GOST R ISO MEK 17799-2005

ÔÅÄÅÐÀËÜÍÎÅ ÀÃÅÍÒÑÒÂÎ
ÏÎ ÒÅÕÍÈ×ÅÑÊÎÌÓ ÐÅÃÓËÈÐÎÂÀÍÈÞ È ÌÅÒÐÎËÎÃÈÈ
ÍÀÖÈÎÍÀËÜÍÛÉ
ÑÒÀÍÄÀÐÒ
ÐÎÑÑÈÉÑÊÎÉ
ÔÅÄÅÐÀÖÈÈ
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ
17799—
2005
Èíôîðìàöèîííàÿ òåõíîëîãèÿ
ÏÐÀÊÒÈ×ÅÑÊÈÅ ÏÐÀÂÈËÀ ÓÏÐÀÂËÅÍÈß
ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÜÞ
ÁÇ 1—2006/420
ISO/IEC 17799:2000
Information technology — Code of practice for information
security management
(IDT)
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
Ïðåäèñëîâèå
Öåëè è ïðèíöèïû ñòàíäàðòèçàöèè â Ðîññèéñêîé Ôåäåðàöèè óñòàíîâëåíû Ôåäåðàëüíûì çàêîíîì îò
27 äåêàáðÿ 2002 ã. ¹ 184-ÔÇ «Î òåõíè÷åñêîì ðåãóëèðîâàíèè», à ïðàâèëà ïðèìåíåíèÿ íàöèîíàëüíûõ
ñòàíäàðòîâ Ðîññèéñêîé Ôåäåðàöèè — ÃÎÑÒ Ð 1.0—2004 «Ñòàíäàðòèçàöèÿ â Ðîññèéñêîé Ôåäåðàöèè.
Îñíîâíûå ïîëîæåíèÿ»
Ñâåäåíèÿ î ñòàíäàðòå
1 ÏÎÄÃÎÒÎÂËÅÍ
Ôåäåðàëüíûì
ãîñóäàðñòâåííûì
ó÷ðåæäåíèåì
«Ãîñóäàðñòâåííûé
íàó÷íî-èññëåäîâàòåëüñêèé èñïûòàòåëüíûé èíñòèòóò ïðîáëåì òåõíè÷åñêîé çàùèòû èíôîðìàöèè Ôåäåðàëüíîé ñëóæáû ïî òåõíè÷åñêîìó è ýêñïîðòíîìó êîíòðîëþ» (ÔÃÓ «ÃÍÈÈÈ ÏÒÇÈ ÔÑÒÝÊ Ðîññèè»)
2 ÂÍÅÑÅÍ Óïðàâëåíèåì òåõíè÷åñêîãî ðåãóëèðîâàíèÿ è ñòàíäàðòèçàöèè Ôåäåðàëüíîãî àãåíòñòâà
ïî òåõíè÷åñêîìó ðåãóëèðîâàíèþ è ìåòðîëîãèè
3 ÓÒÂÅÐÆÄÅÍ È ÂÂÅÄÅÍ Â ÄÅÉÑÒÂÈÅ Ïðèêàçîì Ôåäåðàëüíîãî àãåíòñòâà ïî òåõíè÷åñêîìó ðåãóëèðîâàíèþ è ìåòðîëîãèè îò 29 äåêàáðÿ 2005 ã. ¹ 447-ñò
4 Íàñòîÿùèé ñòàíäàðò èäåíòè÷åí ìåæäóíàðîäíîìó ñòàíäàðòó ÈÑÎ/ÌÝÊ 17799:2000 «Èíôîðìàöèîííàÿ òåõíîëîãèÿ. Ïðàêòè÷åñêèå ïðàâèëà óïðàâëåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòüþ»
(ISO/IEC 17799:2000 «Information technology. Code of practice for security management»)
5 ÂÂÅÄÅÍ ÂÏÅÐÂÛÅ
Èíôîðìàöèÿ îá èçìåíåíèÿõ ê íàñòîÿùåìó ñòàíäàðòó ïóáëèêóåòñÿ â åæåãîäíî èçäàâàåìîì
èíôîðìàöèîííîì óêàçàòåëå «Íàöèîíàëüíûå ñòàíäàðòû», à òåêñò èçìåíåíèé è ïîïðàâîê — â åæåìåñÿ÷íî èçäàâàåìûõ èíôîðìàöèîííûõ óêàçàòåëÿõ «Íàöèîíàëüíûå ñòàíäàðòû».  ñëó÷àå ïåðåñìîòðà
(çàìåíû) èëè îòìåíû íàñòîÿùåãî ñòàíäàðòà ñîîòâåòñòâóþùåå óâåäîìëåíèå áóäåò îïóáëèêîâàíî
â åæåìåñÿ÷íî èçäàâàåìîì èíôîðìàöèîííîì óêàçàòåëå «Íàöèîíàëüíûå ñòàíäàðòû». Ñîîòâåòñòâóþùàÿ èíôîðìàöèÿ, óâåäîìëåíèe è òåêñòû ðàçìåùàþòñÿ òàêæå â èíôîðìàöèîííîé ñèñòåìå îáùåãî
ïîëüçîâàíèÿ — íà îôèöèàëüíîì ñàéòå Ôåäåðàëüíîãî àãåíòñòâà ïî òåõíè÷åñêîìó ðåãóëèðîâàíèþ è
ìåòðîëîãèè â ñåòè Èíòåðíåò
II
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
Ñîäåðæàíèå
1 Îáëàñòü ïðèìåíåíèÿ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2 Òåðìèíû è îïðåäåëåíèÿ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
3 Ïîëèòèêà áåçîïàñíîñòè . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
3.1 Ïîëèòèêà èíôîðìàöèîííîé áåçîïàñíîñòè . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
4 Îðãàíèçàöèîííûå âîïðîñû áåçîïàñíîñòè . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
4.1 Îðãàíèçàöèîííàÿ èíôðàñòðóêòóðà èíôîðìàöèîííîé áåçîïàñíîñòè . . . . . . . . . . . . . . . 2
4.2 Îáåñïå÷åíèå áåçîïàñíîñòè ïðè íàëè÷èè äîñòóïà ê èíôîðìàöèîííûì ñèñòåìàì ñòîðîííèõ
îðãàíèçàöèé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
4.3 Ïðèâëå÷åíèå ñòîðîííèõ îðãàíèçàöèé ê îáðàáîòêå èíôîðìàöèè (àóòñîðñèíã) . . . . . . . . . . 7
5 Êëàññèôèêàöèÿ è óïðàâëåíèå àêòèâàìè . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
5.1 Ó÷åò àêòèâîâ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
5.2 Êëàññèôèêàöèÿ èíôîðìàöèè . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
6 Âîïðîñû áåçîïàñíîñòè, ñâÿçàííûå ñ ïåðñîíàëîì . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
6.1 Ó÷åò âîïðîñîâ áåçîïàñíîñòè â äîëæíîñòíûõ îáÿçàííîñòÿõ è ïðè íàéìå ïåðñîíàëà . . . . . . 9
6.2 Îáó÷åíèå ïîëüçîâàòåëåé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
6.3 Ðåàãèðîâàíèå íà èíöèäåíòû íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè è ñáîè . . . . . . . 10
7 Ôèçè÷åñêàÿ çàùèòà è çàùèòà îò âîçäåéñòâèé îêðóæàþùåé ñðåäû . . . . . . . . . . . . . . . . . . 11
7.1 Îõðàíÿåìûå çîíû . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
7.2 Áåçîïàñíîñòü îáîðóäîâàíèÿ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
7.3 Îáùèå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ . . . . . . . . . . . . . 16
8 Óïðàâëåíèå ïåðåäà÷åé äàííûõ è îïåðàöèîííîé äåÿòåëüíîñòüþ . . . . . . . . . . . . . . . . . . . 17
8.1 Îïåðàöèîííûå ïðîöåäóðû è îáÿçàííîñòè . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
8.2 Ïëàíèðîâàíèå íàãðóçêè è ïðèåìêà ñèñòåì . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
8.3 Çàùèòà îò âðåäîíîñíîãî ïðîãðàììíîãî îáåñïå÷åíèÿ. . . . . . . . . . . . . . . . . . . . . . . 20
8.4 Âñïîìîãàòåëüíûå îïåðàöèè. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
8.5 Óïðàâëåíèå ñåòåâûìè ðåñóðñàìè . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
8.6 Áåçîïàñíîñòü íîñèòåëåé èíôîðìàöèè . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
8.7 Îáìåí èíôîðìàöèåé è ïðîãðàììíûì îáåñïå÷åíèåì . . . . . . . . . . . . . . . . . . . . . . . 24
9 Êîíòðîëü äîñòóïà . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
9.1 Òðåáîâàíèå áèçíåñà ïî îáåñïå÷åíèþ êîíòðîëÿ â îòíîøåíèè ëîãè÷åñêîãî äîñòóïà . . . . . . 28
9.2 Êîíòðîëü â îòíîøåíèè äîñòóïà ïîëüçîâàòåëåé . . . . . . . . . . . . . . . . . . . . . . . . . . 28
9.3 Îáÿçàííîñòè ïîëüçîâàòåëåé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
9.4 Êîíòðîëü ñåòåâîãî äîñòóïà . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
9.5 Êîíòðîëü äîñòóïà ê îïåðàöèîííîé ñèñòåìå . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
9.6 Êîíòðîëü äîñòóïà ê ïðèëîæåíèÿì . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
9.7 Ìîíèòîðèíã äîñòóïà è èñïîëüçîâàíèÿ ñèñòåìû . . . . . . . . . . . . . . . . . . . . . . . . . . 36
9.8 Ðàáîòà ñ ïåðåíîñíûìè óñòðîéñòâàìè è ðàáîòà â äèñòàíöèîííîì ðåæèìå . . . . . . . . . . . 38
10 Ðàçðàáîòêà è îáñëóæèâàíèå ñèñòåì . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
10.1 Òðåáîâàíèÿ ê áåçîïàñíîñòè ñèñòåì . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
10.2 Áåçîïàñíîñòü â ïðèêëàäíûõ ñèñòåìàõ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
10.3 Ìåðû çàùèòû èíôîðìàöèè, ñâÿçàííûå ñ èñïîëüçîâàíèåì êðèïòîãðàôèè . . . . . . . . . . 42
10.4 Áåçîïàñíîñòü ñèñòåìíûõ ôàéëîâ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
10.5 Áåçîïàñíîñòü â ïðîöåññàõ ðàçðàáîòêè è ïîääåðæêè . . . . . . . . . . . . . . . . . . . . . . 45
11 Óïðàâëåíèå íåïðåðûâíîñòüþ áèçíåñà . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
12 Ñîîòâåòñòâèå òðåáîâàíèÿì . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
12.1 Ñîîòâåòñòâèå òðåáîâàíèÿì çàêîíîäàòåëüñòâà . . . . . . . . . . . . . . . . . . . . . . . . . 50
12.2 Ïåðåñìîòð ïîëèòèêè áåçîïàñíîñòè è òåõíè÷åñêîå ñîîòâåòñòâèå òðåáîâàíèÿì áåçîïàñíîñòè . 53
12.3 Ìåðû áåçîïàñíîñòè ïðè ïðîâåäåíèè àóäèòà. . . . . . . . . . . . . . . . . . . . . . . . . . . 54
III
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
Ââåäåíèå
×òî òàêîå èíôîðìàöèîííàÿ áåçîïàñíîñòü?
Èíôîðìàöèÿ — ýòî àêòèâ, êîòîðûé, ïîäîáíî äðóãèì àêòèâàì îðãàíèçàöèè, èìååò öåííîñòü è, ñëåäîâàòåëüíî, äîëæåí áûòü çàùèùåí íàäëåæàùèì îáðàçîì. Èíôîðìàöèîííàÿ áåçîïàñíîñòü çàùèùàåò
èíôîðìàöèþ îò øèðîêîãî äèàïàçîíà óãðîç ñ öåëüþ îáåñïå÷åíèÿ óâåðåííîñòè â íåïðåðûâíîñòè áèçíåñà,
ìèíèìèçàöèè óùåðáà, ïîëó÷åíèÿ ìàêñèìàëüíîé îòäà÷è îò èíâåñòèöèé, à òàêæå ðåàëèçàöèè ïîòåíöèàëüíûõ âîçìîæíîñòåé áèçíåñà.
Èíôîðìàöèÿ ìîæåò ñóùåñòâîâàòü â ðàçëè÷íûõ ôîðìàõ. Îíà ìîæåò áûòü íàïå÷àòàíà èëè íàïèñàíà
íà áóìàãå, õðàíèòüñÿ â ýëåêòðîííîì âèäå, ïåðåäàâàòüñÿ ïî ïî÷òå èëè ñ èñïîëüçîâàíèåì ýëåêòðîííûõ
ñðåäñòâ ñâÿçè, äåìîíñòðèðîâàòüñÿ íà ïëåíêå èëè áûòü âûðàæåíà óñòíî. Áåçîòíîñèòåëüíî ôîðìû âûðàæåíèÿ èíôîðìàöèè, ñðåäñòâ åå ðàñïðîñòðàíåíèÿ èëè õðàíåíèÿ îíà äîëæíà âñåãäà áûòü àäåêâàòíî
çàùèùåíà.
Èíôîðìàöèîííàÿ áåçîïàñíîñòü — ìåõàíèçì çàùèòû, îáåñïå÷èâàþùèé:
- êîíôèäåíöèàëüíîñòü: äîñòóï ê èíôîðìàöèè òîëüêî àâòîðèçîâàííûõ ïîëüçîâàòåëåé;
- öåëîñòíîñòü: äîñòîâåðíîñòü è ïîëíîòó èíôîðìàöèè è ìåòîäîâ åå îáðàáîòêè;
- äîñòóïíîñòü: äîñòóï ê èíôîðìàöèè è ñâÿçàííûì ñ íåé àêòèâàì àâòîðèçîâàííûõ ïîëüçîâàòåëåé ïî
ìåðå íåîáõîäèìîñòè.
Èíôîðìàöèîííàÿ áåçîïàñíîñòü äîñòèãàåòñÿ ïóòåì ðåàëèçàöèè ñîîòâåòñòâóþùåãî êîìïëåêñà
ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ, êîòîðûå ìîãóò áûòü ïðåäñòàâëåíû ïîëèòèêàìè, ìåòîäàìè, ïðîöåäóðàìè, îðãàíèçàöèîííûìè ñòðóêòóðàìè è ôóíêöèÿìè ïðîãðàììíîãî îáåñïå÷åíèÿ. Óêàçàííûå ìåðîïðèÿòèÿ äîëæíû îáåñïå÷èòü äîñòèæåíèå öåëåé èíôîðìàöèîííîé áåçîïàñíîñòè
îðãàíèçàöèè.
Íåîáõîäèìîñòü èíôîðìàöèîííîé áåçîïàñíîñòè
Èíôîðìàöèÿ, ïîääåðæèâàþùèå åå ïðîöåññû, èíôîðìàöèîííûå ñèñòåìû è ñåòåâàÿ èíôðàñòðóêòóðà ÿâëÿþòñÿ ñóùåñòâåííûìè àêòèâàìè îðãàíèçàöèè. Êîíôèäåíöèàëüíîñòü, öåëîñòíîñòü è äîñòóïíîñòü
èíôîðìàöèè ìîãóò ñóùåñòâåííî ñïîñîáñòâîâàòü îáåñïå÷åíèþ êîíêóðåíòîñïîñîáíîñòè, ëèêâèäíîñòè,
äîõîäíîñòè, ñîîòâåòñòâèÿ çàêîíîäàòåëüñòâó è äåëîâîé ðåïóòàöèè îðãàíèçàöèè.
Îðãàíèçàöèè, èõ èíôîðìàöèîííûå ñèñòåìû è ñåòè âñå ÷àùå ñòàëêèâàþòñÿ ñ ðàçëè÷íûìè óãðîçàìè
áåçîïàñíîñòè, òàêèìè êàê êîìïüþòåðíîå ìîøåííè÷åñòâî, øïèîíàæ, âðåäèòåëüñòâî, âàíäàëèçì, ïîæàðû
èëè íàâîäíåíèÿ. Òàêèå èñòî÷íèêè óùåðáà, êàê êîìïüþòåðíûå âèðóñû, êîìïüþòåðíûé âçëîì è àòàêè òèïà
îòêàçà â îáñëóæèâàíèè, ñòàíîâÿòñÿ áîëåå ðàñïðîñòðàíåííûìè, áîëåå àãðåññèâíûìè è âñå áîëåå èçîùðåííûìè.
Çàâèñèìîñòü îò èíôîðìàöèîííûõ ñèñòåì è óñëóã îçíà÷àåò, ÷òî îðãàíèçàöèè ñòàíîâÿòñÿ âñå áîëåå
óÿçâèìûìè ïî îòíîøåíèþ ê óãðîçàì áåçîïàñíîñòè. Âçàèìîäåéñòâèå ñåòåé îáùåãî ïîëüçîâàíèÿ è ÷àñòíûõ ñåòåé, à òàêæå ñîâìåñòíîå èñïîëüçîâàíèå èíôîðìàöèîííûõ ðåñóðñîâ çàòðóäíÿåò óïðàâëåíèå äîñòóïîì ê èíôîðìàöèè. Òåíäåíöèÿ ê èñïîëüçîâàíèþ ðàñïðåäåëåííîé îáðàáîòêè äàííûõ îñëàáëÿåò
ýôôåêòèâíîñòü öåíòðàëèçîâàííîãî êîíòðîëÿ.
Ïðè ïðîåêòèðîâàíèè ìíîãèõ èíôîðìàöèîííûõ ñèñòåì âîïðîñû áåçîïàñíîñòè íå ó÷èòûâàëèñü. Óðîâåíü áåçîïàñíîñòè, êîòîðûé ìîæåò áûòü äîñòèãíóò òåõíè÷åñêèìè ñðåäñòâàìè, èìååò ðÿä îãðàíè÷åíèé è,
ñëåäîâàòåëüíî, äîëæåí ñîïðîâîæäàòüñÿ íàäëåæàùèìè îðãàíèçàöèîííûìè ìåðàìè. Âûáîð íåîáõîäèìûõ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ òðåáóåò òùàòåëüíîãî ïëàíèðîâàíèÿ
è âíèìàíèÿ ê äåòàëÿì.
Óïðàâëåíèå èíôîðìàöèîííîé áåçîïàñíîñòüþ íóæäàåòñÿ, êàê ìèíèìóì, â ó÷àñòèè âñåõ ñîòðóäíèêîâ îðãàíèçàöèè. Òàêæå ìîæåò ïîòðåáîâàòüñÿ ó÷àñòèå ïîñòàâùèêîâ, êëèåíòîâ èëè àêöèîíåðîâ. Êðîìå
òîãî, ìîãóò ïîòðåáîâàòüñÿ êîíñóëüòàöèè ñïåöèàëèñòîâ ñòîðîííèõ îðãàíèçàöèé.
Ìåðîïðèÿòèÿ ïî óïðàâëåíèþ â îáëàñòè èíôîðìàöèîííîé áåçîïàñíîñòè îáîéäóòñÿ çíà÷èòåëüíî
äåøåâëå è îêàæóòñÿ áîëåå ýôôåêòèâíûìè, åñëè áóäóò âêëþ÷åíû â ñïåöèôèêàöèþ òðåáîâàíèé íà ñòàäèè
ïðîåêòèðîâàíèÿ ñèñòåìû.
Êàê îïðåäåëèòü òðåáîâàíèÿ ê èíôîðìàöèîííîé áåçîïàñíîñòè
Îðãàíèçàöèÿ äîëæíà îïðåäåëèòü ñâîè òðåáîâàíèÿ ê èíôîðìàöèîííîé áåçîïàñíîñòè ñ ó÷åòîì ñëåäóþùèõ òðåõ ôàêòîðîâ.
Âî-ïåðâûõ, îöåíêà ðèñêîâ îðãàíèçàöèè. Ïîñðåäñòâîì îöåíêè ðèñêîâ ïðîèñõîäèò âûÿâëåíèå óãðîç
àêòèâàì îðãàíèçàöèè, îöåíêà óÿçâèìîñòè ñîîòâåòñòâóþùèõ àêòèâîâ è âåðîÿòíîñòè âîçíèêíîâåíèÿ óãðîç,
à òàêæå îöåíêà âîçìîæíûõ ïîñëåäñòâèé.
IV
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
Âî-âòîðûõ, þðèäè÷åñêèå, çàêîíîäàòåëüíûå, ðåãóëèðóþùèå è äîãîâîðíûå òðåáîâàíèÿ, êîòîðûì
äîëæíû óäîâëåòâîðÿòü îðãàíèçàöèÿ, åå òîðãîâûå ïàðòíåðû, ïîäðÿä÷èêè è ïîñòàâùèêè óñëóã.
Â-òðåòüèõ, ñïåöèôè÷åñêèé íàáîð ïðèíöèïîâ, öåëåé è òðåáîâàíèé, ðàçðàáîòàííûõ îðãàíèçàöèåé â
îòíîøåíèè îáðàáîòêè èíôîðìàöèè.
Îöåíêà ðèñêîâ èíôîðìàöèîííîé áåçîïàñíîñòè
Òðåáîâàíèÿ ê èíôîðìàöèîííîé áåçîïàñíîñòè îïðåäåëÿþòñÿ ñ ïîìîùüþ ñèñòåìàòè÷åñêîé îöåíêè
ðèñêîâ. Ðåøåíèÿ î ðàñõîäàõ íà ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ äîëæíû
ïðèíèìàòüñÿ, èñõîäÿ èç âîçìîæíîãî óùåðáà, íàíåñåííîãî áèçíåñó â ðåçóëüòàòå íàðóøåíèé èíôîðìàöèîííîé áåçîïàñíîñòè. Ìåòîäû îöåíêè ðèñêà ìîãóò ïðèìåíÿòüñÿ êàê äëÿ âñåé îðãàíèçàöèè, òàê è äëÿ
êàêîé-ëèáî åå ÷àñòè, îòäåëüíûõ èíôîðìàöèîííûõ ñèñòåì, îïðåäåëåííûõ êîìïîíåíòîâ ñèñòåì èëè
óñëóã, à èìåííî òàì, ãäå ýòî ïðàêòè÷åñêè âûïîëíèìî è öåëåñîîáðàçíî.
Îöåíêà ðèñêà — ýòî ñèñòåìàòè÷åñêèé àíàëèç:
- âåðîÿòíîãî óùåðáà, íàíîñèìîãî áèçíåñó â ðåçóëüòàòå íàðóøåíèé èíôîðìàöèîííîé áåçîïàñíîñòè ñ ó÷åòîì âîçìîæíûõ ïîñëåäñòâèé îò ïîòåðè êîíôèäåíöèàëüíîñòè, öåëîñòíîñòè èëè äîñòóïíîñòè
èíôîðìàöèè è äðóãèõ àêòèâîâ;
- âåðîÿòíîñòè íàñòóïëåíèÿ òàêîãî íàðóøåíèÿ ñ ó÷åòîì ñóùåñòâóþùèõ óãðîç è óÿçâèìîñòåé, à òàêæå
âíåäðåííûõ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ.
Ðåçóëüòàòû ýòîé îöåíêè ïîìîãóò â îïðåäåëåíèè êîíêðåòíûõ ìåð è ïðèîðèòåòîâ â îáëàñòè óïðàâëåíèÿ ðèñêàìè, ñâÿçàííûìè ñ èíôîðìàöèîííîé áåçîïàñíîñòüþ, à òàêæå âíåäðåíèþ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ ñ öåëüþ ìèíèìèçàöèè ýòèõ ðèñêîâ.
