственик Отговорности: n Разбира основните рискове от цялостната употреба на специфична информация; n Определя нивото на чувствителност на информацията и съответно я определя; n Дефинира допълнителни методи за защита; n Одобрява искания на потребители за достъп; n Преглежда списъка за достъп на потребителите и определя и отнема права. 20

Администратор Роля: Администратора на ИТ-активи е обикновено служител на ”Информационни системи”. Той съхранява информацията, и наблюдава системите за контрол на достъпа. Администратора е с постоянен договор. 21

Администратор Отговорности: n Физически съхранява информацията; n Следва инструкциите на собственика за обработка на информацията; n Периодично представя на собственика списък на лица с достъп до активите; n Предлага нови технологии и процедури на собственика; n Поддържа сигурността на връзките на оборудването; n Прилага заповеди на собственика; n Инсталира механизми за сигурност; n Прави копия (или Bakup) на информацията и (Restore) възстановява текущи състояния при поискване. 22

Потребител Роля: Служител на организацията или трета страна, която има достъп до информационни активи. Трети страни и подизпълнители подписват споразумение за конфиденциалност за да имат достъп до информационни активи. 23

Потребител Отговорности: n Изисква от собственика права за достъп; n Не използва информационни активи без лична идентификация; n Използва оборудване, предоставено от администратора; n Прилага внедрените контроли от собственика и ръководството; n Докладва за грешки и инциденти на собственика и дирекция “Сигурност”. 24

Проучване на кандидата. Всички кандидати за работа, както и вече работещите по договор, трябва да изпълняват законовите и бизнес изискванията. Практически насоки при изпълнение на тази дейност. Проверката е свързана със Закона за защита на личните данни и трябва да включва: - Възможност за задоволителни личностни характеристики – бизнес и персонални. В тази връзка се извършват проверки за: n Проверка за пълнота и точност на автобиографията; n Проверка на декларираните квалификации; n Независима проверка за идентификация – лична карта; n Детайлни проверки – кредити, депозити, криминални прояви. 25

Проучване на кандидата (продължение) - Ако организацията създава възможност за достъп до активи, които обработват чувствителна информация се прави още по-детайлен преглед и проверка. n n Процедурата трябва ясно да дефинира критериите, който следва да прилага проверяващия, както и до какви детайли може да се стига. При работа с трети страни също трябва ясно да се дефинират изискванията по информационната сигурност. В договореностите между тях се специфицират ясно отговорностите и процедурите за проверка. Цялата събрана информация трябва да се съхранява съгласно правила, установени по съответните нормативи. Важно е да се подчертае, че кандидатите следва да бъдат информирани, че ще бъдат проучвани във връзка с изпълнението на техните дейности и съответното ниво на информационна сигурност. 26

Условия за наемане на работа. Като част от изискванията е включено задължениeто служителите, контрагентите и третите страни да подпишат съгласие за изпълнение на задачите по СУИС. Практически насоки. Всички условия рефлектират в организирането на СУИС, като в допълнение се определя: n Всички лица, които имат достъп до чувствителна информация подписват декларация за неразпространение, за да им се даде достъп; n Служители и трети лица изпълняват изискванията, касаещи защитата на авторските права в смисъла на изискванията за авторското право; n Отговорностите за класификация на информацията и управление на организационните активи, асоциирани с информационни системи и обслужвани от служители или трети страни; 27

Всички условия рефлектират в организирането на СУИС, като в допълнение се определя: n n Отговорностите на служители, контрактори или трети страни за управление на информацията, получена от външни партньори; Отговорностите на организацията за управление на лична информация, включително информация, създадена като резултат от работата в организацията; Отговорностите, разширяващи разрешението за работа извън нормалното работно време; Действията, които ще се предприемат при неизпълнение на изискванията по СУИС. 28

Практически насоки. Организацията трябва да е убедена, че служителите и третите страни са съгласни с условията. Ако е подходящо, отговорностите трябва да бъдат продължени и след периода на наемане. 29

Отговорности на ръководството. Ръководството изисква прилагане на мерките по сигурността в съответствие с политиките и процедурите по СУИС. 30

Ангажираност на ръководството и обучение. Задачите по СУИС трябва да са конкретно насочени и да се изпълняват съвместно с извършваната работа. Затова в тази връзка е необходимо изпълнение на процедури, свързани с квалификация и обучение на персонала. 31

Дисциплинарен процес. Необходимо е да бъде установен (формализиран) процес, касаещ служителите, които извършват нарушение на процеса за информационна сигурност. 32

Прекратяване на отговорности. Отговорностите по прекъсване или промяна в трудовите отношения също трябва да са ясно дефинирани. 33

Връщане на активи. След прекратяване на трудовите взаимоотношения се връщат всички активи, които са притежание на организацията. 34

Прекратяване на права за достъп. Правата за достъп за всички служители и трети страни, трябва да се отнемат при прекратяване на трудовите отношения или промяна в задълженията. 35

ПОЛИТИКА ЗА УПРАВЛЕНИЕ НА НЕПРЕКЪСВАЕМОСТТА НА БИЗНЕС ПРОЦЕСИТЕ. Предвид функцията, която някои организации изпълняват, осигуряването на непрекъсваемост на бизнес процесите е от изключително значение за запазване на общественото доверие. 36