Подрядчики, выполняющие работы в помещениях в организации

⇐ ПредыдущаяСтр 2 из 16Следующая ⇒

Третьи стороны, размещенные в помещениях организации более срока, определенного в их контракте, могут ослабить безопасность. Категории сотрудников третьей стороны, размещаемых в помещениях организации:

- сотрудники, осуществляющие поддержку и сопровождение аппаратных средств и программного обеспечения;

- сотрудники, осуществляющие уборку, обеспечивающие питание, охрану и другие услуги;

- студенты и лица, работающие по трудовым соглашениям;

- консультанты.

Важно предусмотреть мероприятия по управлению информационной безопасностью, необходимые для управления доступом к средствам обработки информации третьей стороны. Все требования безопасности, связанные с доступом третьей стороны или мероприятиями по управлению информационной безопасностью, следует отражать в контракте с третьей стороной (4.2.2). Например, если существует специальная потребность в обеспечении конфиденциальности информации, следует заключить соглашение о ее неразглашении (6.1.3).

Недопустимо предоставлять третьей стороне доступ к информации и средствам ее обработки до тех пор, пока не установлены соответствующие мероприятия по управлению информационной безопасностью и не подписан контракт, определяющий условия предоставления связи или доступа.

4.2.2 Включение требований безопасности в договоры со сторонними лицами и организациями

Все действия, связанные с привлечением третьей стороны к средствам обработки информации организации, должны быть основаны на официальном контракте, содержащем или ссылающемся на них, и должны обеспечиваться в соответствии с политикой и стандартами безопасности организации. Контракт должен обеспечивать уверенность в том, что нет никакого недопонимания между сторонами. Организации также должны предусмотреть возмещение своих возможных убытков со стороны контрагента. В контракт включаются следующие положения:

а) общая политика информационной безопасности;

б) защита активов, включая:

1) процедуры по защите активов организации, в том числе информации и программного обеспечения;

2) процедуры для определения компрометации активов, например, вследствие потери или модификации данных;

3) мероприятия по обеспечению возвращения или уничтожения информации и активов по окончании контракта или в установленное время в течение действия контракта;

4) целостность и доступность активов;

5) ограничения на копирование и раскрытие информации;

в) описание каждой предоставляемой услуги;

г) определение необходимого и неприемлемого уровня обслуживания;

д) условия доставки сотрудников к месту работы, при необходимости;

е) соответствующие обязательства сторон в рамках контракта;

ж) обязательства относительно юридических вопросов, например, законодательства о защите данных с учетом различных национальных законодательств, особенно если контракт относится к сотрудничеству с организациями в других странах (12.1);

з) права интеллектуальной собственности (IPRs) и авторские права (12.1.2), а также правовая защита любой совместной работы (6.1.3);

и) соглашения по управлению доступом, охватывающие:

1) разрешенные методы доступа, а также управление и использование уникальных идентификаторов, типа пользовательских ID и паролей;

2) процесс авторизации в отношении доступа и привилегий пользователей;

3) требование актуализации списка лиц, имеющих право использовать предоставляемые услуги, а также соответствующего списка прав и привилегий;

к) определение измеряемых показателей эффективности, а также их мониторинг и предоставление отчетности;

л) право мониторинга действий пользователей и блокировки доступа;

м) право проводить проверки (аудит) договорных обязанностей или делегировать проведение такого аудита третьей стороне;

н) определение процесса информирования о возникающих проблемах в случае непредвиденных обстоятельств;

о) обязанности, касающиеся установки и сопровождения аппаратных средств и программного обеспечения;

п) четкая структура подотчетности и согласованные форматы представления отчетов;

р) ясный и определенный процесс управления изменениями;

с) любые необходимые способы ограничения физического доступа и процедуры для обеспечения уверенности в том, что эти меры эффективны;

т) обучение пользователя и администратора методам и процедурам безопасности;

у) мероприятия по управлению информационной безопасностью для обеспечения защиты от вредоносного программного обеспечения (см. 8.3);

ф) процедуры отчетности, уведомления и расследования инцидентов нарушения информационной безопасности и выявления слабых звеньев системы безопасности;

х) привлечение третьей стороны вместе с субподрядчиками.

4.3 Привлечение сторонних организаций к обработке информации (аутсорсинг)

Цель: обеспечение информационной безопасности, когда ответственность за обработку информации передана другой организации.