Ìîæåò ïîòðåáîâàòüñÿ íåîäíîêðàòíîå ïðîâåäåíèå îöåíêè ðèñêîâ è âûáîðà ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ äëÿ òîãî, ÷òîáû îõâàòèòü ðàçëè÷íûå ïîäðàçäåëåíèÿ îðãàíèçàöèè èëè îòäåëüíûå èíôîðìàöèîííûå ñèñòåìû.
Âàæíî ïåðèîäè÷åñêè ïðîâîäèòü àíàëèç ðèñêîâ â îáëàñòè èíôîðìàöèîííîé áåçîïàñíîñòè è âíåäðåííûõ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ äëÿ òîãî, ÷òîáû ó÷åñòü:
- èçìåíåíèÿ òðåáîâàíèé è ïðèîðèòåòîâ áèçíåñà;
- ïîÿâëåíèå íîâûõ óãðîç è óÿçâèìîñòåé;
- ñíèæåíèå ýôôåêòèâíîñòè ñóùåñòâóþùèõ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ.
Óðîâåíü äåòàëèçàöèè òàêîãî àíàëèçà ñëåäóåò îïðåäåëÿòü â çàâèñèìîñòè îò ðåçóëüòàòîâ ïðåäûäóùèõ ïðîâåðîê è èçìåíÿþùåãîñÿ óðîâíÿ ïðèåìëåìîãî ðèñêà. Îöåíêà ðèñêîâ îáû÷íî ïðîâîäèòñÿ ñíà÷àëà
íà âåðõíåì óðîâíå, ïðè ýòîì ðåñóðñû íàïðàâëÿþòñÿ â îáëàñòè íàèáîëüøåãî ðèñêà, à çàòåì íà áîëåå
äåòàëüíîì óðîâíå, ÷òî ïîçâîëÿåò ðàññìîòðåòü ñïåöèôè÷åñêèå ðèñêè.
Âûáîð ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ
Ïîñëå òîãî, êàê îïðåäåëåíû òðåáîâàíèÿ ê èíôîðìàöèîííîé áåçîïàñíîñòè, ñëåäóåò âûáðàòü è
âíåäðèòü òàêèå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ, êîòîðûå îáåñïå÷àò ñíèæåíèå ðèñêîâ äî ïðèåìëåìîãî óðîâíÿ. Ýòè ìåðîïðèÿòèÿ ìîãóò áûòü âûáðàíû èç íàñòîÿùåãî ñòàíäàðòà,
äðóãèõ èñòî÷íèêîâ, à òàêæå ìîãóò áûòü ðàçðàáîòàíû ñîáñòâåííûå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ, óäîâëåòâîðÿþùèå ñïåöèôè÷åñêèì ïîòðåáíîñòÿì îðãàíèçàöèè. Èìååòñÿ ìíîæåñòâî ðàçëè÷íûõ ïîäõîäîâ ê óïðàâëåíèþ ðèñêàìè; â íàñòîÿùåì ñòàíäàðòå ïðèâîäÿòñÿ ïðèìåðû
íàèáîëåå ðàñïðîñòðàíåííûõ ìåòîäîâ. Îäíàêî ñëåäóåò îòìåòèòü, ÷òî íåêîòîðûå èç ìåðîïðèÿòèé ïî
óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ íåïðèìåíèìû ê îòäåëüíûì èíôîðìàöèîííûì ñèñòåìàì è
ñðåäàì è ìîãóò îêàçàòüñÿ íåïðèåìëåìûìè äëÿ êîíêðåòíûõ îðãàíèçàöèé. Íàïðèìåð, â 8.1.4 ïðèâîäèòñÿ
îïèñàíèå òîãî, êàê ìîãóò áûòü ðàñïðåäåëåíû äîëæíîñòíûå îáÿçàííîñòè, ÷òîáû ïðåäîòâðàòèòü îøèáêè è
ìîøåííè÷åñòâî.  íåáîëüøèõ îðãàíèçàöèÿõ ìîæåò îêàçàòüñÿ íåâîçìîæíûì ðàçäåëåíèå âñåõ äîëæíîñòíûõ îáÿçàííîñòåé; òîãäà äëÿ äîñòèæåíèÿ òîé æå öåëè ìîæåò áûòü íåîáõîäèìî ïðèíÿòèå àëüòåðíàòèâíûõ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ.  êà÷åñòâå äðóãîãî ïðèìåðà ìîæíî
ïðèâåñòè 9.7 è 12.1 — îñóùåñòâëåíèå ìîíèòîðèíãà èñïîëüçîâàíèÿ ñèñòåìû è ñáîðà äîêàçàòåëüñòâ.
Óêàçàííûå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ, òàêèå, êàê ðåãèñòðàöèÿ ñîáûòèé â ñèñòåìå, ìîãóò âñòóïàòü â êîíôëèêò ñ çàêîíîäàòåëüñòâîì, äåéñòâóþùèì, íàïðèìåð, â îòíîøåíèè
çàùèòû îò âòîðæåíèÿ â ëè÷íóþ æèçíü êëèåíòîâ èëè ñîòðóäíèêîâ.
Âûáîð ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ äîëæåí îñíîâûâàòüñÿ íà
ñîîòíîøåíèè ñòîèìîñòè èõ ðåàëèçàöèè ê ýôôåêòó îò ñíèæåíèÿ ðèñêîâ è âîçìîæíûì óáûòêàì â ñëó÷àå
íàðóøåíèÿ áåçîïàñíîñòè. Òàêæå ñëåäóåò ïðèíèìàòü âî âíèìàíèå ôàêòîðû, êîòîðûå íå ìîãóò áûòü ïðåäñòàâëåíû â äåíåæíîì âûðàæåíèè, íàïðèìåð, ïîòåðþ ðåïóòàöèè.
V
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
Íåêîòîðûå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ, ïðèâåäåííûå â íàñòîÿùåì ñòàíäàðòå, ìîãóò ðàññìàòðèâàòüñÿ êàê ðóêîâîäÿùèå ïðèíöèïû äëÿ óïðàâëåíèÿ èíôîðìàöèîííîé
áåçîïàñíîñòüþ è ïðèìåíÿòüñÿ äëÿ áîëüøèíñòâà îðãàíèçàöèé. Áîëåå ïîäðîáíî òàêèå ìåðîïðèÿòèÿ ðàññìàòðèâàþòñÿ íèæå.
Îòïðàâíàÿ òî÷êà äëÿ âíåäðåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè
Îòäåëüíûå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ ìîãóò ðàññìàòðèâàòüñÿ
êàê ðóêîâîäÿùèå ïðèíöèïû äëÿ óïðàâëåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòüþ è ñëóæèòü îòïðàâíîé òî÷êîé äëÿ åå âíåäðåíèÿ. Òàêèå ìåðîïðèÿòèÿ ëèáî îñíîâûâàþòñÿ íà êëþ÷åâûõ òðåáîâàíèÿõ çàêîíîäàòåëüñòâà, ëèáî ðàññìàòðèâàþòñÿ êàê îáùåïðèíÿòàÿ ïðàêòèêà â îáëàñòè èíôîðìàöèîííîé
áåçîïàñíîñòè.
Êëþ÷åâûìè ìåðàìè êîíòðîëÿ ñ òî÷êè çðåíèÿ çàêîíîäàòåëüñòâà ÿâëÿþòñÿ:
- îáåñïå÷åíèå êîíôèäåíöèàëüíîñòè ïåðñîíàëüíûõ äàííûõ (12.1.4);
- çàùèòà ó÷åòíûõ äàííûõ îðãàíèçàöèè (12.1.3);
- ïðàâà íà èíòåëëåêòóàëüíóþ ñîáñòâåííîñòü (12.1.2).
Ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ, ðàññìàòðèâàåìûå êàê îáùåïðèíÿòàÿ ïðàêòèêà â îáëàñòè èíôîðìàöèîííîé áåçîïàñíîñòè, âêëþ÷àþò:
- íàëè÷èå äîêóìåíòà, îïèñûâàþùåãî ïîëèòèêó èíôîðìàöèîííîé áåçîïàñíîñòè (3.1);
- ðàñïðåäåëåíèå îáÿçàííîñòåé ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè (4.1.3);
- îáó÷åíèå âîïðîñàì èíôîðìàöèîííîé áåçîïàñíîñòè (6.2.1);
- èíôîðìèðîâàíèå îá èíöèäåíòàõ, ñâÿçàííûõ ñ èíôîðìàöèîííîé áåçîïàñíîñòüþ (6.3.1);
- óïðàâëåíèå íåïðåðûâíîñòüþ áèçíåñà (11.1).
Ïåðå÷èñëåííûå ìåðîïðèÿòèÿ ïðèìåíèìû äëÿ áîëüøèíñòâà îðãàíèçàöèé è èíôîðìàöèîííûõ ñðåä.
Ñëåäóåò îòìåòèòü, ÷òî, õîòÿ âñå ïðèâåäåííûå â íàñòîÿùåì ñòàíäàðòå ìåðîïðèÿòèÿ ÿâëÿþòñÿ âàæíûìè,
óìåñòíîñòü êàêîé-ëèáî ìåðû äîëæíà îïðåäåëÿòüñÿ â ñâåòå êîíêðåòíûõ ðèñêîâ, ñ êîòîðûìè ñòàëêèâàåòñÿ
îðãàíèçàöèÿ. Ñëåäîâàòåëüíî, íåñìîòðÿ íà òî, ÷òî âûøåîïèñàííûé ïîäõîä ðàññìàòðèâàåòñÿ êàê îòïðàâíàÿ òî÷êà äëÿ âíåäðåíèÿ ìåðîïðèÿòèé ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè, îí íå çàìåíÿåò
âûáîð ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ, îñíîâàííûé íà îöåíêå ðèñêîâ.
Âàæíåéøèå ôàêòîðû óñïåõà
Ïðàêòèêà ïîêàçûâàåò, ÷òî äëÿ óñïåøíîãî âíåäðåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè â îðãàíèçàöèè
ðåøàþùèìè ÿâëÿþòñÿ ñëåäóþùèå ôàêòîðû:
- ñîîòâåòñòâèå öåëåé, ïîëèòèê è ïðîöåäóð èíôîðìàöèîííîé áåçîïàñíîñòè öåëÿì áèçíåñà;
- ñîãëàñîâàííîñòü ïîäõîäà ê âíåäðåíèþ ñèñòåìû áåçîïàñíîñòè ñ êîðïîðàòèâíîé êóëüòóðîé;
- âèäèìàÿ ïîääåðæêà è çàèíòåðåñîâàííîñòü ñî ñòîðîíû ðóêîâîäñòâà;
- ÷åòêîå ïîíèìàíèå òðåáîâàíèé áåçîïàñíîñòè, îöåíêà ðèñêîâ è óïðàâëåíèå ðèñêàìè;
- îáåñïå÷åíèå ïîíèìàíèÿ íåîáõîäèìîñòè ïðèìåíåíèÿ ìåð èíôîðìàöèîííîé áåçîïàñíîñòè ðóêîâîäñòâîì è ñîòðóäíèêàìè îðãàíèçàöèè;
- ïåðåäà÷à èíñòðóêöèé â îòíîøåíèè ïîëèòèêè èíôîðìàöèîííîé áåçîïàñíîñòè è ñîîòâåòñòâóþùèõ
ñòàíäàðòîâ âñåì ñîòðóäíèêàì è êîíòðàãåíòàì;
- îáåñïå÷åíèå íåîáõîäèìîãî îáó÷åíèÿ è ïîäãîòîâêè;
- âñåñòîðîííÿÿ è ñáàëàíñèðîâàííàÿ ñèñòåìà èçìåðÿåìûõ ïîêàçàòåëåé, èñïîëüçóåìûõ äëÿ îöåíêè
ýôôåêòèâíîñòè óïðàâëåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòüþ è ïðåäëîæåíèé ïî åå óëó÷øåíèþ, ïîñòóïèâøèõ îò èñïîëíèòåëåé.
Ðàçðàáîòêà ñîáñòâåííûõ ðóêîâîäñòâ îðãàíèçàöèè
Íàñòîÿùèé ñòàíäàðò äîëæåí ðàñöåíèâàòüñÿ êàê îòïðàâíàÿ òî÷êà äëÿ ðàçðàáîòêè ðóêîâîäñòâà ïîä
êîíêðåòíûå íóæäû îðãàíèçàöèè. Íå âñå èíñòðóêöèè è ìåðîïðèÿòèÿ, ïðèâåäåííûå â íàñòîÿùåì ñòàíäàðòå, ìîãóò áûòü ïðèìåíèìûìè.
Áîëåå òîãî, ìîãóò ïîòðåáîâàòüñÿ äîïîëíèòåëüíûå ìåðû, íå âêëþ÷åííûå â íàñòîÿùèé ñòàíäàðò. Â
ýòîì ñëó÷àå ìîæåò áûòü ïîëåçíûì ñîõðàíåíèå ïåðåêðåñòíûõ ññûëîê, êîòîðûå îáëåã÷àò ïðîâåðêó ñîîòâåòñòâèÿ, ïðîâîäèìóþ àóäèòîðàìè è ïàðòíåðàìè ïî áèçíåñó.
VI
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
Í À Ö È Î Í À Ë Ü Í Û É
Ñ Ò À Í Ä À Ð Ò
Ð Î Ñ Ñ È É Ñ Ê Î É
Ô Å Ä Å Ð À Ö È È
Èíôîðìàöèîííàÿ òåõíîëîãèÿ
ÏÐÀÊÒÈ×ÅÑÊÈÅ ÏÐÀÂÈËÀ ÓÏÐÀÂËÅÍÈß ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÜÞ
Information technology. Code of practice for information
security management
Äàòà ââåäåíèÿ — 2007—01—01
1 Îáëàñòü ïðèìåíåíèÿ
Íàñòîÿùèé ñòàíäàðò óñòàíàâëèâàåò ðåêîìåíäàöèè ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ ëèöàì, îòâåòñòâåííûì çà ïëàíèðîâàíèå, ðåàëèçàöèþ èëè ïîääåðæêó ðåøåíèé áåçîïàñíîñòè â îðãàíèçàöèè. Îí ïðåäíàçíà÷åí äëÿ îáåñïå÷åíèÿ îáùèõ îñíîâ äëÿ ðàçðàáîòêè ñòàíäàðòîâ áåçîïàñíîñòè è
âûáîðà ïðàêòè÷åñêèõ ìåðîïðèÿòèé ïî óïðàâëåíèþ áåçîïàñíîñòüþ â îðãàíèçàöèè, à òàêæå â èíòåðåñàõ
îáåñïå÷åíèÿ äîâåðèÿ â äåëîâûõ îòíîøåíèÿõ ìåæäó îðãàíèçàöèÿìè. Ðåêîìåíäàöèè íàñòîÿùåãî ñòàíäàðòà ñëåäóåò âûáèðàòü è èñïîëüçîâàòü â ñîîòâåòñòâèè ñ äåéñòâóþùèì çàêîíîäàòåëüñòâîì.
2 Òåðìèíû è îïðåäåëåíèÿ
 íàñòîÿùåì ñòàíäàðòå ïðèìåíåíû ñëåäóþùèå òåðìèíû ñ ñîîòâåòñòâóþùèìè îïðåäåëåíèÿìè:
2.1 èíôîðìàöèîííàÿ áåçîïàñíîñòü: Çàùèòà êîíôèäåíöèàëüíîñòè, öåëîñòíîñòè è äîñòóïíîñòè
èíôîðìàöèè.
Ïðèìå÷àíèÿ
1 êîíôèäåíöèàëüíîñòü: Îáåñïå÷åíèå äîñòóïà ê èíôîðìàöèè òîëüêî àâòîðèçîâàííûì ïîëüçîâàòåëÿì.
2 öåëîñòíîñòü: Îáåñïå÷åíèå äîñòîâåðíîñòè è ïîëíîòû èíôîðìàöèè è ìåòîäîâ åå îáðàáîòêè.
3 äîñòóïíîñòü: Îáåñïå÷åíèå äîñòóïà ê èíôîðìàöèè è ñâÿçàííûì ñ íåé àêòèâàì àâòîðèçîâàííûõ ïîëüçîâàòåëåé ïî ìåðå íåîáõîäèìîñòè.
2.2 îöåíêà ðèñêîâ: Îöåíêà óãðîç, èõ ïîñëåäñòâèé, óÿçâèìîñòè èíôîðìàöèè è ñðåäñòâ åå îáðàáîòêè, à òàêæå âåðîÿòíîñòè èõ âîçíèêíîâåíèÿ.
2.3 óïðàâëåíèå ðèñêàìè: Ïðîöåññ âûÿâëåíèÿ, êîíòðîëÿ è ìèíèìèçàöèè èëè óñòðàíåíèÿ ðèñêîâ
áåçîïàñíîñòè, îêàçûâàþùèõ âëèÿíèå íà èíôîðìàöèîííûå ñèñòåìû, â ðàìêàõ äîïóñòèìûõ çàòðàò.
3 Ïîëèòèêà áåçîïàñíîñòè
3.1 Ïîëèòèêà èíôîðìàöèîííîé áåçîïàñíîñòè
Öåëü: îáåñïå÷åíèå ðåøåíèÿ âîïðîñîâ èíôîðìàöèîííîé áåçîïàñíîñòè è âîâëå÷åíèå âûñøåãî
ðóêîâîäñòâà îðãàíèçàöèè â äàííûé ïðîöåññ.
Ðàçðàáîòêà è ðåàëèçàöèÿ ïîëèòèêè èíôîðìàöèîííîé áåçîïàñíîñòè îðãàíèçàöèè îñóùåñòâëÿåòñÿ
âûñøèì ðóêîâîäñòâîì ïóòåì âûðàáîòêè ÷åòêîé ïîçèöèè â ðåøåíèè âîïðîñîâ èíôîðìàöèîííîé áåçîïàñíîñòè.
3.1.1 Äîêóìåíòàëüíîå îôîðìëåíèå
Ïîëèòèêà èíôîðìàöèîííîé áåçîïàñíîñòè äîëæíà áûòü óòâåðæäåíà, èçäàíà è íàäëåæàùèì îáðàçîì äîâåäåíà äî ñâåäåíèÿ âñåõ ñîòðóäíèêîâ îðãàíèçàöèè. Îíà äîëæíà óñòàíàâëèâàòü îòâåòñòâåííîñòü
1
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
ðóêîâîäñòâà, à òàêæå èçëàãàòü ïîäõîä îðãàíèçàöèè ê óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ. Êàê
ìèíèìóì, ïîëèòèêà äîëæíà âêëþ÷àòü ñëåäóþùåå:
à) îïðåäåëåíèå èíôîðìàöèîííîé áåçîïàñíîñòè, åå îáùèõ öåëåé è ñôåðû äåéñòâèÿ, à òàêæå
ðàñêðûòèå çíà÷èìîñòè áåçîïàñíîñòè êàê èíñòðóìåíòà, îáåñïå÷èâàþùåãî âîçìîæíîñòü ñîâìåñòíîãî
èñïîëüçîâàíèÿ èíôîðìàöèè;
á) èçëîæåíèå öåëåé è ïðèíöèïîâ èíôîðìàöèîííîé áåçîïàñíîñòè, ñôîðìóëèðîâàííûõ ðóêîâîäñòâîì;
â) êðàòêîå èçëîæåíèå íàèáîëåå ñóùåñòâåííûõ äëÿ îðãàíèçàöèè ïîëèòèê áåçîïàñíîñòè,
ïðèíöèïîâ, ïðàâèë è òðåáîâàíèé, íàïðèìåð:
1) ñîîòâåòñòâèå çàêîíîäàòåëüíûì òðåáîâàíèÿì è äîãîâîðíûì îáÿçàòåëüñòâàì;
2) òðåáîâàíèÿ â îòíîøåíèè îáó÷åíèÿ âîïðîñàì áåçîïàñíîñòè;
3) ïðåäîòâðàùåíèå ïîÿâëåíèÿ è îáíàðóæåíèå âèðóñîâ è äðóãîãî âðåäîíîñíîãî ïðîãðàììíîãî
îáåñïå÷åíèÿ;
4) óïðàâëåíèå íåïðåðûâíîñòüþ áèçíåñà;
5) îòâåòñòâåííîñòü çà íàðóøåíèÿ ïîëèòèêè áåçîïàñíîñòè;
ã) îïðåäåëåíèå îáùèõ è êîíêðåòíûõ îáÿçàííîñòåé ñîòðóäíèêîâ â ðàìêàõ óïðàâëåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòüþ, âêëþ÷àÿ èíôîðìèðîâàíèå îá èíöèäåíòàõ íàðóøåíèÿ èíôîðìàöèîííîé
áåçîïàñíîñòè;
ä) ññûëêè íà äîêóìåíòû, äîïîëíÿþùèå ïîëèòèêó èíôîðìàöèîííîé áåçîïàñíîñòè, íàïðèìåð,
áîëåå äåòàëüíûå ïîëèòèêè è ïðîöåäóðû áåçîïàñíîñòè äëÿ êîíêðåòíûõ èíôîðìàöèîííûõ ñèñòåì, à òàêæå
ïðàâèëà áåçîïàñíîñòè, êîòîðûì äîëæíû ñëåäîâàòü ïîëüçîâàòåëè.
Òàêàÿ ïîëèòèêà äîëæíà áûòü äîâåäåíà äî ñâåäåíèÿ âñåõ ñîòðóäíèêîâ îðãàíèçàöèè â äîñòóïíîé è
ïîíÿòíîé ôîðìå.
3.1.2 Ïåðåñìîòð è îöåíêà
Íåîáõîäèìî, ÷òîáû â îðãàíèçàöèè íàçíà÷àëîñü îòâåòñòâåííîå çà ïîëèòèêó áåçîïàñíîñòè äîëæíîñòíîå ëèöî, êîòîðîå îòâå÷àëî áû çà åå ðåàëèçàöèþ è ïåðåñìîòð â ñîîòâåòñòâèè ñ óñòàíîâëåííîé ïðîöåäóðîé. Óêàçàííàÿ ïðîöåäóðà äîëæíà îáåñïå÷èâàòü îñóùåñòâëåíèå ïåðåñìîòðà ïîëèòèêè
èíôîðìàöèîííîé áåçîïàñíîñòè â ñîîòâåòñòâèè ñ èçìåíåíèÿìè, âëèÿþùèìè íà îñíîâó ïåðâîíà÷àëüíîé
îöåíêè ðèñêà, íàïðèìåð, ïóòåì âûÿâëåíèÿ ñóùåñòâåííûõ èíöèäåíòîâ íàðóøåíèÿ èíôîðìàöèîííîé
áåçîïàñíîñòè, ïîÿâëåíèå íîâûõ óÿçâèìîñòåé èëè èçìåíåíèÿ îðãàíèçàöèîííîé èëè òåõíîëîãè÷åñêîé
èíôðàñòðóêòóðû. Ïåðèîäè÷åñêèå ïåðåñìîòðû äîëæíû îñóùåñòâëÿòüñÿ â ñîîòâåòñòâèè ñ óñòàíîâëåííûì
ãðàôèêîì è âêëþ÷àòü:
- ïðîâåðêó ýôôåêòèâíîñòè ïîëèòèêè, èñõîäÿ èç õàðàêòåðà, ÷èñëà è ïîñëåäñòâèé çàðåãèñòðèðîâàííûõ èíöèäåíòîâ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè;
- îïðåäåëåíèå ñòîèìîñòè ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ è èõ âëèÿíèå íà ýôôåêòèâíîñòü áèçíåñà;
- îöåíêó âëèÿíèÿ èçìåíåíèé â òåõíîëîãèÿõ.
4 Îðãàíèçàöèîííûå âîïðîñû áåçîïàñíîñòè
4.1 Îðãàíèçàöèîííàÿ èíôðàñòðóêòóðà èíôîðìàöèîííîé áåçîïàñíîñòè
Öåëü: óïðàâëåíèå èíôîðìàöèîííîé áåçîïàñíîñòüþ â îðãàíèçàöèè.
Ñòðóêòóðó óïðàâëåíèÿ ñëåäóåò ñîçäàâàòü òàê, ÷òîáû îíà ñïîñîáñòâîâàëà èíèöèàöèè è îñóùåñòâëåíèþ êîíòðîëÿ çà âíåäðåíèåì èíôîðìàöèîííîé áåçîïàñíîñòè â îðãàíèçàöèè.
Ñëåäóåò ñîçäàâàòü ñîîòâåòñòâóþùèå óïðàâëÿþùèå ñîâåòû ñ ó÷àñòèåì âûñøåãî ðóêîâîäñòâà äëÿ
óòâåðæäåíèÿ ïîëèòèêè èíôîðìàöèîííîé áåçîïàñíîñòè, íàçíà÷åíèÿ îòâåòñòâåííûõ ëèö â îáëàñòè
èíôîðìàöèîííîé áåçîïàñíîñòè, à òàêæå îñóùåñòâëåíèÿ êîîðäèíàöèè âíåäðåíèÿ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ â îðãàíèçàöèè. Ïðè íåîáõîäèìîñòè ñëåäóåò ïðåäóñìîòðåòü
íàëè÷èå ñïåöèàëèñòà ïî âîïðîñàì èíôîðìàöèîííîé áåçîïàñíîñòè âíóòðè îðãàíèçàöèè, ê êîòîðîìó
ìîãóò îáðàùàòüñÿ çàèíòåðåñîâàííûå ñîòðóäíèêè. Ñëåäóåò íàëàæèâàòü êîíòàêòû ñ âíåøíèìè ñïåöèàëèñòàìè ïî áåçîïàñíîñòè äëÿ òîãî, ÷òîáû áûòü â êóðñå îòðàñëåâûõ òåíäåíöèé, ñïîñîáîâ è ìåòîäîâ åå
îöåíêè, à òàêæå ñ öåëüþ àäåêâàòíîãî ðåàãèðîâàíèÿ íà èíöèäåíòû íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè. Ñëåäóåò ïîîùðÿòü ìíîãîïðîôèëüíûé ïîäõîä ê èíôîðìàöèîííîé áåçîïàñíîñòè, íàïðèìåð, ïóòåì
íàëàæèâàíèÿ ñîòðóäíè÷åñòâà ìåæäó ìåíåäæåðàìè, ïîëüçîâàòåëÿìè, àäìèíèñòðàòîðàìè, ðàçðàáîò÷èêàìè ïðèëîæåíèé, àóäèòîðàìè è ñîòðóäíèêàìè áåçîïàñíîñòè, à òàêæå ñïåöèàëèñòàìè â îáëàñòè ñòðàõîâàíèÿ è óïðàâëåíèÿ ðèñêàìè.
2
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
4.1.1 Óïðàâëÿþùèé ñîâåò ïî âîïðîñàì èíôîðìàöèîííîé áåçîïàñíîñòè
Îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè — ýòî îòâåòñòâåííîñòü âûñøåãî ðóêîâîäñòâà îðãàíèçàöèè, ðàçäåëÿåìàÿ âñåìè åå ÷ëåíàìè. Ïîýòîìó ïðè ôîðìèðîâàíèè ñîâåòà ïî âîïðîñàì èíôîðìàöèîííîé áåçîïàñíîñòè äîëæíû îáåñïå÷èâàòüñÿ ÷åòêîå óïðàâëåíèå è ðåàëüíàÿ ïîääåðæêà ñî ñòîðîíû
ðóêîâîäñòâà èíèöèàòèâ â îáëàñòè áåçîïàñíîñòè. Òàêîé ñîâåò äîëæåí ñïîñîáñòâîâàòü óêðåïëåíèþ áåçîïàñíîñòè â îðãàíèçàöèè ïóòåì íåïîñðåäñòâåííîãî ó÷àñòèÿ ðóêîâîäñòâà è âûäåëåíèÿ íåîáõîäèìûõ
ðåñóðñîâ. Îí ìîæåò áûòü ÷àñòüþ ñóùåñòâóþùåãî îðãàíà óïðàâëåíèÿ. Êàê ïðàâèëî, òàêîé ñîâåò
âûïîëíÿåò ñëåäóþùèå ôóíêöèè:
- óòâåðæäåíèå è ïåðåñìîòð ïîëèòèêè èíôîðìàöèîííîé áåçîïàñíîñòè è ñîîòâåòñòâóþùèõ îáÿçàííîñòåé ïî åå âûïîëíåíèþ;
- îòñëåæèâàíèå ñóùåñòâåííûõ èçìåíåíèé â âîçäåéñòâèÿõ îñíîâíûõ óãðîç èíôîðìàöèîííûì àêòèâàì;
- àíàëèç è ìîíèòîðèíã èíöèäåíòîâ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè;
- óòâåðæäåíèå îñíîâíûõ ïðîåêòîâ â îáëàñòè èíôîðìàöèîííîé áåçîïàñíîñòè.
Êðîìå ýòîãî, äîëæåí áûòü íàçíà÷åí ðóêîâîäèòåëü, îòâå÷àþùèé çà âñå âîïðîñû, ñâÿçàííûå ñ
èíôîðìàöèîííîé áåçîïàñíîñòüþ.
4.1.2 Êîîðäèíàöèÿ âîïðîñîâ èíôîðìàöèîííîé áåçîïàñíîñòè
Äëÿ êîîðäèíàöèè âíåäðåíèÿ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ â
áîëüøîé îðãàíèçàöèè ìîæåò ïîòðåáîâàòüñÿ ñîçäàíèå êîìèòåòà, âêëþ÷àþùåãî ïðåäñòàâèòåëåé ðóêîâîäñòâà çàèíòåðåñîâàííûõ ïîäðàçäåëåíèé îðãàíèçàöèè.
Êàê ïðàâèëî, òàêîé êîìèòåò:
- ñîãëàñîâûâàåò êîíêðåòíûå ôóíêöèè è îáÿçàííîñòè â îáëàñòè èíôîðìàöèîííîé áåçîïàñíîñòè â
ðàìêàõ âñåé îðãàíèçàöèè;
- ñîãëàñîâûâàåò êîíêðåòíûå ìåòîäèêè è ïðîöåäóðû èíôîðìàöèîííîé áåçîïàñíîñòè, íàïðèìåð,
òàêèå êàê îöåíêà ðèñêîâ, êëàññèôèêàöèÿ èíôîðìàöèè ñ òî÷êè çðåíèÿ òðåáîâàíèé áåçîïàñíîñòè;
- ñîãëàñîâûâàåò è îáåñïå÷èâàåò ïîääåðæêó èíèöèàòèâ è ïðîåêòîâ â îáëàñòè èíôîðìàöèîííîé
áåçîïàñíîñòè â ðàìêàõ âñåé îðãàíèçàöèè, íàïðèìåð, òàêèõ êàê ðàçðàáîòêà ïðîãðàììû ïîâûøåíèÿ îñâåäîìëåííîñòè ñîòðóäíèêîâ â îáëàñòè áåçîïàñíîñòè;
- îáåñïå÷èâàåò ó÷åò âêëþ÷åíèÿ òðåáîâàíèé áåçîïàñíîñòè âî âñå ïðîåêòû, ñâÿçàííûå ñ îáðàáîòêîé
è èñïîëüçîâàíèåì èíôîðìàöèè;
- îöåíèâàåò àäåêâàòíîñòü è êîîðäèíèðóåò âíåäðåíèå êîíêðåòíûõ ìåðîïðèÿòèé ïî óïðàâëåíèþ
èíôîðìàöèîííîé áåçîïàñíîñòüþ äëÿ íîâûõ ñèñòåì èëè óñëóã;
- ïðîâîäèò àíàëèç èíöèäåíòîâ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè;
- ñïîñîáñòâóåò äåìîíñòðàöèè ïîääåðæêè èíôîðìàöèîííîé áåçîïàñíîñòè ñî ñòîðîíû âûñøåãî
ðóêîâîäñòâà îðãàíèçàöèè.
4.1.3 Ðàñïðåäåëåíèå îáÿçàííîñòåé ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè
Ñëåäóåò îïðåäåëèòü îáÿçàííîñòè ïî çàùèòå îòäåëüíûõ àêòèâîâ è ïî âûïîëíåíèþ êîíêðåòíûõ ïðîöåäóð, ñâÿçàííûõ ñ èíôîðìàöèîííîé áåçîïàñíîñòüþ.
Ïîëèòèêà èíôîðìàöèîííîé áåçîïàñíîñòè (ðàçäåë 3) äîëæíà óñòàíàâëèâàòü îáùèå ïðèíöèïû è
ïðàâèëà ðàñïðåäåëåíèÿ ôóíêöèé è îáÿçàííîñòåé, ñâÿçàííûõ ñ îáåñïå÷åíèåì èíôîðìàöèîííîé áåçîïàñíîñòè â îðãàíèçàöèè. Ïîëèòèêó ñëåäóåò äîïîëíèòü, ãäå íåîáõîäèìî, áîëåå äåòàëüíûìè ðóêîâîäñòâàìè äëÿ êîíêðåòíûõ îáëàñòåé, ñèñòåì èëè óñëóã. Êðîìå ýòîãî, äîëæíà áûòü ÷åòêî îïðåäåëåíà êîíêðåòíàÿ
îòâåòñòâåííîñòü â îòíîøåíèè îòäåëüíûõ ìàòåðèàëüíûõ è èíôîðìàöèîííûõ àêòèâîâ è ïðîöåññîâ, ñâÿçàííûõ ñ èíôîðìàöèîííîé áåçîïàñíîñòüþ, íàïðèìåð, òàêèõ êàê ïëàíèðîâàíèå íåïðåðûâíîñòè áèçíåñà.
Âî ìíîãèõ îðãàíèçàöèÿõ íà ðóêîâîäèòåëÿ ñëóæáû èíôîðìàöèîííîé áåçîïàñíîñòè âîçëàãàåòñÿ
îáùàÿ îòâåòñòâåííîñòü çà ðàçðàáîòêó è âíåäðåíèå ñèñòåìû èíôîðìàöèîííîé áåçîïàñíîñòè, à òàêæå çà
îêàçàíèå ñîäåéñòâèÿ â îïðåäåëåíèè ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ.
 òî æå âðåìÿ îòâåòñòâåííîñòü çà îïðåäåëåíèå ïîäëåæàùèõ çàùèòå ðåñóðñîâ è ðåàëèçàöèþ
ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ â áîëüøèíñòâå ñëó÷àåâ âîçëàãàåòñÿ íà
ðóêîâîäèòåëåé ñðåäíåãî çâåíà. Îáùåïðèíÿòîé ïðàêòèêîé ÿâëÿåòñÿ íàçíà÷åíèå îòâåòñòâåííîãî ëèöà
(àäìèíèñòðàòîðà) äëÿ êàæäîãî èíôîðìàöèîííîãî àêòèâà, â ÷üè ïîâñåäíåâíûå îáÿçàííîñòè âõîäèò îáåñïå÷åíèå áåçîïàñíîñòè äàííîãî àêòèâà.
Àäìèíèñòðàòîð èíôîðìàöèîííûõ àêòèâîâ ìîæåò ïåðåäàâàòü ñâîè ïîëíîìî÷èÿ ïî îáåñïå÷åíèþ
áåçîïàñíîñòè êàêîìó-ëèáî ðóêîâîäèòåëþ ñðåäíåãî çâåíà èëè ïîñòàâùèêàì óñëóã. Òåì íå ìåíåå, àäìèíèñòðàòîð îñòàåòñÿ îòâåòñòâåííûì çà îáåñïå÷åíèå áåçîïàñíîñòè àêòèâà è äîëæåí áûòü â ñîñòîÿíèè
îïðåäåëèòü, ÷òî ëþáûå ïåðåäàííûå ïîëíîìî÷èÿ ðåàëèçóþòñÿ äîëæíûì îáðàçîì.
Ñëåäóåò óñòàíàâëèâàòü ãðàíèöû îòâåòñòâåííîñòè êàæäîãî ðóêîâîäèòåëÿ è âûïîëíÿòü ñëåäóþùèå
ïðàâèëà:
3
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
- ðàçëè÷íûå àêòèâû è ïðîöåññû (ïðîöåäóðû) áåçîïàñíîñòè, ñâÿçàííûå ñ êàæäîé îòäåëüíîé ñèñòåìîé, äîëæíû áûòü âûäåëåíû è ÷åòêî îïðåäåëåíû;
- íåîáõîäèìî íàçíà÷èòü îòâåòñòâåííûõ (àäìèíèñòðàòîðîâ) çà êàæäûé àêòèâ èëè ïðîöåäóðó áåçîïàñíîñòè, è äåòàëè ýòîé îòâåòñòâåííîñòè äîëæíû áûòü äîêóìåíòèðîâàíû;
- óðîâíè ïîëíîìî÷èé (àâòîðèçàöèè) äîëæíû áûòü ÿñíî îïðåäåëåíû è äîêóìåíòèðîâàíû.
Ï ð è ì å ÷ à í è å — Ïîä àâòîðèçàöèåé ïîíèìàåòñÿ îïðåäåëåíèå óðîâíåé äîñòóïà ïîëüçîâàòåëÿ ê îïðåäåëåííûì ìàññèâàì èíôîðìàöèè; â áîëåå øèðîêîì ñìûñëå — ðàçðåøåíèå îïðåäåëåííûõ äåéñòâèé.
4.1.4 Ïðîöåññ ïîëó÷åíèÿ ðàçðåøåíèÿ íà èñïîëüçîâàíèå ñðåäñòâ îáðàáîòêè èíôîðìàöèè
Íåîáõîäèìî îïðåäåëèòü ïðîöåäóðû ïîëó÷åíèÿ ðàçðåøåíèÿ íà èñïîëüçîâàíèå íîâûõ ñðåäñòâ
îáðàáîòêè èíôîðìàöèè.
Ïðè ýòîì ìîãóò îñóùåñòâëÿòüñÿ ñëåäóþùèå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ:
- íîâûå ñðåäñòâà äîëæíû áûòü ñîîòâåòñòâóþùèì îáðàçîì îäîáðåíû ñî ñòîðîíû ðóêîâîäñòâà
ïîëüçîâàòåëåé è àäìèíèñòðàòîðîâ ñðåäñòâ óïðàâëåíèÿ, àâòîðèçóþùèõ èõ öåëü èñïîëüçîâàíèÿ. Îäîáðåíèå ñëåäóåò òàêæå ïîëó÷àòü îò ìåíåäæåðà, îòâåòñòâåííîãî çà ïîääåðæàíèå ñðåäû áåçîïàñíîñòè ëîêàëüíîé èíôîðìàöèîííîé ñèñòåìû, ÷òîáû îáåñïå÷èòü óâåðåííîñòü â òîì, ÷òî âñå ñîîòâåòñòâóþùèå ïîëèòèêè
áåçîïàñíîñòè è òðåáîâàíèÿ ñîáëþäåíû;
- àïïàðàòíûå ñðåäñòâà è ïðîãðàììíîå îáåñïå÷åíèå ñëåäóåò ïðîâåðÿòü íà ñîâìåñòèìîñòü ñ äðóãèìè êîìïîíåíòàìè ñèñòåìû.
Ïðèìå÷àíèÿ
1 Îäîáðåíèå ìîæåò ïîòðåáîâàòüñÿ äëÿ ñîåäèíåíèé íåêîòîðûõ òèïîâ.
2 Èñïîëüçîâàíèå ëè÷íûõ ñðåäñòâ îáðàáîòêè èíôîðìàöèè äëÿ îáðàáîòêè ñëóæåáíîé èíôîðìàöèè è ëþáûõ
íåîáõîäèìûõ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ äîëæíî áûòü àâòîðèçîâàíî.
3 Èñïîëüçîâàíèå ëè÷íûõ ñðåäñòâ îáðàáîòêè èíôîðìàöèè íà ðàáî÷åì ìåñòå ìîæåò áûòü ïðè÷èíîé íîâûõ óÿçâèìîñòåé è, ñëåäîâàòåëüíî, äîëæíî áûòü îöåíåíî è àâòîðèçîâàíî.
Ýòè ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ îñîáåííî âàæíû â ñåòåâîé ñðåäå.
4.1.5 Êîíñóëüòàöèè ñïåöèàëèñòîâ ïî âîïðîñàì èíôîðìàöèîííîé áåçîïàñíîñòè
Êîíñóëüòàöèè ñïåöèàëèñòîâ ïî âîïðîñàì áåçîïàñíîñòè òðåáóþòñÿ ìíîãèì îðãàíèçàöèÿì.  èäåàëå, èõ äîëæåí îáåñïå÷èâàòü îïûòíûé êîíñóëüòàíò ïî èíôîðìàöèîííîé áåçîïàñíîñòè, ÿâëÿþùèéñÿ
ñîòðóäíèêîì îðãàíèçàöèè. Íî íå âñå îðãàíèçàöèè ìîãóò èìåòü â ñâîåì øòàòå ïðîôåññèîíàëà-êîíñóëüòàíòà.  òàêèõ ñëó÷àÿõ ðåêîìåíäóåòñÿ íàçíà÷åíèå âûäåëåííîãî ñîòðóäíèêà (àäìèíèñòðàòîðà) äëÿ îáîáùåíèÿ çíàíèé è îïûòà âíóòðè îðãàíèçàöèè ñ öåëüþ îáåñïå÷åíèÿ ñîãëàñîâàííîñòè è ïîääåðæêè â
ïðèíÿòèè ðåøåíèé ïî áåçîïàñíîñòè. Ýòîò ñîòðóäíèê äîëæåí òàêæå èìåòü äîñòóï ê íåîáõîäèìûì âíåøíèì êîíñóëüòàíòàì äëÿ ïîëó÷åíèÿ ïðîôåññèîíàëüíûõ êîíñóëüòàöèé ïî âîïðîñàì, âûõîäÿùèì çà ðàìêè
åãî ñîáñòâåííîé êîìïåòåíöèè.
Ïåðåä êîíñóëüòàíòàìè ïî èíôîðìàöèîííîé áåçîïàñíîñòè èëè àäìèíèñòðàòîðàìè äîëæíà áûòü
ïîñòàâëåíà çàäà÷à ïî îáåñïå÷åíèþ êîíñóëüòàöèé ïî âñåì àñïåêòàì èíôîðìàöèîííîé áåçîïàñíîñòè, â
òîì ÷èñëå è ñ ïðèâëå÷åíèåì âíåøíèõ êîíñóëüòàíòîâ. Îò êà÷åñòâà èõ îöåíêè óãðîç áåçîïàñíîñòè è ðàçðàáîòêè ðåêîìåíäàöèé îòíîñèòåëüíî ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ
ñóùåñòâåííûì îáðàçîì çàâèñèò åå ýôôåêòèâíîñòü â îðãàíèçàöèè. Äëÿ îáåñïå÷åíèÿ ìàêñèìàëüíîé
ýôôåêòèâíîñòè è ðåçóëüòàòèâíîñòè äåÿòåëüíîñòè êîíñóëüòàíòîâ (àäìèíèñòðàòîðîâ) èì äîëæíà áûòü
ïðåäîñòàâëåíà âîçìîæíîñòü íåïîñðåäñòâåííîãî äîñòóïà ê âûñøåìó ðóêîâîäñòâó îðãàíèçàöèè.
Ñ êîíñóëüòàíòîì ïî èíôîðìàöèîííîé áåçîïàñíîñòè èëè àäìèíèñòðàòîðîì ñëåäóåò ñîâåòîâàòüñÿ,
ïî âîçìîæíîñòè, íåçàìåäëèòåëüíî, â ñëó÷àå ïîäîçðåíèÿ íà âûÿâëåíèå èíöèäåíòà íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè èëè óÿçâèìîñòè áåçîïàñíîñòè äëÿ îáåñïå÷åíèÿ ïîëó÷åíèÿ êâàëèôèöèðîâàííîãî
ñîâåòà èëè âûäåëåíèÿ ðåñóðñîâ. Íåñìîòðÿ íà òî, ÷òî áîëüøèíñòâî âíóòðåííèõ ðàññëåäîâàíèé â îòíîøåíèè áåçîïàñíîñòè îáû÷íî âûïîëíÿþò ïîä êîíòðîëåì ðóêîâîäñòâà, ìîæåò áûòü öåëåñîîáðàçíûì îáðàùåíèå ê êîíñóëüòàíòó (àäìèíèñòðàòîðó) ïî èíôîðìàöèîííîé áåçîïàñíîñòè ñ öåëüþ ðàçðàáîòêè
ðåêîìåíäàöèé, à òàêæå åãî ó÷àñòèÿ â ðàññëåäîâàíèè èëè â åãî ðóêîâîäñòâå.
4.1.6 Ñîòðóäíè÷åñòâî ìåæäó îðãàíèçàöèÿìè â îáëàñòè èíôîðìàöèîííîé áåçîïàñíîñòè
Ñîîòâåòñòâóþùèå êîíòàêòû ñ îðãàíàìè, îòâå÷àþùèìè çà ñîáëþäåíèå çàêîíîâ, ñ ðåãóëèðóþùèìè
îðãàíàìè, ïîñòàâùèêàìè èíôîðìàöèîííûõ óñëóã è îïåðàòîðàìè ñâÿçè ñëåäóåò ïîääåðæèâàòü äëÿ òîãî,
÷òîáû ãàðàíòèðîâàòü, ÷òî è â ñëó÷àå íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ìîæíî áûñòðî ïðåäïðèíÿòü ñîîòâåòñòâóþùèå äåéñòâèÿ è ïîëó÷èòü ïðàâèëüíûé ñîâåò. Ñ àíàëîãè÷íîé öåëüþ ñëåäóåò ðàññìàòðèâàòü ó÷àñòèå â ïðîôåññèîíàëüíûõ ñîîáùåñòâàõ è â îòðàñëåâûõ ìåðîïðèÿòèÿõ â îáëàñòè
áåçîïàñíîñòè.
4
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
Ïðè îáìåíàõ èíôîðìàöèåé ïî âîïðîñàì èíôîðìàöèîííîé áåçîïàñíîñòè ñëåäóåò îáåñïå÷èâàòü
çàùèòó êîíôèäåíöèàëüíîé èíôîðìàöèè îðãàíèçàöèè îò íåñàíêöèîíèðîâàííîãî äîñòóïà.