Договоренности, связанные с привлечением третьих сторон, должны учитывать оценки рисков, мероприятия по управлению информационной безопасностью и процедуры в отношении информационных систем, сетей и/или настольных компьютеров и должны быть отражены в контракте.

4.3.1 Включение требований безопасности в договоры на оказание услуг по обработке информации сторонними организациями (аутсорсингу)

Требования безопасности в случае, когда организация передает для управления и контроля все или некоторые из своих информационных систем, сетей и/или персональных компьютеров, следует указать в контракте, согласованном между сторонами и учитывающем:

- выполнение требований законодательства, например, в отношении защиты данных;

- достижение договоренностей, обеспечивающих уверенность в том, что все стороны, включая субподрядчиков, осведомлены о своих обязанностях, касающихся безопасности;

- как будут обеспечиваться и тестироваться параметры целостности и конфиденциальности бизнес-активов организации;

- типы физических и логических методов по управлению информационной безопасностью, используемых при предоставлении необходимого доступа к чувствительной служебной информации организации сторонним пользователям;

- обеспечение доступности сервисов в случае бедствия;

- уровни физической безопасности, которые должны быть обеспечены в отношении оборудования, используемого в рамках аутсорсинга;

- право на проведение аудита.

Условия, приведенные в пункте 4.2.2, следует также рассматривать как часть контракта. Необходимо, чтобы контрактом была предусмотрена возможность дальнейшей детализации и реализации требований и процедур безопасности в согласованном между сторонами плане мероприятий в области безопасности.

Несмотря на то, что контракты по привлечению третьих сторон могут включать ряд сложных вопросов, правила и рекомендации по управлению информационной безопасностью, включенные в настоящий стандарт, должны служить отправной точкой при согласовании структуры и содержания плана по управлению безопасностью.

Классификация и управление активами

Учет активов

Цель: обеспечение соответствующей защиты активов организации.

Все основные информационные активы должны быть учтены и закреплены за ответственными владельцами.

Учет активов помогает обеспечивать уверенность в их надлежащей защите. Необходимо идентифицировать владельцев всех основных активов и определить их ответственность за поддержание соответствующих мероприятий по управлению информационной безопасностью. Осуществление мероприятий по управлению информационной безопасностью может быть делегировано, но ответственность должна оставаться за назначенным владельцем актива.

Инвентаризация активов

Описание активов дает уверенность в том, что обеспечивается эффективная защита активов, и оно может также потребоваться для целей обеспечения безопасности труда, страхования или решения финансовых вопросов (управление активами). Процесс составления описи активов - важный аспект управления риском. Организация должна быть в состоянии идентифицировать свои активы с учетом их относительной ценности и важности. Основываясь на этой информации, организация может обеспечивать заданные уровни защиты, соответствующие ценности и важности активов. Описи следует составлять и поддерживать для важных активов, связанных с каждой информационной системой. Каждый актив должен быть четко идентифицирован и классифицирован с точки зрения безопасности (5.2), его владельцы должны быть авторизованы, а данные о них документированы. Кроме того, должно быть указано фактическое местоположение актива (это важно в случае восстановления активов при потере или повреждении). Примерами активов, связанных с информационными системами, являются:

- информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки (обслуживания), планы по обеспечению непрерывности функционирования информационного обеспечения, процедуры действий при сбоях, архивированная информация;

- активы программного обеспечения: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты;

- физические активы: компьютерное оборудование (процессоры, мониторы, переносные компьютеры, модемы), оборудование связи (маршрутизаторы, частные автоматические телефонные станции с выходом в сеть общего пользования, факсы, автоответчики), магнитные носители (ленты и диски), другое техническое оборудование (электропитание, кондиционеры), мебель, помещения;

- услуги: вычислительные услуги и услуги связи, основные коммунальные услуги, например, отопление, освещение, электроэнергия, кондиционирование.

Классификация информации

Цель: обеспечение уверенности в том, что информационные активы защищены на надлежащем уровне.

Информацию следует классифицировать, чтобы определить ее приоритетность, необходимость и степень ее защиты.

Информация имеет различные степени чувствительности и критичности. Некоторые виды информации могут требовать дополнительного уровня защиты или специальных методов обработки. Систему классификации информации следует использовать для определения соответствующего множества уровней защиты и потребности в специальных методах обработки.

⇐ Предыдущая 123 4 5 6 7 8 9 10 Следующая ⇒