4.1.7 Íåçàâèñèìàÿ ïðîâåðêà (àóäèò) èíôîðìàöèîííîé áåçîïàñíîñòè
Äîêóìåíò ïîëèòèêè èíôîðìàöèîííîé áåçîïàñíîñòè (ïîäðàçäåë 3.1) óñòàíàâëèâàåò öåëè è îáÿçàííîñòè â îáëàñòè èíôîðìàöèîííîé áåçîïàñíîñòè. Åãî âûïîëíåíèå äîëæíî ïðîâåðÿòüñÿ â èíòåðåñàõ îáåñïå÷åíèÿ óâåðåííîñòè â òîì, ÷òî ðàçðàáîòàííûå â îðãàíèçàöèè ìåðîïðèÿòèÿ äîëæíûì îáðàçîì îòðàæàþò
ïîëèòèêó è ÷òî îíà ÿâëÿåòñÿ âûïîëíèìîé è ýôôåêòèâíîé (ïîäðàçäåë 12.2).
Òàêàÿ ïðîâåðêà (àóäèò) ìîæåò áûòü âûïîëíåíà âíóòðåííèì àóäèòîì, íåçàâèñèìûì ìåíåäæåðîì
èëè ñòîðîííåé îðãàíèçàöèåé, ñïåöèàëèçèðóþùåéñÿ íà òàêèõ ïðîâåðêàõ, ïðè ýòîì ñïåöèàëèñòû, ïðèâëåêàåìûå ê ïðîâåðêå, äîëæíû îáëàäàòü ñîîòâåòñòâóþùèìè íàâûêàìè è îïûòîì.
4.2 Îáåñïå÷åíèå áåçîïàñíîñòè ïðè íàëè÷èè äîñòóïà ê èíôîðìàöèîííûì ñèñòåìàì ñòîðîííèõ îðãàíèçàöèé
Öåëü: ïîääåðæèâàòü áåçîïàñíîñòü ñðåäñòâ îáðàáîòêè èíôîðìàöèè îðãàíèçàöèè è èíôîðìàöèîííûõ àêòèâîâ ïðè äîñòóïå òðåòüèõ ñòîðîí.
Äîñòóï ê ñðåäñòâàì îáðàáîòêè èíôîðìàöèè îðãàíèçàöèè òðåòüèõ ñòîðîí äîëæåí êîíòðîëèðîâàòüñÿ.
Òàì, ãäå åñòü ïîòðåáíîñòü áèçíåñà â òàêîì äîñòóïå òðåòüåé ñòîðîíû, ñëåäóåò ïðîèçâîäèòü îöåíêó
ðèñêà, îïðåäåëÿòü ïîñëåäñòâèÿ äëÿ áåçîïàñíîñòè è óñòàíàâëèâàòü òðåáîâàíèÿ ê ìåðîïðèÿòèÿì ïî
óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ. Òàêèå ìåðîïðèÿòèÿ ñëåäóåò ñîãëàñîâûâàòü è îïðåäåëÿòü â êîíòðàêòå ñ òðåòüåé ñòîðîíîé.
Êîíòðàêòû, ðàçðåøàþùèå äîñòóï òðåòüåé ñòîðîíå, äîëæíû âêëþ÷àòü ïðîöåäóðó îïðåäåëåíèÿ ïðàâ
è óñëîâèé äîñòóïà äðóãèõ ó÷àñòíèêîâ.
Íàñòîÿùèé ñòàíäàðò ìîæåò èñïîëüçîâàòüñÿ êàê îñíîâà äëÿ ñîñòàâëåíèÿ òàêèõ êîíòðàêòîâ, à òàêæå
ïðè ðàññìîòðåíèè è ïðèâëå÷åíèè ñòîðîííèõ îðãàíèçàöèé äëÿ îáðàáîòêè èíôîðìàöèè (outsourcing).
4.2.1 Îïðåäåëåíèå ðèñêîâ, ñâÿçàííûõ ñ íàëè÷èåì äîñòóïà ñòîðîííèõ ëèö è îðãàíèçàöèé ê
èíôîðìàöèîííûì ñèñòåìàì
4.2.1.1 Òèïû äîñòóïà
Îïðåäåëåíèå òèïà äîñòóïà, ïðåäîñòàâëåííîãî òðåòüåé ñòîðîíå, èìååò îñîáîå çíà÷åíèå. Íàïðèìåð, ðèñêè äîñòóïà ÷åðåç ñåòåâîå ñîåäèíåíèå îòëè÷àþòñÿ îò ðèñêîâ, ñâÿçàííûõ ñ ôèçè÷åñêèì äîñòóïîì.
Òèïàìè äîñòóïà, êîòîðûå ñëåäóåò ðàññìàòðèâàòü, ÿâëÿþòñÿ:
- ôèçè÷åñêèé — ê îôèñíûì ïîìåùåíèÿì, êîìïüþòåðíûì êîìíàòàì, ñåðâåðíûì;
- ëîãè÷åñêèé — ê áàçàì äàííûõ, èíôîðìàöèîííûì ñèñòåìàì îðãàíèçàöèè.
4.2.1.2 Îáîñíîâàíèÿ äëÿ äîñòóïà
Òðåòüåé ñòîðîíå ìîæåò áûòü ïðåäîñòàâëåí äîñòóï ïî ðÿäó ïðè÷èí. Íàïðèìåð, ñòîðîííèì êîìïàíèÿì, îêàçûâàþùèì óñëóãè îðãàíèçàöèÿì, íî íå ðàñïîëîæåííûì òåððèòîðèàëüíî â òîì æå ìåñòå, ìîæåò
áûòü ïðåäîñòàâëåí ôèçè÷åñêèé è ëîãè÷åñêèé äîñòóï, êàê, íàïðèìåð:
- ñîòðóäíèêàì òðåòüåé ñòîðîíû, îòâå÷àþùèì çà îáñëóæèâàíèå àïïàðàòíûõ ñðåäñòâ è ïðîãðàììíîãî îáåñïå÷åíèÿ, êîòîðûì íåîáõîäèì äîñòóï íà óðîâíå ñèñòåì èëè áîëåå íèçêîì óðîâíå ïðèêëàäíîé
ôóíêöèîíàëüíîñòè;
- òîðãîâûì è äåëîâûì ïàðòíåðàì, êîòîðûì ìîæåò ïîòðåáîâàòüñÿ îáìåí èíôîðìàöèåé, äîñòóï ê
èíôîðìàöèîííûì ñèñòåìàì èëè îáùèì áàçàì äàííûõ.
Èíôîðìàöèÿ îðãàíèçàöèè ìîæåò áûòü ïîäâåðæåíà ðèñêó íàðóøåíèÿ áåçîïàñíîñòè ïðè äîñòóïå
òðåòüèõ ñòîðîí ñ íåàäåêâàòíûì óïðàâëåíèåì áåçîïàñíîñòüþ. Òàì, ãäå åñòü ïðîèçâîäñòâåííàÿ íåîáõîäèìîñòü êîíòàêòîâ ñ òðåòüåé ñòîðîíîé, ñëåäóåò ïðîâîäèòü îöåíêó ðèñêà, ÷òîáû èäåíòèôèöèðîâàòü òðåáîâàíèÿ è îïðåäåëèòü ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ. Ïðè ýòîì ñëåäóåò
ïðèíèìàòü âî âíèìàíèå òèï òðåáóåìîãî äîñòóïà, öåííîñòü èíôîðìàöèè, ìåðîïðèÿòèÿ ïî óïðàâëåíèþ
èíôîðìàöèîííîé áåçîïàñíîñòüþ, èñïîëüçóåìûå òðåòüåé ñòîðîíîé, è ïîñëåäñòâèÿ ýòîãî äîñòóïà äëÿ
èíôîðìàöèîííîé áåçîïàñíîñòè îðãàíèçàöèè.
4.2.1.3 Ïîäðÿä÷èêè, âûïîëíÿþùèå ðàáîòû â ïîìåùåíèÿõ â îðãàíèçàöèè
Òðåòüè ñòîðîíû, ðàçìåùåííûå â ïîìåùåíèÿõ îðãàíèçàöèè áîëåå ñðîêà, îïðåäåëåííîãî â èõ êîíòðàêòå, ìîãóò îñëàáèòü áåçîïàñíîñòü. Êàòåãîðèè ñîòðóäíèêîâ òðåòüåé ñòîðîíû, ðàçìåùàåìûõ â ïîìåùåíèÿõ îðãàíèçàöèè:
- ñîòðóäíèêè, îñóùåñòâëÿþùèå ïîääåðæêó è ñîïðîâîæäåíèå àïïàðàòíûõ ñðåäñòâ è ïðîãðàììíîãî
îáåñïå÷åíèÿ;
- ñîòðóäíèêè, îñóùåñòâëÿþùèå óáîðêó, îáåñïå÷èâàþùèå ïèòàíèå, îõðàíó è äðóãèå óñëóãè;
- ñòóäåíòû è ëèöà, ðàáîòàþùèå ïî òðóäîâûì ñîãëàøåíèÿì;
- êîíñóëüòàíòû.
5
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
Âàæíî ïðåäóñìîòðåòü ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ, íåîáõîäèìûå äëÿ óïðàâëåíèÿ äîñòóïîì ê ñðåäñòâàì îáðàáîòêè èíôîðìàöèè òðåòüåé ñòîðîíû. Âñå òðåáîâàíèÿ
áåçîïàñíîñòè, ñâÿçàííûå ñ äîñòóïîì òðåòüåé ñòîðîíû èëè ìåðîïðèÿòèÿìè ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ, ñëåäóåò îòðàæàòü â êîíòðàêòå ñ òðåòüåé ñòîðîíîé (4.2.2). Íàïðèìåð, åñëè
ñóùåñòâóåò ñïåöèàëüíàÿ ïîòðåáíîñòü â îáåñïå÷åíèè êîíôèäåíöèàëüíîñòè èíôîðìàöèè, ñëåäóåò
çàêëþ÷èòü ñîãëàøåíèå î åå íåðàçãëàøåíèè (6.1.3).
Íåäîïóñòèìî ïðåäîñòàâëÿòü òðåòüåé ñòîðîíå äîñòóï ê èíôîðìàöèè è ñðåäñòâàì åå îáðàáîòêè äî
òåõ ïîð, ïîêà íå óñòàíîâëåíû ñîîòâåòñòâóþùèå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ è íå ïîäïèñàí êîíòðàêò, îïðåäåëÿþùèé óñëîâèÿ ïðåäîñòàâëåíèÿ ñâÿçè èëè äîñòóïà.
4.2.2 Âêëþ÷åíèå òðåáîâàíèé áåçîïàñíîñòè â äîãîâîðû ñî ñòîðîííèìè ëèöàìè è îðãàíèçàöèÿìè
Âñå äåéñòâèÿ, ñâÿçàííûå ñ ïðèâëå÷åíèåì òðåòüåé ñòîðîíû ê ñðåäñòâàì îáðàáîòêè èíôîðìàöèè
îðãàíèçàöèè, äîëæíû áûòü îñíîâàíû íà îôèöèàëüíîì êîíòðàêòå, ñîäåðæàùåì èëè ññûëàþùåìñÿ íà
íèõ, è äîëæíû îáåñïå÷èâàòüñÿ â ñîîòâåòñòâèè ñ ïîëèòèêîé è ñòàíäàðòàìè áåçîïàñíîñòè îðãàíèçàöèè.
Êîíòðàêò äîëæåí îáåñïå÷èâàòü óâåðåííîñòü â òîì, ÷òî íåò íèêàêîãî íåäîïîíèìàíèÿ ìåæäó ñòîðîíàìè.
Îðãàíèçàöèè òàêæå äîëæíû ïðåäóñìîòðåòü âîçìåùåíèå ñâîèõ âîçìîæíûõ óáûòêîâ ñî ñòîðîíû
êîíòðàãåíòà.  êîíòðàêò âêëþ÷àþòñÿ ñëåäóþùèå ïîëîæåíèÿ:
à) îáùàÿ ïîëèòèêà èíôîðìàöèîííîé áåçîïàñíîñòè;
á) çàùèòà àêòèâîâ, âêëþ÷àÿ:
1) ïðîöåäóðû ïî çàùèòå àêòèâîâ îðãàíèçàöèè, â òîì ÷èñëå èíôîðìàöèè è ïðîãðàììíîãî îáåñïå÷åíèÿ;
2) ïðîöåäóðû äëÿ îïðåäåëåíèÿ êîìïðîìåòàöèè àêòèâîâ, íàïðèìåð, âñëåäñòâèå ïîòåðè èëè
ìîäèôèêàöèè äàííûõ;
3) ìåðîïðèÿòèÿ ïî îáåñïå÷åíèþ âîçâðàùåíèÿ èëè óíè÷òîæåíèÿ èíôîðìàöèè è àêòèâîâ ïî îêîí÷àíèè êîíòðàêòà èëè â óñòàíîâëåííîå âðåìÿ â òå÷åíèå äåéñòâèÿ êîíòðàêòà;
4) öåëîñòíîñòü è äîñòóïíîñòü àêòèâîâ;
5) îãðàíè÷åíèÿ íà êîïèðîâàíèå è ðàñêðûòèå èíôîðìàöèè;
â) îïèñàíèå êàæäîé ïðåäîñòàâëÿåìîé óñëóãè;
ã) îïðåäåëåíèå íåîáõîäèìîãî è íåïðèåìëåìîãî óðîâíÿ îáñëóæèâàíèÿ;
ä) óñëîâèÿ äîñòàâêè ñîòðóäíèêîâ ê ìåñòó ðàáîòû, ïðè íåîáõîäèìîñòè;
å) ñîîòâåòñòâóþùèå îáÿçàòåëüñòâà ñòîðîí â ðàìêàõ êîíòðàêòà;
æ) îáÿçàòåëüñòâà îòíîñèòåëüíî þðèäè÷åñêèõ âîïðîñîâ, íàïðèìåð, çàêîíîäàòåëüñòâà î çàùèòå äàííûõ ñ ó÷åòîì ðàçëè÷íûõ íàöèîíàëüíûõ çàêîíîäàòåëüñòâ, îñîáåííî åñëè êîíòðàêò îòíîñèòñÿ ê
ñîòðóäíè÷åñòâó ñ îðãàíèçàöèÿìè â äðóãèõ ñòðàíàõ (12.1);
ç) ïðàâà èíòåëëåêòóàëüíîé ñîáñòâåííîñòè (IPRs) è àâòîðñêèå ïðàâà (12.1.2), à òàêæå ïðàâîâàÿ çàùèòà ëþáîé ñîâìåñòíîé ðàáîòû (6.1.3);
è) ñîãëàøåíèÿ ïî óïðàâëåíèþ äîñòóïîì, îõâàòûâàþùèå:
1) ðàçðåøåííûå ìåòîäû äîñòóïà, à òàêæå óïðàâëåíèå è èñïîëüçîâàíèå óíèêàëüíûõ èäåíòèôèêàòîðîâ, òèïà ïîëüçîâàòåëüñêèõ ID è ïàðîëåé;
2) ïðîöåññ àâòîðèçàöèè â îòíîøåíèè äîñòóïà è ïðèâèëåãèé ïîëüçîâàòåëåé;
3) òðåáîâàíèå àêòóàëèçàöèè ñïèñêà ëèö, èìåþùèõ ïðàâî èñïîëüçîâàòü ïðåäîñòàâëÿåìûå óñëóãè, à òàêæå ñîîòâåòñòâóþùåãî ñïèñêà ïðàâ è ïðèâèëåãèé;
ê) îïðåäåëåíèå èçìåðÿåìûõ ïîêàçàòåëåé ýôôåêòèâíîñòè, à òàêæå èõ ìîíèòîðèíã è ïðåäîñòàâëåíèå îò÷åòíîñòè;
ë) ïðàâî ìîíèòîðèíãà äåéñòâèé ïîëüçîâàòåëåé è áëîêèðîâêè äîñòóïà;
ì) ïðàâî ïðîâîäèòü ïðîâåðêè (àóäèò) äîãîâîðíûõ îáÿçàííîñòåé èëè äåëåãèðîâàòü ïðîâåäåíèå òàêîãî àóäèòà òðåòüåé ñòîðîíå;
í) îïðåäåëåíèå ïðîöåññà èíôîðìèðîâàíèÿ î âîçíèêàþùèõ ïðîáëåìàõ â ñëó÷àå íåïðåäâèäåííûõ îáñòîÿòåëüñòâ;
î) îáÿçàííîñòè, êàñàþùèåñÿ óñòàíîâêè è ñîïðîâîæäåíèÿ àïïàðàòíûõ ñðåäñòâ è ïðîãðàììíîãî îáåñïå÷åíèÿ;
ï) ÷åòêàÿ ñòðóêòóðà ïîäîò÷åòíîñòè è ñîãëàñîâàííûå ôîðìàòû ïðåäñòàâëåíèÿ îò÷åòîâ;
ð) ÿñíûé è îïðåäåëåííûé ïðîöåññ óïðàâëåíèÿ èçìåíåíèÿìè;
ñ) ëþáûå íåîáõîäèìûå ñïîñîáû îãðàíè÷åíèÿ ôèçè÷åñêîãî äîñòóïà è ïðîöåäóðû äëÿ îáåñïå÷åíèÿ óâåðåííîñòè â òîì, ÷òî ýòè ìåðû ýôôåêòèâíû;
ò) îáó÷åíèå ïîëüçîâàòåëÿ è àäìèíèñòðàòîðà ìåòîäàì è ïðîöåäóðàì áåçîïàñíîñòè;
ó) ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ äëÿ îáåñïå÷åíèÿ çàùèòû
îò âðåäîíîñíîãî ïðîãðàììíîãî îáåñïå÷åíèÿ (ñì. 8.3);
6
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
ô) ïðîöåäóðû îò÷åòíîñòè, óâåäîìëåíèÿ è ðàññëåäîâàíèÿ èíöèäåíòîâ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè è âûÿâëåíèÿ ñëàáûõ çâåíüåâ ñèñòåìû áåçîïàñíîñòè;
õ) ïðèâëå÷åíèå òðåòüåé ñòîðîíû âìåñòå ñ ñóáïîäðÿä÷èêàìè.
4.3 Ïðèâëå÷åíèå ñòîðîííèõ îðãàíèçàöèé ê îáðàáîòêå èíôîðìàöèè (àóòñîðñèíã)
Öåëü: îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè, êîãäà îòâåòñòâåííîñòü çà îáðàáîòêó èíôîðìàöèè ïåðåäàíà äðóãîé îðãàíèçàöèè.
Äîãîâîðåííîñòè, ñâÿçàííûå ñ ïðèâëå÷åíèåì òðåòüèõ ñòîðîí, äîëæíû ó÷èòûâàòü îöåíêè ðèñêîâ,
ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ è ïðîöåäóðû â îòíîøåíèè èíôîðìàöèîííûõ ñèñòåì, ñåòåé è/èëè íàñòîëüíûõ êîìïüþòåðîâ è äîëæíû áûòü îòðàæåíû â êîíòðàêòå.
4.3.1 Âêëþ÷åíèå òðåáîâàíèé áåçîïàñíîñòè â äîãîâîðû íà îêàçàíèå óñëóã ïî îáðàáîòêå
èíôîðìàöèè ñòîðîííèìè îðãàíèçàöèÿìè (àóòñîðñèíãó)
Òðåáîâàíèÿ áåçîïàñíîñòè â ñëó÷àå, êîãäà îðãàíèçàöèÿ ïåðåäàåò äëÿ óïðàâëåíèÿ è êîíòðîëÿ âñå
èëè íåêîòîðûå èç ñâîèõ èíôîðìàöèîííûõ ñèñòåì, ñåòåé è/èëè ïåðñîíàëüíûõ êîìïüþòåðîâ, ñëåäóåò óêàçàòü â êîíòðàêòå, ñîãëàñîâàííîì ìåæäó ñòîðîíàìè è ó÷èòûâàþùåì:
- âûïîëíåíèå òðåáîâàíèé çàêîíîäàòåëüñòâà, íàïðèìåð, â îòíîøåíèè çàùèòû äàííûõ;
- äîñòèæåíèå äîãîâîðåííîñòåé, îáåñïå÷èâàþùèõ óâåðåííîñòü â òîì, ÷òî âñå ñòîðîíû, âêëþ÷àÿ
ñóáïîäðÿä÷èêîâ, îñâåäîìëåíû î ñâîèõ îáÿçàííîñòÿõ, êàñàþùèõñÿ áåçîïàñíîñòè;
- êàê áóäóò îáåñïå÷èâàòüñÿ è òåñòèðîâàòüñÿ ïàðàìåòðû öåëîñòíîñòè è êîíôèäåíöèàëüíîñòè áèçíåñ-àêòèâîâ îðãàíèçàöèè;
- òèïû ôèçè÷åñêèõ è ëîãè÷åñêèõ ìåòîäîâ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ, èñïîëüçóåìûõ ïðè ïðåäîñòàâëåíèè íåîáõîäèìîãî äîñòóïà ê ÷óâñòâèòåëüíîé ñëóæåáíîé èíôîðìàöèè îðãàíèçàöèè ñòîðîííèì ïîëüçîâàòåëÿì;
- îáåñïå÷åíèå äîñòóïíîñòè ñåðâèñîâ â ñëó÷àå áåäñòâèÿ;
- óðîâíè ôèçè÷åñêîé áåçîïàñíîñòè, êîòîðûå äîëæíû áûòü îáåñïå÷åíû â îòíîøåíèè îáîðóäîâàíèÿ,
èñïîëüçóåìîãî â ðàìêàõ àóòñîðñèíãà;
- ïðàâî íà ïðîâåäåíèå àóäèòà.
Óñëîâèÿ, ïðèâåäåííûå â ïóíêòå 4.2.2, ñëåäóåò òàêæå ðàññìàòðèâàòü êàê ÷àñòü êîíòðàêòà. Íåîáõîäèìî, ÷òîáû êîíòðàêòîì áûëà ïðåäóñìîòðåíà âîçìîæíîñòü äàëüíåéøåé äåòàëèçàöèè è ðåàëèçàöèè òðåáîâàíèé è ïðîöåäóð áåçîïàñíîñòè â ñîãëàñîâàííîì ìåæäó ñòîðîíàìè ïëàíå ìåðîïðèÿòèé â îáëàñòè
áåçîïàñíîñòè.
Íåñìîòðÿ íà òî, ÷òî êîíòðàêòû ïî ïðèâëå÷åíèþ òðåòüèõ ñòîðîí ìîãóò âêëþ÷àòü ðÿä ñëîæíûõ âîïðîñîâ, ïðàâèëà è ðåêîìåíäàöèè ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ, âêëþ÷åííûå â íàñòîÿùèé ñòàíäàðò, äîëæíû ñëóæèòü îòïðàâíîé òî÷êîé ïðè ñîãëàñîâàíèè ñòðóêòóðû è ñîäåðæàíèÿ ïëàíà ïî
óïðàâëåíèþ áåçîïàñíîñòüþ.
5 Êëàññèôèêàöèÿ è óïðàâëåíèå àêòèâàìè
5.1 Ó÷åò àêòèâîâ
Öåëü: îáåñïå÷åíèå ñîîòâåòñòâóþùåé çàùèòû àêòèâîâ îðãàíèçàöèè.
Âñå îñíîâíûå èíôîðìàöèîííûå àêòèâû äîëæíû áûòü ó÷òåíû è çàêðåïëåíû çà îòâåòñòâåííûìè
âëàäåëüöàìè.
Ó÷åò àêòèâîâ ïîìîãàåò îáåñïå÷èâàòü óâåðåííîñòü â èõ íàäëåæàùåé çàùèòå. Íåîáõîäèìî èäåíòèôèöèðîâàòü âëàäåëüöåâ âñåõ îñíîâíûõ àêòèâîâ è îïðåäåëèòü èõ îòâåòñòâåííîñòü çà ïîääåðæàíèå ñîîòâåòñòâóþùèõ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ. Îñóùåñòâëåíèå
ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ ìîæåò áûòü äåëåãèðîâàíî, íî îòâåòñòâåííîñòü äîëæíà îñòàâàòüñÿ çà íàçíà÷åííûì âëàäåëüöåì àêòèâà.
5.1.1 Èíâåíòàðèçàöèÿ àêòèâîâ
Îïèñàíèå àêòèâîâ äàåò óâåðåííîñòü â òîì, ÷òî îáåñïå÷èâàåòñÿ ýôôåêòèâíàÿ çàùèòà àêòèâîâ, è îíî
ìîæåò òàêæå ïîòðåáîâàòüñÿ äëÿ öåëåé îáåñïå÷åíèÿ áåçîïàñíîñòè òðóäà, ñòðàõîâàíèÿ èëè ðåøåíèÿ
ôèíàíñîâûõ âîïðîñîâ (óïðàâëåíèå àêòèâàìè). Ïðîöåññ ñîñòàâëåíèÿ îïèñè àêòèâîâ — âàæíûé àñïåêò
óïðàâëåíèÿ ðèñêîì. Îðãàíèçàöèÿ äîëæíà áûòü â ñîñòîÿíèè èäåíòèôèöèðîâàòü ñâîè àêòèâû ñ ó÷åòîì èõ
îòíîñèòåëüíîé öåííîñòè è âàæíîñòè. Îñíîâûâàÿñü íà ýòîé èíôîðìàöèè, îðãàíèçàöèÿ ìîæåò îáåñïå÷èâàòü çàäàííûå óðîâíè çàùèòû, ñîîòâåòñòâóþùèå öåííîñòè è âàæíîñòè àêòèâîâ. Îïèñè ñëåäóåò ñîñòàâëÿòü è ïîääåðæèâàòü äëÿ âàæíûõ àêòèâîâ, ñâÿçàííûõ ñ êàæäîé èíôîðìàöèîííîé ñèñòåìîé. Êàæäûé
àêòèâ äîëæåí áûòü ÷åòêî èäåíòèôèöèðîâàí è êëàññèôèöèðîâàí ñ òî÷êè çðåíèÿ áåçîïàñíîñòè (5.2), åãî
âëàäåëüöû äîëæíû áûòü àâòîðèçîâàíû, à äàííûå î íèõ äîêóìåíòèðîâàíû. Êðîìå òîãî, äîëæíî áûòü óêà7
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
çàíî ôàêòè÷åñêîå ìåñòîïîëîæåíèå àêòèâà (ýòî âàæíî â ñëó÷àå âîññòàíîâëåíèÿ àêòèâîâ ïðè ïîòåðå èëè
ïîâðåæäåíèè). Ïðèìåðàìè àêòèâîâ, ñâÿçàííûõ ñ èíôîðìàöèîííûìè ñèñòåìàìè, ÿâëÿþòñÿ:
- èíôîðìàöèîííûå àêòèâû: áàçû äàííûõ è ôàéëû äàííûõ, ñèñòåìíàÿ äîêóìåíòàöèÿ, ðóêîâîäñòâà
ïîëüçîâàòåëÿ, ó÷åáíûå ìàòåðèàëû, ïðîöåäóðû ýêñïëóàòàöèè èëè ïîääåðæêè (îáñëóæèâàíèÿ), ïëàíû ïî
îáåñïå÷åíèþ íåïðåðûâíîñòè ôóíêöèîíèðîâàíèÿ èíôîðìàöèîííîãî îáåñïå÷åíèÿ, ïðîöåäóðû äåéñòâèé
ïðè ñáîÿõ, àðõèâèðîâàííàÿ èíôîðìàöèÿ;
- àêòèâû ïðîãðàììíîãî îáåñïå÷åíèÿ: ïðèêëàäíîå ïðîãðàììíîå îáåñïå÷åíèå, ñèñòåìíîå ïðîãðàììíîå îáåñïå÷åíèå, èíñòðóìåíòàëüíûå ñðåäñòâà ðàçðàáîòêè è óòèëèòû;
- ôèçè÷åñêèå àêòèâû: êîìïüþòåðíîå îáîðóäîâàíèå (ïðîöåññîðû, ìîíèòîðû, ïåðåíîñíûå êîìïüþòåðû, ìîäåìû), îáîðóäîâàíèå ñâÿçè (ìàðøðóòèçàòîðû, ÷àñòíûå àâòîìàòè÷åñêèå òåëåôîííûå ñòàíöèè ñ
âûõîäîì â ñåòü îáùåãî ïîëüçîâàíèÿ, ôàêñû, àâòîîòâåò÷èêè), ìàãíèòíûå íîñèòåëè (ëåíòû è äèñêè), äðóãîå òåõíè÷åñêîå îáîðóäîâàíèå (ýëåêòðîïèòàíèå, êîíäèöèîíåðû), ìåáåëü, ïîìåùåíèÿ;
- óñëóãè: âû÷èñëèòåëüíûå óñëóãè è óñëóãè ñâÿçè, îñíîâíûå êîììóíàëüíûå óñëóãè, íàïðèìåð, îòîïëåíèå, îñâåùåíèå, ýëåêòðîýíåðãèÿ, êîíäèöèîíèðîâàíèå.
5.2 Êëàññèôèêàöèÿ èíôîðìàöèè
Öåëü: îáåñïå÷åíèå óâåðåííîñòè â òîì, ÷òî èíôîðìàöèîííûå àêòèâû çàùèùåíû íà íàäëåæàùåì
óðîâíå.
Èíôîðìàöèþ ñëåäóåò êëàññèôèöèðîâàòü, ÷òîáû îïðåäåëèòü åå ïðèîðèòåòíîñòü, íåîáõîäèìîñòü è
ñòåïåíü åå çàùèòû.
Èíôîðìàöèÿ èìååò ðàçëè÷íûå ñòåïåíè ÷óâñòâèòåëüíîñòè è êðèòè÷íîñòè. Íåêîòîðûå âèäû èíôîðìàöèè ìîãóò òðåáîâàòü äîïîëíèòåëüíîãî óðîâíÿ çàùèòû èëè ñïåöèàëüíûõ ìåòîäîâ îáðàáîòêè. Ñèñòåìó
êëàññèôèêàöèè èíôîðìàöèè ñëåäóåò èñïîëüçîâàòü äëÿ îïðåäåëåíèÿ ñîîòâåòñòâóþùåãî ìíîæåñòâà
óðîâíåé çàùèòû è ïîòðåáíîñòè â ñïåöèàëüíûõ ìåòîäàõ îáðàáîòêè.
5.2.1 Îñíîâíûå ïðèíöèïû êëàññèôèêàöèè
Ïðè êëàññèôèêàöèè èíôîðìàöèè è ñâÿçàííûõ ñ íåé ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé
áåçîïàñíîñòüþ ñëåäóåò ó÷èòûâàòü òðåáîâàíèÿ áèçíåñà â ñîâìåñòíîì èñïîëüçîâàíèè èëè îãðàíè÷åíèè
äîñòóïà ê èíôîðìàöèè, à òàêæå ïîñëåäñòâèÿ äëÿ áèçíåñà, ñâÿçàííûå ñ òàêèìè òðåáîâàíèÿìè, íàïðèìåð,
íåàâòîðèçîâàííûé äîñòóï èëè ïîâðåæäåíèå èíôîðìàöèè. Êëàññèôèêàöèÿ èíôîðìàöèè ïîçâîëÿåò
îïðåäåëèòü, êàê ýòà èíôîðìàöèÿ äîëæíà áûòü îáðàáîòàíà è çàùèùåíà.
Èíôîðìàöèþ è âûõîäíûå îò÷åòû ñèñòåì, îáðàáàòûâàþùèõ êëàññèôèöèðîâàííûå äàííûå, ñëåäóåò îòíåñòè ê êàêîé-ëèáî êàòåãîðèè ñ òî÷êè çðåíèÿ åå öåííîñòè è ÷óâñòâèòåëüíîñòè äëÿ îðãàíèçàöèè.
Ìîæíî òàêæå îöåíèòü ñîîòâåòñòâóþùóþ èíôîðìàöèþ ñ ó÷åòîì òîãî, íàñêîëüêî îíà êðèòè÷íà äëÿ îðãàíèçàöèè, íàïðèìåð, ñ òî÷êè çðåíèÿ îáåñïå÷åíèÿ åå öåëîñòíîñòè è äîñòóïíîñòè.
Èíôîðìàöèÿ îáû÷íî ïåðåñòàåò áûòü ÷óâñòâèòåëüíîé èëè êðèòè÷íîé ê êîìïðîìåòàöèè ïî èñòå÷åíèè íåêîòîðîãî ïåðèîäà âðåìåíè, íàïðèìåð, êîãäà îíà ñòàíîâèòñÿ îáùåäîñòóïíîé. Ýòè àñïåêòû ñëåäóåò
ïðèíèìàòü âî âíèìàíèå, ïîñêîëüêó ïðèñâîåíèå ïîâûøåííîé êàòåãîðèè ìîæåò âåñòè ê íåíóæíûì äîïîëíèòåëüíûì ðàñõîäàì.  ðóêîâîäÿùèõ ïðèíöèïàõ êëàññèôèêàöèè ñëåäóåò ïðåäâèäåòü è ó÷èòûâàòü, ÷òî
êàòåãîðèÿ ëþáîãî âèäà èíôîðìàöèè íåîáÿçàòåëüíî äîëæíà áûòü ïîñòîÿííîé â òå÷åíèå âñåãî âðåìåíè —
îíà ìîæåò èçìåíÿòüñÿ â ñîîòâåòñòâèè ñ íåêîòîðîé ïðèíÿòîé ïîëèòèêîé áåçîïàñíîñòè â îðãàíèçàöèè
(9.1).
×ðåçìåðíî ñëîæíûå ñõåìû êàòåãîðèðîâàíèÿ èíôîðìàöèè ìîãóò ñòàòü îáðåìåíèòåëüíûìè è íåýêîíîìè÷íûìè äëÿ èñïîëüçîâàíèÿ èëè îêàçûâàþòñÿ íåîñóùåñòâèìûìè. Ñëåäóåò ïðîÿâëÿòü îñìîòðèòåëüíîñòü ïðè èíòåðïðåòàöèè êàòåãîðèé (ãðèôîâ) êëàññèôèêàöèè íà äîêóìåíòàõ îò äðóãèõ îðãàíèçàöèé,
êîòîðûå ìîãóò èìåòü äðóãèå îïðåäåëåíèÿ èëè ñîäåðæàíèå äëÿ òåõ æå ñàìûõ èëè ïîäîáíûõ êàòåãîðèé.
Îòâåòñòâåííîñòü çà îïðåäåëåíèå êàòåãîðèè èíôîðìàöèè (íàïðèìåð, äîêóìåíòà, çàïèñè äàííûõ
ôàéëà èëè äèñêåòû ñ äàííûìè) è ïåðèîäè÷íîñòü ïåðåñìîòðà ýòîé êàòåãîðèè äîëæíû îñòàâàòüñÿ çà
ñîçäàòåëåì, íàçíà÷åííûì âëàäåëüöåì èëè ñîáñòâåííèêîì èíôîðìàöèè.
5.2.2 Ìàðêèðîâêà è îáðàáîòêà èíôîðìàöèè
Âàæíî, ÷òîáû áûë îïðåäåëåí ñîîòâåòñòâóþùèé íàáîð ïðîöåäóð äëÿ ìàðêèðîâêè ïðè îáðàáîòêå
èíôîðìàöèè â ñîîòâåòñòâèè ñ ñèñòåìîé êëàññèôèêàöèè, ïðèíÿòîé îðãàíèçàöèåé. Ýòè ïðîöåäóðû äîëæíû îòíîñèòüñÿ ê èíôîðìàöèîííûì àêòèâàì, ïðåäñòàâëåííûì êàê â ôèçè÷åñêîé, òàê è â ýëåêòðîííîé ôîðìå. Äëÿ êàæäîé êëàññèôèêàöèè ñëåäóåò îïðåäåëÿòü ïðîöåäóðû ìàðêèðîâêè äëÿ òîãî, ÷òîáû ó÷åñòü
ñëåäóþùèå òèïû îáðàáîòêè èíôîðìàöèè:
- êîïèðîâàíèå;
- õðàíåíèå;
- ïåðåäà÷ó ïî ïî÷òå, ôàêñîì è ýëåêòðîííîé ïî÷òîé;
- ïåðåäà÷ó ãîëîñîì, âêëþ÷àÿ ìîáèëüíûé òåëåôîí, ãîëîñîâóþ ïî÷òó, àâòîîòâåò÷èêè;
8
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
- óíè÷òîæåíèå.
Ïðè îñóùåñòâëåíèè âûâîäà äàííûõ èç ñèñòåì, ñîäåðæàùèõ èíôîðìàöèþ, êîòîðàÿ êëàññèôèöèðîâàíà êàê ÷óâñòâèòåëüíàÿ èëè êðèòè÷íàÿ, ñëåäóåò èñïîëüçîâàòü ñîîòâåòñòâóþùóþ ìåòêó êëàññèôèêàöèè
(ïðè âûâîäå). Â ìàðêèðîâêå ñëåäóåò îòðàæàòü êëàññèôèêàöèþ ñîãëàñíî 5.2.1. Ñëåäóåò ìàðêèðîâàòü
íàïå÷àòàííûå îò÷åòû, ýêðàííûå ôîðìû, íîñèòåëè èíôîðìàöèè (ëåíòû, äèñêè, êîìïàêò-äèñêè, êàññåòû),
ýëåêòðîííûå ñîîáùåíèÿ è ïåðåäà÷ó ôàéëîâ.
Ôèçè÷åñêèå ìåòêè ÿâëÿþòñÿ, â îáùåì ñëó÷àå, íàèáîëåå ïîäõîäÿùåé ôîðìîé ìàðêèðîâêè. Îäíàêî
íåêîòîðûå èíôîðìàöèîííûå àêòèâû, òàêèå êàê äîêóìåíòû â ýëåêòðîííîé ôîðìå, ôèçè÷åñêè íå ìîãóò
áûòü ïðîìàðêèðîâàíû, è ïîýòîìó íåîáõîäèìî èñïîëüçîâàòü ýëåêòðîííûå àíàëîãè ìàðêèðîâêè.
6 Âîïðîñû áåçîïàñíîñòè, ñâÿçàííûå ñ ïåðñîíàëîì
6.1 Ó÷åò âîïðîñîâ áåçîïàñíîñòè â äîëæíîñòíûõ îáÿçàííîñòÿõ è ïðè íàéìå ïåðñîíàëà
Öåëü: ìèíèìèçàöèÿ ðèñêîâ îò îøèáîê, ñâÿçàííûõ ñ ÷åëîâå÷åñêèì ôàêòîðîì, âîðîâñòâà, ìîøåííè÷åñòâà, êðàæè èëè íåïðàâèëüíîãî èñïîëüçîâàíèÿ ñðåäñòâ îáðàáîòêè èíôîðìàöèè.
Îáÿçàííîñòè ïî ñîáëþäåíèþ òðåáîâàíèé áåçîïàñíîñòè ñëåäóåò ðàñïðåäåëÿòü íà ñòàäèè ïîäáîðà
ïåðñîíàëà, âêëþ÷àòü â òðóäîâûå äîãîâîðû è ïðîâîäèòü èõ ìîíèòîðèíã â òå÷åíèå âñåãî ïåðèîäà ðàáîòû
ñîòðóäíèêà.
Ñëåäóåò îñóùåñòâëÿòü ñîîòâåòñòâóþùóþ ïðîâåðêó êàíäèäàòîâ íà ðàáîòó (6.1.2), îñîáåííî ýòî
êàñàåòñÿ äîëæíîñòåé, ïðåäïîëàãàþùèõ äîñòóï ê âàæíîé èíôîðìàöèè. Âñå ñîòðóäíèêè è ïðåäñòàâèòåëè
òðåòüåé ñòîðîíû, èñïîëüçóþùèå ñðåäñòâà îáðàáîòêè èíôîðìàöèè îðãàíèçàöèè, äîëæíû ïîäïèñûâàòü
ñîãëàøåíèå î êîíôèäåíöèàëüíîñòè (íåðàçãëàøåíèè).
6.1.1 Âêëþ÷åíèå âîïðîñîâ èíôîðìàöèîííîé áåçîïàñíîñòè â äîëæíîñòíûå îáÿçàííîñòè
Ôóíêöèè (ðîëè) è îòâåòñòâåííîñòü â îáëàñòè èíôîðìàöèîííîé áåçîïàñíîñòè, êàê óñòàíîâëåíî â
ïîëèòèêå èíôîðìàöèîííîé áåçîïàñíîñòè îðãàíèçàöèè (3.1), ñëåäóåò äîêóìåíòèðîâàòü. Â äîëæíîñòíûå
èíñòðóêöèè ñëåäóåò âêëþ÷àòü êàê îáùèå îáÿçàííîñòè ïî âíåäðåíèþ èëè ñîáëþäåíèþ ïîëèòèêè áåçîïàñíîñòè, òàê è ñïåöèôè÷åñêèå îñîáåííîñòè ïî çàùèòå îïðåäåëåííûõ àêòèâîâ èëè äåéñòâèé, êàñàþùèõñÿ
áåçîïàñíîñòè.
6.1.2 Ïðîâåðêà ïåðñîíàëà ïðè íàéìå è ñîîòâåòñòâóþùàÿ ïîëèòèêà
Ïðîâåðêè ñîòðóäíèêîâ, ïðèíèìàåìûõ â ïîñòîÿííûé øòàò, ñëåäóåò âûïîëíÿòü ïî ìåðå ïîäà÷è çàÿâëåíèé î ïðèåìå íà ðàáîòó.  íèõ íåîáõîäèìî âêëþ÷àòü ñëåäóþùåå:
- íàëè÷èå ïîëîæèòåëüíûõ ðåêîìåíäàöèé, â ÷àñòíîñòè â îòíîøåíèè äåëîâûõ è ëè÷íûõ êà÷åñòâ ïðåòåíäåíòà;
- ïðîâåðêà (íà ïðåäìåò ïîëíîòû è òî÷íîñòè) ðåçþìå ïðåòåíäåíòà;
- ïîäòâåðæäåíèå çàÿâëÿåìîãî îáðàçîâàíèÿ è ïðîôåññèîíàëüíûõ êâàëèôèêàöèé;
- íåçàâèñèìàÿ ïðîâåðêà ïîäëèííîñòè äîêóìåíòîâ, óäîñòîâåðÿþùèõ ëè÷íîñòü (ïàñïîðòà èëè çàìåíÿþùåãî åãî äîêóìåíòà).
 ñëó÷àÿõ, êîãäà íîâîìó ñîòðóäíèêó íåïîñðåäñòâåííî ïîñëå ïðèåìà íà ðàáîòó èëè â åå ïðîöåññå
ïðåäñòîèò äîñòóï ê ñðåäñòâàì îáðàáîòêè âàæíîé èíôîðìàöèè, íàïðèìåð ôèíàíñîâîé èëè ñîâåðøåííî
ñåêðåòíîé èíôîðìàöèè îðãàíèçàöèè, ñëåäóåò âûïîëíèòü ñïåöèàëüíóþ «ïðîâåðêó íà äîâåðèå».  îòíîøåíèè ñîòðóäíèêîâ, èìåþùèõ çíà÷èòåëüíûå ïîëíîìî÷èÿ, ýòà ïðîâåðêà äîëæíà ïðîâîäèòüñÿ
ïåðèîäè÷åñêè.
Àíàëîãè÷íûé ïðîöåññ ïðîâåðêè ñëåäóåò îñóùåñòâëÿòü äëÿ ïîäðÿä÷èêîâ è âðåìåííîãî ïåðñîíàëà.
 òåõ ñëó÷àÿõ, êîãäà ïðèåì ñîòðóäíèêîâ îñóùåñòâëÿåòñÿ ÷åðåç êàäðîâîå àãåíòñòâî, êîíòðàêò ñ
àãåíòñòâîì äîëæåí ÷åòêî îïðåäåëÿòü îáÿçàííîñòè àãåíòñòâà ïî ïðîâåðêå ïðåòåíäåíòîâ è ïðîöåäóðàì
óâåäîìëåíèÿ, êîòîðûì îíî äîëæíî ñëåäîâàòü, åñëè ïðîâåðêà íå áûëà çàêîí÷åíà èëè åñëè ðåçóëüòàòû
äàþò îñíîâàíèÿ äëÿ ñîìíåíèÿ èëè áåñïîêîéñòâà.
Ðóêîâîäñòâó îðãàíèçàöèè ñëåäóåò îöåíèòü íåîáõîäèìûé óðîâåíü íàáëþäåíèÿ çà íîâûìè è
íåîïûòíûìè ñîòðóäíèêàìè, îáëàäàþùèìè ïðàâîì äîñòóïà ê âàæíûì ñèñòåìàì. Íåîáõîäèìî âíåäðèòü
ïðîöåäóðû ïî ïåðèîäè÷åñêîìó êîíòðîëþ è óòâåðæäåíèþ äåéñòâèé âñåõ ñîòðóäíèêîâ ñî ñòîðîíû âûøåñòîÿùèõ ðóêîâîäèòåëåé.
Ðóêîâîäèòåëÿì ñëåäóåò ó÷èòûâàòü, ÷òî ëè÷íûå ïðîáëåìû ñîòðóäíèêîâ ìîãóò ñêàçûâàòüñÿ íà èõ
ðàáîòå. Ëè÷íûå èëè ôèíàíñîâûå ïðîáëåìû ñîòðóäíèêîâ, èçìåíåíèÿ â èõ ïîâåäåíèè èëè îáðàçå æèçíè,
ïåðèîäè÷åñêàÿ ðàññåÿííîñòü è ïðèçíàêè ñòðåññà èëè äåïðåññèè ìîãóò áûòü ïðè÷èíàìè ìîøåííè÷åñòâà,
âîðîâñòâà, îøèáîê èëè äðóãèõ íàðóøåíèé áåçîïàñíîñòè. Ýòó èíôîðìàöèþ ñëåäóåò ðàññìàòðèâàòü â
ñîîòâåòñòâèè ñ äåéñòâóþùèì çàêîíîäàòåëüñòâîì.
9
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
6.1.3 Ñîãëàøåíèÿ î êîíôèäåíöèàëüíîñòè
Ñîãëàøåíèÿ î êîíôèäåíöèàëüíîñòè èëè ñîãëàøåíèÿ î íåðàçãëàøåíèè èñïîëüçóþòñÿ äëÿ óâåäîìëåíèÿ ñîòðóäíèêîâ î òîì, ÷òî èíôîðìàöèÿ ÿâëÿåòñÿ êîíôèäåíöèàëüíîé èëè ñåêðåòíîé. Ñîòðóäíèêè
îáû÷íî äîëæíû ïîäïèñûâàòü òàêîå ñîãëàøåíèå êàê íåîòúåìëåìóþ ÷àñòü óñëîâèé òðóäîâîãî äîãîâîðà.
Âðåìåííûå ñîòðóäíèêè è ïðåäñòàâèòåëè òðåòüèõ ñòîðîí, íå ïîïàäàþùèå ïîä ñòàíäàðòíûé òðóäîâîé äîãîâîð (ñîäåðæàùèé ñîãëàøåíèå î ñîáëþäåíèè êîíôèäåíöèàëüíîñòè), äîëæíû ïîäïèñûâàòü
îòäåëüíî ñîãëàøåíèå î ñîáëþäåíèè êîíôèäåíöèàëüíîñòè äî òîãî, êàê èì áóäåò ïðåäîñòàâëåí äîñòóï ê
ñðåäñòâàì îáðàáîòêè èíôîðìàöèè.
Ñîãëàøåíèÿ î ñîáëþäåíèè êîíôèäåíöèàëüíîñòè ñëåäóåò ïåðåñìàòðèâàòü ïðè èçìåíåíèè óñëîâèé
òðóäîâîãî äîãîâîðà, îñîáåííî â ñëó÷àå èçìåíåíèÿ îáÿçàííîñòåé ñîòðóäíèêà èëè èñòå÷åíèè ñðîêîâ òðóäîâûõ äîãîâîðîâ.
6.1.4 Óñëîâèÿ òðóäîâîãî ñîãëàøåíèÿ
Óñëîâèÿ òðóäîâîãî äîãîâîðà äîëæíû îïðåäåëÿòü îòâåòñòâåííîñòü ñëóæàùåãî â îòíîøåíèè èíôîðìàöèîííîé áåçîïàñíîñòè. Òàì, ãäå íåîáõîäèìî, ýòà îòâåòñòâåííîñòü äîëæíà ñîõðàíÿòüñÿ è â òå÷åíèå
îïðåäåëåííîãî ñðîêà ïîñëå óâîëüíåíèÿ ñ ðàáîòû. Íåîáõîäèìî óêàçàòü ìåðû äèñöèïëèíàðíîãî âîçäåéñòâèÿ, êîòîðûå áóäóò ïðèìåíèìû â ñëó÷àå íàðóøåíèÿ ñîòðóäíèêîì òðåáîâàíèé áåçîïàñíîñòè.
Îòâåòñòâåííîñòü è ïðàâà ñîòðóäíèêîâ, âûòåêàþùèå èç äåéñòâóþùåãî çàêîíîäàòåëüñòâà, íàïðèìåð â ÷àñòè çàêîíîâ îá àâòîðñêîì ïðàâå èëè çàêîíîäàòåëüñòâà î çàùèòå ïåðñîíàëüíûõ äàííûõ, äîëæíû
áûòü ðàçúÿñíåíû ïåðñîíàëó è âêëþ÷åíû â óñëîâèÿ òðóäîâîãî äîãîâîðà. Òàêæå äîëæíà áûòü óêàçàíà
îòâåòñòâåííîñòü â îòíîøåíèè êàòåãîðèðîâàíèÿ è óïðàâëåíèÿ äàííûìè îðãàíèçàöèè-ðàáîòîäàòåëÿ. Âñÿêèé ðàç, ïðè íåîáõîäèìîñòè, â óñëîâèÿõ òðóäîâîãî äîãîâîðà ñëåäóåò óêàçûâàòü, ÷òî ýòà îòâåòñòâåííîñòü
ðàñïðîñòðàíÿåòñÿ è íà ðàáîòó âíå ïîìåùåíèé îðãàíèçàöèè, è âíåðàáî÷åå âðåìÿ, íàïðèìåð, â ñëó÷àå
èñïîëíåíèÿ ðàáîòû íà äîìó (7.2.5 è 9.8.1).
6.2 Îáó÷åíèå ïîëüçîâàòåëåé
Öåëü: îáåñïå÷åíèå óâåðåííîñòè â îñâåäîìëåííîñòè ïîëüçîâàòåëåé îá óãðîçàõ è ïðîáëåìàõ, ñâÿçàííûõ ñ èíôîðìàöèîííîé áåçîïàñíîñòüþ, è èõ îñíàùåííîñòè âñåì íåîáõîäèìûì äëÿ ñîáëþäåíèÿ òðåáîâàíèé ïîëèòèêè áåçîïàñíîñòè îðãàíèçàöèè ïðè âûïîëíåíèè ñëóæåáíûõ îáÿçàííîñòåé.
Ïîëüçîâàòåëåé íåîáõîäèìî îáó÷àòü ïðîöåäóðàì áåçîïàñíîñòè è ïðàâèëüíîìó èñïîëüçîâàíèþ
ñðåäñòâ îáðàáîòêè èíôîðìàöèè, ÷òîáû ñâåñòè ê ìèíèìóìó âîçìîæíûå ðèñêè áåçîïàñíîñòè.
6.2.1 Îáó÷åíèå è ïîäãîòîâêà â îáëàñòè èíôîðìàöèîííîé áåçîïàñíîñòè
Âñå ñîòðóäíèêè îðãàíèçàöèè è, ïðè íåîáõîäèìîñòè, ïîëüçîâàòåëè òðåòüåé ñòîðîíû äîëæíû ïðîéòè
ñîîòâåòñòâóþùåå îáó÷åíèå è ïîëó÷àòü íà ðåãóëÿðíîé îñíîâå îáíîâëåííûå âàðèàíòû ïîëèòèê è ïðîöåäóð èíôîðìàöèîííîé áåçîïàñíîñòè, ïðèíÿòûõ â îðãàíèçàöèè. Îáó÷åíèå ñîòðóäíèêîâ äîëæíî îáåñïå÷èòü çíàíèå èìè òðåáîâàíèé áåçîïàñíîñòè, îòâåòñòâåííîñòè â ñîîòâåòñòâèè ñ çàêîíîäàòåëüñòâîì,
ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ, à òàêæå çíàíèå ïðàâèëüíîãî èñïîëüçîâàíèÿ ñðåäñòâ îáðàáîòêè èíôîðìàöèè, íàïðèìåð ïðîöåäóð ðåãèñòðàöèè â ñèñòåìàõ, èñïîëüçîâàíèÿ ïàêåòîâ ïðîãðàìì, ïðåæäå ÷åì èì áóäåò ïðåäîñòàâëåí äîñòóï ê èíôîðìàöèè èëè óñëóãàì.
6.3 Ðåàãèðîâàíèå íà èíöèäåíòû íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè è ñáîè
Öåëü: ñâåäåíèå ê ìèíèìóìó óùåðáà îò èíöèäåíòîâ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè è
ñáîåâ, à òàêæå îñóùåñòâëåíèå ìîíèòîðèíãà è ðåàãèðîâàíèå ïî ñëó÷àÿì èíöèäåíòîâ.
Îá èíöèäåíòàõ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ñëåäóåò èíôîðìèðîâàòü ðóêîâîäñòâî â
ñîîòâåòñòâèè ñ óñòàíîâëåííûì ïîðÿäêîì, ïî âîçìîæíîñòè, íåçàìåäëèòåëüíî.
Âñå ñîòðóäíèêè è ïîäðÿä÷èêè äîëæíû áûòü îñâåäîìëåíû î ïðîöåäóðàõ èíôîðìèðîâàíèÿ î ðàçëè÷íûõ òèïàõ èíöèäåíòîâ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè (íàðóøåíèå áåçîïàñíîñòè, óãðîçà,
óÿçâèìîñòü ñèñòåìû èëè ñáîé), êîòîðûå ìîãëè áû îêàçàòü íåãàòèâíîå âëèÿíèå íà áåçîïàñíîñòü àêòèâîâ
îðãàíèçàöèè. Ñîòðóäíèêè è ïîäðÿä÷èêè äîëæíû íåìåäëåííî ñîîáùàòü î ëþáûõ íàáëþäàåìûõ èëè ïðåäïîëàãàåìûõ èíöèäåíòàõ îïðåäåëåííîìó êîíòàêòíîìó ëèöó èëè àäìèíèñòðàòîðó áåçîïàñíîñòè.  îðãàíèçàöèè äîëæíû áûòü óñòàíîâëåíû ìåðû äèñöèïëèíàðíîé îòâåòñòâåííîñòè ñîòðóäíèêîâ, íàðóøàþùèõ
òðåáîâàíèÿ áåçîïàñíîñòè. Äëÿ òîãî ÷òîáû èìåòü âîçìîæíîñòü ðåàãèðîâàòü íà èíöèäåíòû íàðóøåíèÿ
èíôîðìàöèîííîé áåçîïàñíîñòè äîëæíûì îáðàçîì, íåîáõîäèìî ñîáèðàòü ñâèäåòåëüñòâà è
äîêàçàòåëüñòâà âîçìîæíî áûñòðåå ïîñëå îáíàðóæåíèÿ èíöèäåíòà (12.1.7).
6.3.1 Èíôîðìèðîâàíèå îá èíöèäåíòàõ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè
Îá èíöèäåíòàõ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ñëåäóåò èíôîðìèðîâàòü ðóêîâîäñòâî â
ñîîòâåòñòâèè ñ óñòàíîâëåííûì ïîðÿäêîì, ïî âîçìîæíîñòè, íåçàìåäëèòåëüíî.
Íåîáõîäèìî âíåäðèòü ôîðìàëèçîâàííóþ ïðîöåäóðó èíôîðìèðîâàíèÿ îá èíöèäåíòàõ, à òàêæå ïðîöåäóðó ðåàãèðîâàíèÿ íà èíöèäåíòû, óñòàíàâëèâàþùèå äåéñòâèÿ, êîòîðûå äîëæíû áûòü ïðåäïðèíÿòû
10
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
ïîñëå ïîëó÷åíèÿ ñîîáùåíèÿ îá èíöèäåíòå. Âñå ñîòðóäíèêè è ïîäðÿä÷èêè äîëæíû áûòü îçíàêîìëåíû ñ
ïðîöåäóðîé èíôîðìèðîâàíèÿ îá èíöèäåíòàõ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè, à òàêæå ïðîèíôîðìèðîâàíû î íåîáõîäèìîñòè íåçàìåäëèòåëüíîãî ñîîáùåíèÿ îá èíöèäåíòàõ. Íåîáõîäèìî òàêæå
ïðåäóñìîòðåòü ïðîöåäóðû îáðàòíîé ñâÿçè ïî ðåçóëüòàòàì ðåàãèðîâàíèÿ íà èíöèäåíòû íàðóøåíèÿ
èíôîðìàöèîííîé áåçîïàñíîñòè. Èíôîðìàöèÿ îá èíöèäåíòàõ ìîæåò èñïîëüçîâàòüñÿ ñ öåëüþ ïîâûøåíèÿ îñâåäîìëåííîñòè ïîëüçîâàòåëåé (6.2), ïîñêîëüêó ïîçâîëÿåò äåìîíñòðèðîâàòü íà êîíêðåòíûõ ïðèìåðàõ âîçìîæíûå ïîñëåäñòâèÿ èíöèäåíòîâ, ðåàãèðîâàíèå íà íèõ, à òàêæå ñïîñîáû èõ èñêëþ÷åíèÿ â
áóäóùåì (12.1.7).
6.3.2 Èíôîðìèðîâàíèå î ïðîáëåìàõ áåçîïàñíîñòè
Îò ïîëüçîâàòåëåé èíôîðìàöèîííûõ ñåðâèñîâ íåîáõîäèìî òðåáîâàòü, ÷òîáû îíè îáðàùàëè âíèìàíèå è ñîîáùàëè î ëþáûõ çàìå÷åííûõ èëè ïðåäïîëàãàåìûõ íåäîñòàòêàõ è óãðîçàõ â îáëàñòè áåçîïàñíîñòè â ñèñòåìàõ èëè ñåðâèñàõ. Îíè äîëæíû íåìåäëåííî ñîîáùàòü îá ýòèõ ïðè÷èíàõ äëÿ ïðèíÿòèÿ ðåøåíèé
ñâîåìó ðóêîâîäñòâó èëè íåïîñðåäñòâåííî ïîñòàâùèêó óñëóã. Íåîáõîäèìî èíôîðìèðîâàòü ïîëüçîâàòåëåé, ÷òî îíè íå äîëæíû íè ïðè êàêèõ îáñòîÿòåëüñòâàõ ñàìîñòîÿòåëüíî èñêàòü ïîäòâåðæäåíèÿ ïîäîçðåâàåìîìó íåäîñòàòêó â ñèñòåìå áåçîïàñíîñòè. Ýòî òðåáîâàíèå ïðåäúÿâëÿåòñÿ â èíòåðåñàõ ñàìèõ
ïîëüçîâàòåëåé, ïîñêîëüêó òåñòèðîâàíèå ñëàáûõ ìåñò çàùèòû ìîæåò áûòü èíòåðïðåòèðîâàíî êàê
íåïðàâîìî÷íîå èñïîëüçîâàíèå ñèñòåìû.
6.3.3 Èíôîðìèðîâàíèå î ñáîÿõ ïðîãðàììíîãî îáåñïå÷åíèÿ
Äëÿ èíôîðìèðîâàíèÿ î ñáîÿõ ïðîãðàììíîãî îáåñïå÷åíèÿ íåîáõîäèìû ñîîòâåòñòâóþùèå ïðîöåäóðû. Ïðè ýòîì äîëæíû ïðåäóñìàòðèâàòüñÿ ñëåäóþùèå äåéñòâèÿ:
- ñèìïòîìû ïðîáëåìû è ëþáûå ñîîáùåíèÿ, ïîÿâëÿþùèåñÿ íà ýêðàíå, äîëæíû ôèêñèðîâàòüñÿ;
- ïî âîçìîæíîñòè, êîìïüþòåð íåîáõîäèìî èçîëèðîâàòü è ïîëüçîâàíèå èì ïðåêðàòèòü. Î ïðîáëåìå
ñëåäóåò íåìåäëåííî èçâåñòèòü ñîîòâåòñòâóþùåå êîíòàêòíîå ëèöî èëè àäìèíèñòðàòîðà.  ñëó÷àå íåîáõîäèìîñòè ïðîâåñòè èññëåäîâàíèÿ îáîðóäîâàíèÿ, êîòîðîå äîëæíî áûòü îòñîåäèíåíî îò âñåõ ñåòåé îðãàíèçàöèè. Äèñêåòû íå ñëåäóåò ïåðåäàâàòü äëÿ èñïîëüçîâàíèÿ â äðóãèõ êîìïüþòåðàõ;
- î ôàêòå ñáîÿ ïðîãðàììíîãî îáåñïå÷åíèÿ ñëåäóåò íåìåäëåííî èçâåùàòü ðóêîâîäèòåëÿ ñëóæáû
èíôîðìàöèîííîé áåçîïàñíîñòè.
Ïîëüçîâàòåëè íå äîëæíû ïûòàòüñÿ ñàìîñòîÿòåëüíî óäàëèòü ïîäîçðèòåëüíîå ïðîãðàììíîå îáåñïå÷åíèå, åñëè îíè íå óïîëíîìî÷åíû íà ýòî. Ëèêâèäèðîâàòü ïîñëåäñòâèÿ ñáîåâ äîëæåí ñîîòâåòñòâåííî
îáó÷åííûé ïåðñîíàë.
6.3.4 Èçâëå÷åíèå óðîêîâ èç èíöèäåíòîâ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè
Íåîáõîäèìî óñòàíîâèòü ïîðÿäîê ìîíèòîðèíãà è ðåãèñòðàöèè èíöèäåíòîâ è ñáîåâ â îòíîøåíèè èõ
÷èñëà, òèïîâ, ïàðàìåòðîâ, à òàêæå ñâÿçàííûõ ñ ýòèì çàòðàò. Ýòó èíôîðìàöèþ ñëåäóåò èñïîëüçîâàòü äëÿ
èäåíòèôèêàöèè ïîâòîðÿþùèõñÿ èëè çíà÷èòåëüíûõ èíöèäåíòîâ èëè ñáîåâ. Äàííàÿ èíôîðìàöèÿ ìîæåò
óêàçûâàòü íà íåîáõîäèìîñòü â ñîâåðøåíñòâîâàíèè ñóùåñòâóþùèõ èëè âíåäðåíèè äîïîëíèòåëüíûõ
ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ ñ öåëüþ ìèíèìèçàöèè âåðîÿòíîñòè ïîÿâëåíèÿ èíöèäåíòîâ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè, ñíèæåíèÿ âîçìîæíîãî óùåðáà è ðàñõîäîâ â áóäóùåì, êðîìå òîãî, äàííóþ èíôîðìàöèþ ñëåäóåò ó÷èòûâàòü ïðè ïåðåñìîòðå ïîëèòèêè
èíôîðìàöèîííîé áåçîïàñíîñòè (3.1.2).
6.3.5 Ïðîöåññ óñòàíîâëåíèÿ äèñöèïëèíàðíîé îòâåòñòâåííîñòè
Äîëæíû ñóùåñòâîâàòü ôîðìàëèçîâàííûå ïðîöåäóðû, óñòàíàâëèâàþùèå äèñöèïëèíàðíóþ îòâåòñòâåííîñòü ñîòðóäíèêîâ, íàðóøèâøèõ ïîëèòèêó è ïðîöåäóðû áåçîïàñíîñòè îðãàíèçàöèè (6.1.4 è, â îòíîøåíèè ñâèäåòåëüñòâ, 12.1.7). Òàêèå ïðîöåäóðû ìîãóò îêàçûâàòü ñäåðæèâàþùåå âîçäåéñòâèå íà
ñîòðóäíèêîâ, êîòîðûå ñêëîííû ê èãíîðèðîâàíèþ ïðîöåäóð îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè. Êðîìå òîãî, ïîäîáíûå ïðîöåäóðû ïðèçâàíû îáåñïå÷èòü êîððåêòíîå è ñïðàâåäëèâîå ðàññìîòðåíèå
äåë ñîòðóäíèêîâ, êîòîðûå ïîäîçðåâàþòñÿ â ñåðüåçíûõ èëè ðåãóëÿðíûõ íàðóøåíèÿõ òðåáîâàíèé
áåçîïàñíîñòè.
7 Ôèçè÷åñêàÿ çàùèòà è çàùèòà îò âîçäåéñòâèé îêðóæàþùåé ñðåäû
7.1 Îõðàíÿåìûå çîíû
Öåëü: ïðåäîòâðàùåíèå íåàâòîðèçîâàííîãî äîñòóïà, ïîâðåæäåíèÿ è âîçäåéñòâèÿ â îòíîøåíèè
ïîìåùåíèé è èíôîðìàöèè îðãàíèçàöèè.
Ñðåäñòâà îáðàáîòêè êðèòè÷íîé èëè âàæíîé ñëóæåáíîé èíôîðìàöèè íåîáõîäèìî ðàçìåùàòü â
çîíàõ áåçîïàñíîñòè, îáîçíà÷åííûõ îïðåäåëåííûì ïåðèìåòðîì áåçîïàñíîñòè, îáëàäàþùèì ñîîòâåòñòâóþùèìè çàùèòíûìè áàðüåðàìè è ñðåäñòâàìè êîíòðîëÿ ïðîíèêíîâåíèÿ. Ýòè çîíû äîëæíû áûòü ôèçè÷åñêè çàùèùåíû îò íåàâòîðèçîâàííîãî äîñòóïà, ïîâðåæäåíèÿ è âîçäåéñòâèÿ.
11
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
Óðîâåíü çàùèùåííîñòè äîëæåí áûòü ñîðàçìåðåí ñ èäåíòèôèöèðîâàííûìè ðèñêàìè. Ñ öåëüþ
ìèíèìèçàöèè ðèñêà íåàâòîðèçîâàííîãî äîñòóïà èëè ïîâðåæäåíèÿ áóìàæíûõ äîêóìåíòîâ, íîñèòåëåé
äàííûõ è ñðåäñòâ îáðàáîòêè èíôîðìàöèè, ðåêîìåíäóåòñÿ âíåäðèòü ïîëèòèêó «÷èñòîãî ñòîëà» è «÷èñòîãî
ýêðàíà».
7.1.1 Ïåðèìåòð îõðàíÿåìîé çîíû
Ôèçè÷åñêàÿ çàùèòà ìîæåò áûòü äîñòèãíóòà ñîçäàíèåì íåñêîëüêèõ ôèçè÷åñêèõ áàðüåðîâ (ïðåãðàä)
âîêðóã ïîìåùåíèé êîìïàíèè è ñðåäñòâ îáðàáîòêè èíôîðìàöèè. Áàðüåðû óñòàíàâëèâàþò îòäåëüíûå
ïåðèìåòðû áåçîïàñíîñòè, êàæäûé èç êîòîðûõ îáåñïå÷èâàåò óñèëåíèå çàùèòû â öåëîì. Îðãàíèçàöèÿì
ñëåäóåò èñïîëüçîâàòü ïåðèìåòðû áåçîïàñíîñòè äëÿ çàùèòû çîí ðàñïîëîæåíèÿ ñðåäñòâ îáðàáîòêè
èíôîðìàöèè (7.1.3). Ïåðèìåòð áåçîïàñíîñòè — ýòî ãðàíèöà, ñîçäàþùàÿ áàðüåð, íàïðèìåð, ïðîõîäíàÿ,
îáîðóäîâàííàÿ ñðåäñòâàìè êîíòðîëÿ âõîäà (âúåçäà) ïî èäåíòèôèêàöèîííûì êàðòî÷êàì èëè ñîòðóäíèê
íà ñòîéêå ðåãèñòðàöèè. Ðàñïîëîæåíèå è óðîâåíü çàùèòû (ñòîéêîñòè) êàæäîãî áàðüåðà çàâèñÿò îò ðåçóëüòàòîâ îöåíêè ðèñêîâ.
Ðåêîìåíäóåòñÿ ðàññìàòðèâàòü è âíåäðÿòü ïðè íåîáõîäèìîñòè ñëåäóþùèå ìåðîïðèÿòèÿ ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè:
- ïåðèìåòð áåçîïàñíîñòè äîëæåí áûòü ÷åòêî îïðåäåëåí;
- ïåðèìåòð çäàíèÿ èëè ïîìåùåíèé, ãäå ðàñïîëîæåíû ñðåäñòâà îáðàáîòêè èíôîðìàöèè, äîëæåí
áûòü ôèçè÷åñêè ñïëîøíûì (òî åñòü íå äîëæíî áûòü íèêàêèõ ïðîìåæóòêîâ â ïåðèìåòðå èëè ìåñò, ÷åðåç
êîòîðûå ìîæíî áûëî áû ëåãêî ïðîíèêíóòü). Âíåøíèå ñòåíû ïîìåùåíèé äîëæíû èìåòü äîñòàòî÷íî ïðî÷íóþ êîíñòðóêöèþ, à âñå âíåøíèå äâåðè äîëæíû áûòü ñîîòâåòñòâóþùèì îáðàçîì çàùèùåíû îò íåàâòîðèçîâàííîãî äîñòóïà, íàïðèìåð, îñíàùåíû óñòðîéñòâàìè êîíòðîëÿ äîñòóïà, øëàãáàóìàìè,
ñèãíàëèçàöèåé, çàìêàìè è ò.ï.;
- äîëæíà áûòü âûäåëåííàÿ è óêîìïëåêòîâàííàÿ ïåðñîíàëîì çîíà ðåãèñòðàöèè ïîñåòèòåëåé èëè
äîëæíû ñóùåñòâîâàòü äðóãèå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ ôèçè÷åñêèì äîñòóïîì â ïîìåùåíèÿ èëè çäàíèÿ. Äîñòóï â ïîìåùåíèÿ è çäàíèÿ äîëæåí áûòü ïðåäîñòàâëåí òîëüêî àâòîðèçîâàííîìó ïåðñîíàëó;
- ôèçè÷åñêèå áàðüåðû, â ñëó÷àå íåîáõîäèìîñòè, äîëæíû áûòü ðàñøèðåíû îò ïîëà äî ïîòîëêà, äëÿ
ïðåäîòâðàùåíèÿ íåàâòîðèçîâàííûõ ïðîíèêíîâåíèé, à òàêæå èñêëþ÷åíèÿ çàãðÿçíåíèÿ îêðóæàþùåé ñðåäû â ñëó÷àå ïîæàðà èëè çàòîïëåíèé;
- âñå ïðîòèâîïîæàðíûå âûõîäû â ïåðèìåòðå áåçîïàñíîñòè äîëæíû áûòü îáîðóäîâàíû àâàðèéíîé
ñèãíàëèçàöèåé è ïëîòíî çàêðûâàòüñÿ.
7.1.2 Êîíòðîëü äîñòóïà â îõðàíÿåìûå çîíû
Çîíû èíôîðìàöèîííîé áåçîïàñíîñòè íåîáõîäèìî çàùèùàòü ñ ïîìîùüþ ñîîòâåòñòâóþùèõ ìåð
êîíòðîëÿ âõîäà äëÿ îáåñïå÷åíèÿ óâåðåííîñòè â òîì, ÷òî äîñòóï ïîçâîëåí òîëüêî àâòîðèçîâàííîìó ïåðñîíàëó. Íåîáõîäèìî ðàññìàòðèâàòü ñëåäóþùèå ìåðû êîíòðîëÿ:
- ïîñåòèòåëè çîí áåçîïàñíîñòè äîëæíû ñîïðîâîæäàòüñÿ èëè îáëàäàòü ñîîòâåòñòâóþùèì äîïóñêîì; äàòó è âðåìÿ âõîäà è âûõîäà ñëåäóåò ðåãèñòðèðîâàòü. Äîñòóï ñëåäóåò ïðåäîñòàâëÿòü òîëüêî äëÿ
âûïîëíåíèÿ îïðåäåëåííûõ àâòîðèçîâàííûõ çàäà÷. Íåîáõîäèìî òàêæå çíàêîìèòü ïîñåòèòåëåé ñ òðåáîâàíèÿìè áåçîïàñíîñòè è äåéñòâèÿìè íà ñëó÷àé àâàðèéíûõ ñèòóàöèé;
- äîñòóï ê âàæíîé èíôîðìàöèè è ñðåäñòâàì åå îáðàáîòêè äîëæåí êîíòðîëèðîâàòüñÿ è ïðåäîñòàâëÿòüñÿ òîëüêî àâòîðèçîâàííûì ëèöàì. Ñëåäóåò èñïîëüçîâàòü ñðåäñòâà àóòåíòèôèêàöèè, íàïðèìåð, êàðòû äîñòóïà ïëþñ PIN-êîä äëÿ àâòîðèçàöèè è ïðåäîñòàâëåíèÿ ñîîòâåòñòâóþùåãî äîñòóïà. Íåîáõîäèìî
òàêæå íàäåæíûì îáðàçîì ïðîâîäèòü àóäèò æóðíàëîâ ðåãèñòðàöèè äîñòóïà;
- íåîáõîäèìî òðåáîâàòü, ÷òîáû âåñü ïåðñîíàë íîñèë ïðèçíàêè âèäèìîé èäåíòèôèêàöèè, ñëåäóåò
ïîîùðÿòü åãî âíèìàíèå ê íåçíàêîìûì íåñîïðîâîæäàåìûì ïîñåòèòåëÿì, íå èìåþùèì èäåíòèôèêàöèîííûõ êàðò ñîòðóäíèêîâ;
- ïðàâà äîñòóïà ñîòðóäíèêîâ â çîíû èíôîðìàöèîííîé áåçîïàñíîñòè ñëåäóåò ðåãóëÿðíî àíàëèçèðîâàòü è ïåðåñìàòðèâàòü.
7.1.3 Áåçîïàñíîñòü çäàíèé, ïðîèçâîäñòâåííûõ ïîìåùåíèé è îáîðóäîâàíèÿ
Çîíà èíôîðìàöèîííîé áåçîïàñíîñòè ìîæåò áûòü çàùèùåíà ïóòåì çàêðûòèÿ íà çàìîê ñàìîãî îôèñà èëè íåñêîëüêèõ ïîìåùåíèé âíóòðè ôèçè÷åñêîãî ïåðèìåòðà áåçîïàñíîñòè, êîòîðûå ìîãóò áûòü çàïåðòû è èìåòü çàïèðàåìûå ôàéë-êàáèíåòû èëè ñåéôû. Ïðè âûáîðå è ïðîåêòèðîâàíèè áåçîïàñíîé çîíû
ñëåäóåò ïðèíèìàòü âî âíèìàíèå âîçìîæíûå ïîñëåäñòâèÿ îò ïîæàðà, íàâîäíåíèÿ, âçðûâà, óëè÷íûõ áåñïîðÿäêîâ è äðóãèõ ôîðì ïðèðîäíîãî èëè èñêóññòâåííîãî áåäñòâèÿ. Òàêæå ñëåäóåò ïðèíèìàòü â ðàñ÷åò
ñîîòâåòñòâóþùèå ïðàâèëà è ñòàíäàðòû â îòíîøåíèè îõðàíû çäîðîâüÿ è áåçîïàñíîñòè òðóäà. Íåîáõîäèìî ðàññìàòðèâàòü òàêæå ëþáûå óãðîçû áåçîïàñíîñòè îò ñîñåäíèõ ïîìåùåíèé, íàïðèìåð çàòîïëåíèé.
12
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
Ïðè ýòîì ñëåäóåò ïðåäóñìàòðèâàòü ñëåäóþùèå ìåðû:
- îñíîâíîå îáîðóäîâàíèå äîëæíî áûòü ðàñïîëîæåíî â ìåñòàõ ñ îãðàíè÷åíèåì äîñòóïà ïîñòîðîííèõ ëèö;
- çäàíèÿ íå äîëæíû âûäåëÿòüñÿ íà îáùåì ôîíå è äîëæíû èìåòü ìèíèìàëüíûå ïðèçíàêè ñâîåãî
íàçíà÷åíèÿ — íå äîëæíû èìåòü î÷åâèäíûõ âûâåñîê âíå èëè âíóòðè çäàíèÿ, ïî êîòîðûì ìîæíî ñäåëàòü
âûâîä î âûïîëíÿåìûõ ôóíêöèÿõ îáðàáîòêè èíôîðìàöèè;
- ïîäðàçäåëåíèÿ ïîääåðæêè è îáîðóäîâàíèå, íàïðèìåð, ôîòîêîïèðîâàëüíûå óñòðîéñòâà è ôàêñû,
äîëæíû áûòü ðàñïîëîæåíû ñîîòâåòñòâóþùèì îáðàçîì â ïðåäåëàõ çîíû áåçîïàñíîñòè âî èçáåæàíèå
äîñòóïà, êîòîðûé ìîã áû ñêîìïðîìåòèðîâàòü èíôîðìàöèþ;
- äâåðè è îêíà íåîáõîäèìî çàïèðàòü, êîãäà â ïîìåùåíèÿõ íåò ñîòðóäíèêîâ, à òàêæå ñëåäóåò ïðåäóñìîòðåòü âíåøíþþ çàùèòó îêîí — îñîáåííî, íèçêî ðàñïîëîæåííûõ;
- íåîáõîäèìî òàêæå âíåäðÿòü ñîîòâåòñòâóþùèå ñèñòåìû îáíàðóæåíèÿ âòîðæåíèé äëÿ âíåøíèõ
äâåðåé è äîñòóïíûõ äëÿ ýòîãî îêîí, êîòîðûå äîëæíû áûòü ïðîôåññèîíàëüíî óñòàíîâëåíû è ðåãóëÿðíî
òåñòèðîâàòüñÿ. Ñâîáîäíûå ïîìåùåíèÿ íåîáõîäèìî ñòàâèòü íà ñèãíàëèçàöèþ. Àíàëîãè÷íî ñëåäóåò
îáîðóäîâàòü äðóãèå ïîìåùåíèÿ, â êîòîðûõ ðàñïîëîæåíû ñðåäñòâà êîììóíèêàöèé;
- íåîáõîäèìî ôèçè÷åñêè èçîëèðîâàòü ñðåäñòâà îáðàáîòêè èíôîðìàöèè, êîíòðîëèðóåìûå îðãàíèçàöèåé è èñïîëüçóåìûå òðåòüåé ñòîðîíîé;
- ñïðàâî÷íèêè è âíóòðåííèå òåëåôîííûå êíèãè, èäåíòèôèöèðóþùèå ìåñòîïîëîæåíèÿ ñðåäñòâ
îáðàáîòêè âàæíîé èíôîðìàöèè, íå äîëæíû áûòü äîñòóïíû ïîñòîðîííèì ëèöàì;
- ñëåäóåò îáåñïå÷èâàòü íàäåæíîå õðàíåíèå îïàñíûõ èëè ãîðþ÷èõ ìàòåðèàëîâ íà äîñòàòî÷íîì ðàññòîÿíèè îò çîíû èíôîðìàöèîííîé áåçîïàñíîñòè. Áîëüøèå çàïàñû áóìàãè äëÿ ïå÷àòàþùèõ óñòðîéñòâ íå
ñëåäóåò õðàíèòü â çîíå áåçîïàñíîñòè áåç ñîîòâåòñòâóþùèõ ìåð ïîæàðíîé áåçîïàñíîñòè;
- ðåçåðâíîå îáîðóäîâàíèå è íîñèòåëè äàííûõ ñëåäóåò ðàñïîëàãàòü íà áåçîïàñíîì ðàññòîÿíèè âî
èçáåæàíèå ïîâðåæäåíèÿ îò ïîñëåäñòâèé ñòèõèéíîãî áåäñòâèÿ â îñíîâíîì çäàíèè.
7.1.4 Âûïîëíåíèå ðàáîò â îõðàíÿåìûõ çîíàõ
Äëÿ ïîâûøåíèÿ ñòåïåíè çàùèòû çîí èíôîðìàöèîííîé áåçîïàñíîñòè ìîãóò ïîòðåáîâàòüñÿ äîïîëíèòåëüíûå ìåðû ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ è ñîîòâåòñòâóþùèå ðóêîâîäñòâà. Îíè
äîëæíû âêëþ÷àòü ìåðîïðèÿòèÿ â îòíîøåíèè ïåðñîíàëà èëè ïðåäñòàâèòåëåé òðåòüèõ ñòîðîí, ðàáîòàþùèõ â çîíå áåçîïàñíîñòè è ñîñòîÿòü â ñëåäóþùåì:
- î ñóùåñòâîâàíèè çîíû èíôîðìàöèîííîé áåçîïàñíîñòè è ïðîâîäèìûõ â íåé ðàáîòàõ äîëæíû áûòü
îñâåäîìëåíû òîëüêî ëèöà, êîòîðûì ýòî íåîáõîäèìî â ñèëó ïðîèçâîäñòâåííîé íåîáõîäèìîñòè;
- èç ñîîáðàæåíèé áåçîïàñíîñòè è ïðåäîòâðàùåíèÿ âîçìîæíîñòè çëîíàìåðåííûõ äåéñòâèé â îõðàíÿåìûõ çîíàõ íåîáõîäèìî èçáåãàòü ñëó÷àåâ ðàáîòû áåç íàäëåæàùåãî êîíòðîëÿ ñî ñòîðîíû óïîëíîìî÷åííîãî ïåðñîíàëà;
- ïóñòóþùèå çîíû áåçîïàñíîñòè äîëæíû áûòü ôèçè÷åñêè çàêðûòû, è èõ ñîñòîÿíèå íåîáõîäèìî
ïåðèîäè÷åñêè ïðîâåðÿòü;
- ïåðñîíàëó òðåòüèõ ñòîðîí îãðàíè÷åííûé àâòîðèçîâàííûé è êîíòðîëèðóåìûé äîñòóï â çîíû áåçîïàñíîñòè èëè ê ñðåäñòâàì îáðàáîòêè âàæíîé èíôîðìàöèè ñëåäóåò ïðåäîñòàâëÿòü òîëüêî íà âðåìÿ òàêîé
íåîáõîäèìîñòè. Ìåæäó çîíàìè ñ ðàçëè÷íûìè óðîâíÿìè áåçîïàñíîñòè âíóòðè ïåðèìåòðà áåçîïàñíîñòè
ìîãóò ïîòðåáîâàòüñÿ äîïîëíèòåëüíûå áàðüåðû è ïåðèìåòðû îãðàíè÷åíèÿ ôèçè÷åñêîãî äîñòóïà;
- èñïîëüçîâàíèå ôîòî, âèäåî, àóäèî èëè äðóãîãî çàïèñûâàþùåãî îáîðóäîâàíèÿ äîëæíî áûòü ðàçðåøåíî òîëüêî ïðè ïîëó÷åíèè ñïåöèàëüíîãî ðàçðåøåíèÿ.
7.1.5 Èçîëèðîâàíèå çîí ïðèåìêè è îòãðóçêè ìàòåðèàëüíûõ öåííîñòåé
Çîíû ïðèåìêè è îòãðóçêè ìàòåðèàëüíûõ öåííîñòåé äîëæíû íàõîäèòüñÿ ïîä êîíòðîëåì è, ïî âîçìîæíîñòè, áûòü èçîëèðîâàíû îò ñðåäñòâ îáðàáîòêè èíôîðìàöèè âî èçáåæàíèå íåàâòîðèçîâàííîãî äîñòóïà. Òðåáîâàíèÿ áåçîïàñíîñòè äëÿ òàêèõ çîí äîëæíû áûòü îïðåäåëåíû íà îñíîâå îöåíêè ðèñêîâ. Â ýòèõ
ñëó÷àÿõ ðåêîìåíäóåòñÿ ïðåäóñìàòðèâàòü ñëåäóþùèå ìåðîïðèÿòèÿ:
- äîñòóï ê çîíå ñêëàäèðîâàíèÿ ñ âíåøíåé ñòîðîíû çäàíèÿ äîëæåí áûòü ðàçðåøåí òîëüêî îïðåäåëåííîìó è àâòîðèçîâàííîìó ïåðñîíàëó;
- çîíà ñêëàäèðîâàíèÿ äîëæíà áûòü îðãàíèçîâàíà òàê, ÷òîáû ïîñòóïàþùèå ìàòåðèàëüíûå öåííîñòè
ìîãëè áûòü ðàçãðóæåíû áåç ïðåäîñòàâëåíèÿ ïåðñîíàëó ïîñòàâùèêà äîñòóïà ê äðóãèì ÷àñòÿì çäàíèÿ;
- äîëæíà áûòü îáåñïå÷åíà áåçîïàñíîñòü âíåøíåé(èõ) äâåðè(åé) ïîìåùåíèÿ äëÿ ñêëàäèðîâàíèÿ,
êîãäà âíóòðåííÿÿ äâåðü îòêðûòà;
- ïîñòóïàþùèå ìàòåðèàëüíûå öåííîñòè äîëæíû áûòü îñìîòðåíû íà ïðåäìåò ïîòåíöèàëüíûõ îïàñíîñòåé (7.2.1 ã) ïðåæäå, ÷åì îíè áóäóò ïåðåìåùåíû èç ïîìåùåíèÿ äëÿ ñêëàäèðîâàíèÿ ê ìåñòàì èñïîëüçîâàíèÿ;
- ïîñòóïàþùèå ìàòåðèàëüíûå öåííîñòè äîëæíû áûòü çàðåãèñòðèðîâàíû, åñëè ýòî íåîáõîäèìî
(5.1).
13
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
7.2 Áåçîïàñíîñòü îáîðóäîâàíèÿ
Öåëü: ïðåäîòâðàùåíèå ïîòåðü, ïîâðåæäåíèé èëè êîìïðîìåòàöèé àêòèâîâ è íàðóøåíèÿ íåïðåðûâíîñòè äåÿòåëüíîñòè îðãàíèçàöèè.
Îáîðóäîâàíèå íåîáõîäèìî çàùèùàòü îò óãðîç åãî áåçîïàñíîñòè è âîçäåéñòâèé îêðóæàþùåé ñðåäû.
Íåîáõîäèìî îáåñïå÷èâàòü áåçîïàñíîñòü îáîðóäîâàíèÿ (âêëþ÷àÿ è òî, ÷òî èñïîëüçóåòñÿ âíå îðãàíèçàöèè), ÷òîáû óìåíüøèòü ðèñê íåàâòîðèçîâàííîãî äîñòóïà ê äàííûì è çàùèòèòü èõ îò ïîòåðè èëè
ïîâðåæäåíèÿ. Ïðè ýòîì íåîáõîäèìî ïðèíèìàòü âî âíèìàíèå îñîáåííîñòè, ñâÿçàííûå ñ ðàñïîëîæåíèåì
îáîðóäîâàíèÿ è âîçìîæíûì åãî ïåðåìåùåíèåì. Ìîãóò ïîòðåáîâàòüñÿ ñïåöèàëüíûå ìåðîïðèÿòèÿ çàùèòû îò îïàñíûõ âîçäåéñòâèé ñðåäû èëè íåàâòîðèçîâàííîãî äîñòóïà ÷åðåç èíôðàñòðóêòóðû îáåñïå÷åíèÿ,
â ÷àñòíîñòè, ñèñòåìû ýëåêòðîïèòàíèÿ è êàáåëüíîé ðàçâîäêè.
7.2.1 Ðàñïîëîæåíèå è çàùèòà îáîðóäîâàíèÿ
Îáîðóäîâàíèå äîëæíî áûòü ðàñïîëîæåíî è çàùèùåíî òàê, ÷òîáû óìåíüøèòü ðèñêè îò âîçäåéñòâèé
îêðóæàþùåé ñðåäû è âîçìîæíîñòè íåàâòîðèçîâàííîãî äîñòóïà. Íåîáõîäèìî ðàññìàòðèâàòü ñëåäóþùèå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ:
à) îáîðóäîâàíèå íåîáõîäèìî ðàçìåùàòü òàêèì îáðàçîì, ÷òîáû ñâåñòè äî ìèíèìóìà èçëèøíèé äîñòóï â ìåñòà åãî ðàñïîëîæåíèÿ;
á) ñðåäñòâà îáðàáîòêè è õðàíåíèÿ âàæíîé èíôîðìàöèè ñëåäóåò ðàçìåùàòü òàê, ÷òîáû óìåíüøèòü ðèñê íåñàíêöèîíèðîâàííîãî íàáëþäåíèÿ çà èõ ôóíêöèîíèðîâàíèåì;
â) îòäåëüíûå ýëåìåíòû îáîðóäîâàíèÿ, òðåáóþùèå ñïåöèàëüíîé çàùèòû, íåîáõîäèìî èçîëèðîâàòü, ÷òîáû ïîâûñèòü îáùèé óðîâåíü íåîáõîäèìîé çàùèòû;
ã) ìåðû ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ äîëæíû ñâåñòè ê ìèíèìóìó ðèñê
ïîòåíöèàëüíûõ óãðîç, âêëþ÷àÿ:
1) âîðîâñòâî;
2) ïîæàð;
3) âçðûâ;
4) çàäûìëåíèå;
5) çàòîïëåíèå (èëè ïåðåáîè â ïîäà÷å âîäû);
6) ïûëü;
7) âèáðàöèþ;
8) õèìè÷åñêèå ýôôåêòû;
9) ïîìåõè â ýëåêòðîñíàáæåíèè;
10) ýëåêòðîìàãíèòíîå èçëó÷åíèå.
ä) â îðãàíèçàöèè íåîáõîäèìî îïðåäåëèòü ïîðÿäîê ïðèåìà ïèùè, íàïèòêîâ è êóðåíèÿ âáëèçè
ñðåäñòâ îáðàáîòêè èíôîðìàöèè;
å) ñëåäóåò ïðîâîäèòü ìîíèòîðèíã ñîñòîÿíèÿ îêðóæàþùåé ñðåäû â öåëÿõ âûÿâëåíèÿ óñëîâèé,
êîòîðûå ìîãëè áû íåáëàãîïðèÿòíî ïîâëèÿòü íà ôóíêöèîíèðîâàíèå ñðåäñòâ îáðàáîòêè èíôîðìàöèè;
æ) ñëåäóåò èñïîëüçîâàòü ñïåöèàëüíûå ñðåäñòâà çàùèòû, îáîðóäîâàíèÿ, ðàñïîëîæåííîãî â
ïðîèçâîäñòâåííûõ öåõàõ, íàïðèìåð, çàùèòíûå ïëåíêè äëÿ êëàâèàòóðû;
ç) íåîáõîäèìî ðàçðàáîòàòü ìåðû ïî ëèêâèäàöèè ïîñëåäñòâèé áåäñòâèé, ñëó÷àþùèõñÿ â
áëèçëåæàùèõ ïîìåùåíèÿõ, íàïðèìåð, ïîæàð â ñîñåäíåì çäàíèè, çàòîïëåíèå â ïîäâàëüíûõ ïîìåùåíèÿõ
èëè ïðîòåêàíèå âîäû ÷åðåç êðûøó, âçðûâ íà óëèöå.
7.2.2 Ïîäà÷à ýëåêòðîïèòàíèÿ
Îáîðóäîâàíèå íåîáõîäèìî çàùèùàòü îò ïåðåáîåâ â ïîäà÷å ýëåêòðîýíåðãèè è äðóãèõ ñáîåâ, ñâÿçàííûõ ñ ýëåêòðè÷åñòâîì. Íåîáõîäèìî îáåñïå÷èâàòü íàäëåæàùóþ ïîäà÷ó ýëåêòðîïèòàíèÿ, ñîîòâåòñòâóþùóþ ñïåöèôèêàöèÿì ïðîèçâîäèòåëÿ îáîðóäîâàíèÿ.
Âàðèàíòû äîñòèæåíèÿ íåïðåðûâíîñòè ïîäà÷è ýëåêòðîïèòàíèÿ âêëþ÷àþò:
- íàëè÷èå íåñêîëüêèõ èñòî÷íèêîâ ýëåêòðîïèòàíèÿ, ÷òîáû èçáåæàòü ïîñëåäñòâèé ïðè íàðóøåíèè åãî
ïîäà÷è îò åäèíñòâåííîãî èñòî÷íèêà;
- óñòðîéñòâà áåñïåðåáîéíîãî ýëåêòðîïèòàíèÿ (UPS);
- ðåçåðâíûé ãåíåðàòîð.
×òîáû îáåñïå÷èòü áåçîïàñíîå âûêëþ÷åíèå è/èëè íåïðåðûâíîå ôóíêöèîíèðîâàíèå óñòðîéñòâ, ïîääåðæèâàþùèõ êðèòè÷åñêèå áèçíåñ-ïðîöåññû, ðåêîìåíäóåòñÿ ïîäêëþ÷àòü îáîðóäîâàíèå ÷åðåç UPS.
 ïëàíàõ îáåñïå÷åíèÿ íåïðåðûâíîñòè ñëåäóåò ïðåäóñìàòðèâàòü äåéñòâèÿ, êîòîðûå äîëæíû áûòü ïðåäïðèíÿòû ïðè îòêàçå UPS. Îáîðóäîâàíèå UPS ñëåäóåò ðåãóëÿðíî ïðîâåðÿòü íà íàëè÷èå àäåêâàòíîé ìîùíîñòè, à òàêæå òåñòèðîâàòü â ñîîòâåòñòâèè ñ ðåêîìåíäàöèÿìè ïðîèçâîäèòåëÿ.
Ðåçåðâíûé ãåíåðàòîð ñëåäóåò ïðèìåíÿòü, åñëè íåîáõîäèìî îáåñïå÷èòü ôóíêöèîíèðîâàíèå îáîðóäîâàíèÿ â ñëó÷àå äëèòåëüíîãî îòêàçà ïîäà÷è ýëåêòðîýíåðãèè îò îáùåãî èñòî÷íèêà. Ðåçåðâíûå ãåíåðàòîðû ñëåäóåò ðåãóëÿðíî ïðîâåðÿòü â ñîîòâåòñòâèè ñ èíñòðóêöèÿìè ïðîèçâîäèòåëÿ. Äëÿ îáåñïå÷åíèÿ
14
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
ðàáîòû ãåíåðàòîðà â òå÷åíèå äëèòåëüíîãî ñðîêà íåîáõîäèìî îáåñïå÷èòü ñîîòâåòñòâóþùóþ ïîñòàâêó
òîïëèâà.
Êðîìå òîãî, àâàðèéíûå âûêëþ÷àòåëè ýëåêòðîïèòàíèÿ íåîáõîäèìî ðàñïîëàãàòü îêîëî çàïàñíûõ
âûõîäîâ ïîìåùåíèé, ãäå ðàñïîëîæåíî îáîðóäîâàíèå, ÷òîáû óñêîðèòü îòêëþ÷åíèå ýëåêòðîïèòàíèÿ â
ñëó÷àå êðèòè÷åñêèõ ñèòóàöèé. Ñëåäóåò îáåñïå÷èòü ðàáîòó àâàðèéíîãî îñâåùåíèÿ íà ñëó÷àé îòêàçà ýëåêòðîïèòàíèÿ, ïîòðåáëÿåìîãî îò ñåòè. Âñå çäàíèÿ äîëæíû áûòü îñíàùåíû ãðîìîîòâîäàìè, à âñå âíåøíèå
ëèíèè ñâÿçè îáîðóäîâàíû ñïåöèàëüíûìè ãðîçîçàùèòíûìè ôèëüòðàìè.
7.2.3 Áåçîïàñíîñòü êàáåëüíîé ñåòè
Ñèëîâûå è òåëåêîììóíèêàöèîííûå êàáåëüíûå ñåòè, ïî êîòîðûì ïåðåäàþòñÿ äàííûå èëè îñóùåñòâëÿþòñÿ äðóãèå èíôîðìàöèîííûå óñëóãè, íåîáõîäèìî çàùèùàòü îò ïåðåõâàòà èíôîðìàöèè èëè
ïîâðåæäåíèÿ. Íåîáõîäèìî ðàññìàòðèâàòü ñëåäóþùèå ìåðîïðèÿòèÿ:
à) ñèëîâûå è òåëåêîììóíèêàöèîííûå ëèíèè, ñâÿçûâàþùèå ñðåäñòâà îáðàáîòêè èíôîðìàöèè, äîëæíû áûòü, ïî âîçìîæíîñòè, ïîäçåìíûìè èëè îáëàäàòü àäåêâàòíîé àëüòåðíàòèâíîé çàùèòîé;
á) ñåòåâîé êàáåëü äîëæåí áûòü çàùèùåí îò íåàâòîðèçîâàííûõ ïîäêëþ÷åíèé èëè ïîâðåæäåíèÿ, íàïðèìåð, ïîñðåäñòâîì èñïîëüçîâàíèÿ ñïåöèàëüíîãî êîæóõà è/èëè âûáîðà ìàðøðóòîâ ïðîêëàäêè
êàáåëÿ â îáõîä îáùåäîñòóïíûõ ó÷àñòêîâ;
â) ñèëîâûå êàáåëè äîëæíû áûòü îòäåëåíû îò êîììóíèêàöèîííûõ, ÷òîáû èñêëþ÷èòü ïîìåõè;
ã) äîïîëíèòåëüíûå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ äëÿ
÷óâñòâèòåëüíûõ èëè êðèòè÷åñêèõ ñèñòåì âêëþ÷àþò:
1) èñïîëüçîâàíèå áðîíèðîâàííûõ êîæóõîâ, à òàêæå çàêðûòûõ ïîìåùåíèé/ÿùèêîâ â ïðîìåæóòî÷íûõ ïóíêòàõ êîíòðîëÿ è êîíå÷íûõ òî÷êàõ;
2) èñïîëüçîâàíèå äóáëèðóþùèõ ìàðøðóòîâ ïðîêëàäêè êàáåëÿ èëè àëüòåðíàòèâíûõ ñïîñîáîâ
ïåðåäà÷è;
3) èñïîëüçîâàíèå îïòèêî-âîëîêîííûõ ëèíèé ñâÿçè;
4) ïðîâåðêè íà ïîäêëþ÷åíèå íåàâòîðèçîâàííûõ óñòðîéñòâ ê êàáåëüíîé ñåòè.
7.2.4 Òåõíè÷åñêîå îáñëóæèâàíèå îáîðóäîâàíèÿ
 îðãàíèçàöèè äîëæíî ïðîâîäèòüñÿ íàäëåæàùåå òåõíè÷åñêîå îáñëóæèâàíèå îáîðóäîâàíèÿ äëÿ
îáåñïå÷åíèÿ åãî íåïðåðûâíîé ðàáîòîñïîñîáíîñòè è öåëîñòíîñòè.  ýòèõ öåëÿõ ñëåäóåò ïðèìåíÿòü ñëåäóþùèå ìåðîïðèÿòèÿ:
- îáîðóäîâàíèå ñëåäóåò îáñëóæèâàòü â ñîîòâåòñòâèè ñ èíñòðóêöèÿìè è ïåðèîäè÷íîñòüþ, ðåêîìåíäóåìûìè ïîñòàâùèêîì;
- íåîáõîäèìî, ÷òîáû òåõíè÷åñêîå îáñëóæèâàíèå è ðåìîíò îáîðóäîâàíèÿ ïðîâîäèëèñü òîëüêî àâòîðèçîâàííûì ïåðñîíàëîì;
- ñëåäóåò õðàíèòü çàïèñè îáî âñåõ ñëó÷àÿõ ïðåäïîëàãàåìûõ èëè ôàêòè÷åñêèõ íåèñïðàâíîñòåé è
âñåõ âèäàõ ïðîôèëàêòè÷åñêîãî è âîññòàíîâèòåëüíîãî òåõíè÷åñêîãî îáñëóæèâàíèÿ;
- íåîáõîäèìî ïðèíèìàòü ñîîòâåòñòâóþùèå ìåðû áåçîïàñíîñòè ïðè îòïðàâêå îáîðóäîâàíèÿ äëÿ
òåõíè÷åñêîãî îáñëóæèâàíèÿ çà ïðåäåëû îðãàíèçàöèè (7.2.6 â îòíîøåíèè óäàëåííûõ, ñòåðòûõ è ïåðåçàïèñàííûõ äàííûõ). Êðîìå ýòîãî äîëæíû ñîáëþäàòüñÿ âñå òðåáîâàíèÿ, óñòàíàâëèâàåìûå èñïîëüçóþùèìèñÿ ïðàâèëàìè ñòðàõîâàíèÿ.
7.2.5 Îáåñïå÷åíèå áåçîïàñíîñòè îáîðóäîâàíèÿ, èñïîëüçóåìîãî âíå ïîìåùåíèé îðãàíèçàöèè
Íåçàâèñèìî îò ïðèíàäëåæíîñòè îáîðóäîâàíèÿ, åãî èñïîëüçîâàíèå äëÿ îáðàáîòêè èíôîðìàöèè âíå
ïîìåùåíèÿ îðãàíèçàöèè äîëæíî áûòü àâòîðèçîâàíî ðóêîâîäñòâîì. Óðîâåíü èíôîðìàöèîííîé áåçîïàñíîñòè ïðè ýòîì äîëæåí áûòü ýêâèâàëåíòåí óðîâíþ áåçîïàñíîñòè â îòíîøåíèè îáîðóäîâàíèÿ, èñïîëüçóåìîãî ñ àíàëîãè÷íîé öåëüþ â ïîìåùåíèÿõ îðãàíèçàöèè, à òàêæå ñ ó÷åòîì ðèñêîâ ðàáîòû íà ñòîðîíå.
Îáîðóäîâàíèå ïî îáðàáîòêå èíôîðìàöèè âêëþ÷àåò âñå òèïû ïåðñîíàëüíûõ êîìïüþòåðîâ, ýëåêòðîííûõ
çàïèñíûõ êíèæåê, ìîáèëüíûõ òåëåôîíîâ, à òàêæå áóìàãó èëè èíûå ìàòåðèàëüíûå öåííîñòè, êîòîðûå
èñïîëüçóþòñÿ äëÿ ðàáîòû íà äîìó èëè òðàíñïîðòèðóþòñÿ çà ïðåäåëû ðàáî÷èõ ïîìåùåíèé.  ýòèõ óñëîâèÿõ íåîáõîäèìî ïðèìåíÿòü ñëåäóþùèå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ:
- îáîðóäîâàíèå è íîñèòåëè èíôîðìàöèè, âçÿòûå èç ïîìåùåíèé îðãàíèçàöèè, íå ñëåäóåò îñòàâëÿòü
áåç ïðèñìîòðà â îáùåäîñòóïíûõ ìåñòàõ. Ïðè ïåðåìåùåíèè êîìïüþòåðû ñëåäóåò ïåðåâîçèòü êàê ðó÷íóþ
êëàäü è, ïî âîçìîæíîñòè, íå àôèøèðîâàòü åå ñîäåðæèìîå;
- âñåãäà íåîáõîäèìî ñîáëþäàòü èíñòðóêöèè èçãîòîâèòåëåé ïî çàùèòå îáîðóäîâàíèÿ, íàïðèìåð, îò
âîçäåéñòâèÿ ñèëüíûõ ýëåêòðîìàãíèòíûõ ïîëåé;
- ïðè ðàáîòå äîìà ñëåäóåò ïðèìåíÿòü ïîäõîäÿùèå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé
áåçîïàñíîñòüþ ñ ó÷åòîì îöåíêè ðèñêîâ, íàïðèìåð, èñïîëüçîâàòü çàïèðàåìûå ôàéë-êàáèíåòû, ñîáëþäàòü ïîëèòèêó «÷èñòîãî ñòîëà» è êîíòðîëèðîâàòü âîçìîæíîñòü äîñòóïà ê êîìïüþòåðàì;
15
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
- äîëæíû èìåòü ìåñòî àäåêâàòíûå ìåðû ïî ñòðàõîâàíèþ äëÿ çàùèòû îáîðóäîâàíèÿ âíå ïîìåùåíèé îðãàíèçàöèè.
Ðèñêè áåçîïàñíîñòè, íàïðèìåð, ñâÿçàííûå ñ ïîâðåæäåíèåì, âîðîâñòâîì è ïîäñëóøèâàíèåì, ìîãóò
â çíà÷èòåëüíîé ñòåïåíè çàâèñåòü îò ðàñïîëîæåíèÿ îáîðóäîâàíèÿ â îðãàíèçàöèè è äîëæíû ó÷èòûâàòüñÿ
ïðè îïðåäåëåíèè è âûáîðå íàèáîëåå ïîäõîäÿùèõ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ. Áîëåå ïîäðîáíàÿ èíôîðìàöèÿ î äðóãèõ àñïåêòàõ çàùèòû ìîáèëüíîãî îáîðóäîâàíèÿ
ïðèâåäåíà â 9.8.1.
7.2.6 Áåçîïàñíàÿ óòèëèçàöèÿ (ñïèñàíèå) èëè ïîâòîðíîå èñïîëüçîâàíèå îáîðóäîâàíèÿ
Ñëóæåáíàÿ èíôîðìàöèÿ ìîæåò áûòü ñêîìïðîìåòèðîâàíà âñëåäñòâèå íåáðåæíîé óòèëèçàöèè (ñïèñàíèÿ) èëè ïîâòîðíîãî èñïîëüçîâàíèÿ îáîðóäîâàíèÿ (8.6.4). Íîñèòåëè äàííûõ, ñîäåðæàùèå âàæíóþ
èíôîðìàöèþ, íåîáõîäèìî ôèçè÷åñêè ðàçðóøàòü èëè ïåðåçàïèñûâàòü áåçîïàñíûì îáðàçîì, à íå
èñïîëüçîâàòü ñòàíäàðòíûå ôóíêöèè óäàëåíèÿ. Âñå êîìïîíåíòû îáîðóäîâàíèÿ, ñîäåðæàùåãî íîñèòåëè
äàííûõ (âñòðîåííûå æåñòêèå äèñêè), ñëåäóåò ïðîâåðÿòü íà ïðåäìåò óäàëåíèÿ âñåõ âàæíûõ äàííûõ è
ëèöåíçèîííîãî ïðîãðàììíîãî îáåñïå÷åíèÿ.  îòíîøåíèè íîñèòåëåé äàííûõ, ñîäåðæàùèõ âàæíóþ
èíôîðìàöèþ, ìîæåò ïîòðåáîâàòüñÿ îöåíêà ðèñêîâ ñ öåëüþ îïðåäåëåíèÿ öåëåñîîáðàçíîñòè èõ
ðàçðóøåíèÿ, âîññòàíîâëåíèÿ èëè âûáðàêîâêè.
7.3 Îáùèå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ
Öåëü: ïðåäîòâðàùåíèå êîìïðîìåòàöèè èëè êðàæè èíôîðìàöèè è ñðåäñòâ îáðàáîòêè èíôîðìàöèè.
Èíôîðìàöèþ è ñðåäñòâà îáðàáîòêè èíôîðìàöèè íåîáõîäèìî çàùèùàòü îò ðàñêðûòèÿ, êðàæè èëè
ìîäèôèêàöèè íåàâòîðèçîâàííûìè ëèöàìè; äîëæíû áûòü âíåäðåíû ìåðû, îáåñïå÷èâàþùèå ñâåäåíèå ê
ìèíèìóìó ðèñêà èõ ïîòåðè èëè ïîâðåæäåíèÿ.
Ïðîöåäóðû îáðàáîòêè è õðàíåíèÿ èíôîðìàöèè ðàññìàòðèâàþòñÿ â 8.6.3.
7.3.1 Ïîëèòèêà «÷èñòîãî ñòîëà» è «÷èñòîãî ýêðàíà»
Îðãàíèçàöèÿì ñëåäóåò ïðèìåíÿòü ïîëèòèêó «÷èñòîãî ñòîëà» â îòíîøåíèè áóìàæíûõ äîêóìåíòîâ è
ñìåííûõ íîñèòåëåé äàííûõ, à òàêæå ïîëèòèêó «÷èñòîãî ýêðàíà» â îòíîøåíèè ñðåäñòâ îáðàáîòêè èíôîðìàöèè ñ òåì, ÷òîáû óìåíüøèòü ðèñêè íåàâòîðèçîâàííîãî äîñòóïà, ïîòåðè è ïîâðåæäåíèÿ èíôîðìàöèè
êàê âî âðåìÿ ðàáî÷åãî äíÿ, òàê è ïðè âíåóðî÷íîé ðàáîòå. Ïðè ïðèìåíåíèè ýòèõ ïîëèòèê ñëåäóåò ó÷èòûâàòü êàòåãîðèè èíôîðìàöèè ñ òî÷êè çðåíèÿ áåçîïàñíîñòè (5.2) è ñîîòâåòñòâóþùèå ðèñêè, à òàêæå êîðïîðàòèâíóþ êóëüòóðó îðãàíèçàöèè.
Íîñèòåëè èíôîðìàöèè, îñòàâëåííûå íà ñòîëàõ, òàêæå ìîãóò áûòü ïîâðåæäåíû èëè ðàçðóøåíû ïðè
áåäñòâèè, íàïðèìåð, ïðè ïîæàðå, íàâîäíåíèè èëè âçðûâå.
Ñëåäóåò ïðèìåíÿòü ñëåäóþùèå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ:
- ÷òîáû èñêëþ÷èòü êîìïðîìåòàöèþ èíôîðìàöèè, öåëåñîîáðàçíî áóìàæíûå è ýëåêòðîííûå íîñèòåëè èíôîðìàöèè, êîãäà îíè íå èñïîëüçóþòñÿ, õðàíèòü â íàäëåæàùèõ çàïèðàþùèõñÿ øêàôàõ è/èëè â äðóãèõ çàùèùåííûõ ïðåäìåòàõ ìåáåëè, îñîáåííî â íåðàáî÷åå âðåìÿ;
- íîñèòåëè ñ âàæíîé èëè êðèòè÷íîé ñëóæåáíîé èíôîðìàöèåé, êîãäà îíè íå òðåáóþòñÿ, ñëåäóåò óáèðàòü è çàïèðàòü (íàïðèìåð, â íåñãîðàåìîì ñåéôå èëè øêàôó), îñîáåííî êîãäà ïîìåùåíèå ïóñòóåò;
- ïåðñîíàëüíûå êîìïüþòåðû, êîìïüþòåðíûå òåðìèíàëû è ïðèíòåðû äîëæíû áûòü âûêëþ÷åíû ïî
îêîí÷àíèè ðàáîòû; ñëåäóåò òàêæå ïðèìåíÿòü êîäîâûå çàìêè, ïàðîëè èëè äðóãèå ìåðîïðèÿòèÿ â îòíîøåíèè óñòðîéñòâ, íàõîäÿùèõñÿ áåç ïðèñìîòðà;
- íåîáõîäèìî îáåñïå÷èòü çàùèòó ïóíêòîâ îòïðàâêè/ïðèåìà êîððåñïîíäåíöèè, à òàêæå ôàêñèìèëüíûõ è òåëåêñíûõ àïïàðàòîâ â ñëó÷àÿõ íàõîæäåíèÿ èõ áåç ïðèñìîòðà;
- â íåðàáî÷åå âðåìÿ ôîòîêîïèðîâàëüíûå óñòðîéñòâà ñëåäóåò çàïèðàòü íà êëþ÷ (èëè çàùèùàòü îò
íåàâòîðèçîâàííîãî èñïîëüçîâàíèÿ äðóãèì ñïîñîáîì);
- íàïå÷àòàííûå äîêóìåíòû ñ âàæíîé èëè êîíôèäåíöèàëüíîé èíôîðìàöèåé íåîáõîäèìî èçûìàòü
èç ïðèíòåðîâ íåìåäëåííî.
7.3.2 Âûíîñ èìóùåñòâà
Îáîðóäîâàíèå, èíôîðìàöèþ èëè ïðîãðàììíîå îáåñïå÷åíèå ìîæíî âûíîñèòü èç ïîìåùåíèé îðãàíèçàöèè òîëüêî íà îñíîâàíèè ñîîòâåòñòâóþùåãî ðàçðåøåíèÿ. Òàì, ãäå íåîáõîäèìî è óìåñòíî, îáîðóäîâàíèå ñëåäóåò ðåãèñòðèðîâàòü ïðè âûíîñå è ïðè âíîñå, à òàêæå äåëàòü îòìåòêó, êîãäà îíî âîçâðàùåíî. Ñ
öåëüþ âûÿâëåíèÿ íåàâòîðèçîâàííûõ ïåðåìåùåíèé àêòèâîâ è îáîðóäîâàíèÿ ñëåäóåò ïðîâîäèòü âûáîðî÷íóþ èíâåíòàðèçàöèþ. Ñîòðóäíèêè äîëæíû áûòü îñâåäîìëåíû î òîì, ÷òî ïîäîáíûå ïðîâåðêè ìîãóò
èìåòü ìåñòî.
16
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
8 Óïðàâëåíèå ïåðåäà÷åé äàííûõ è îïåðàöèîííîé äåÿòåëüíîñòüþ
8.1 Îïåðàöèîííûå ïðîöåäóðû è îáÿçàííîñòè
Öåëü: îáåñïå÷åíèå óâåðåííîñòè â íàäëåæàùåì è áåçîïàñíîì ôóíêöèîíèðîâàíèè ñðåäñòâ îáðàáîòêè èíôîðìàöèè.
Äîëæíû áûòü óñòàíîâëåíû îáÿçàííîñòè è ïðîöåäóðû ïî óïðàâëåíèþ è ôóíêöèîíèðîâàíèþ âñåõ
ñðåäñòâ îáðàáîòêè èíôîðìàöèè. Îíè äîëæíû âêëþ÷àòü ðàçðàáîòêó ñîîòâåòñòâóþùèõ îïåðàöèîííûõ
èíñòðóêöèé è ïðîöåäóðû ðåàãèðîâàíèÿ íà èíöèäåíòû.
Ñ öåëüþ ìèíèìèçàöèè ðèñêà ïðè íåïðàâèëüíîì èñïîëüçîâàíèè ñèñòåì âñëåäñòâèå íåáðåæíîñòè
èëè çëîãî óìûñëà ñëåäóåò, ïî âîçìîæíîñòè, ðåàëèçîâûâàòü ïðèíöèï ðàçäåëåíèÿ ïîëíîìî÷èé (8.1.4).
8.1.1 Äîêóìåíòàëüíîå îôîðìëåíèå îïåðàöèîííûõ ïðîöåäóð
Îïåðàöèîííûå ïðîöåäóðû, îïðåäåëÿåìûå ïîëèòèêîé áåçîïàñíîñòè, äîëæíû ðàññìàòðèâàòüñÿ êàê
îôèöèàëüíûå äîêóìåíòû, äîêóìåíòèðîâàòüñÿ è ñòðîãî ñîáëþäàòüñÿ, à èçìåíåíèÿ ê íèì äîëæíû ñàíêöèîíèðîâàòüñÿ è óòâåðæäàòüñÿ ðóêîâîäñòâîì.
Ïðîöåäóðû ñîäåðæàò äåòàëüíóþ èíñòðóêöèþ âûïîëíåíèÿ êîíêðåòíîãî çàäàíèÿ (ðàáîòû) è âêëþ÷àþò:
- îáðàáîòêó è óïðàâëåíèå èíôîðìàöèåé;
- îïðåäåëåíèå òðåáîâàíèé â îòíîøåíèè ãðàôèêà âûïîëíåíèÿ çàäàíèé, âêëþ÷àþùèõ âçàèìîñâÿçè
ìåæäó ñèñòåìàìè; âðåìÿ íà÷àëà âûïîëíåíèÿ ñàìîãî ðàííåãî çàäàíèÿ è âðåìÿ çàâåðøåíèÿ ñàìîãî
ïîñëåäíåãî çàäàíèÿ;
- îáðàáîòêó îøèáîê èëè äðóãèõ èñêëþ÷èòåëüíûõ ñèòóàöèé, êîòîðûå ìîãóò âîçíèêíóòü â òå÷åíèå
âûïîëíåíèÿ çàäàíèé, âêëþ÷àÿ îãðàíè÷åíèÿ íà èñïîëüçîâàíèå ñèñòåìíûõ óòèëèò (9.5.5);
- íåîáõîäèìûå êîíòàêòû íà ñëó÷àé íåîæèäàííûõ îïåðàöèîííûõ èëè òåõíè÷åñêèõ ïðîáëåì;
- ñïåöèàëüíûå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ âûâîäîì äàííûõ, íàïðèìåð, èñïîëüçîâàíèå ñïåöèàëüíîé áóìàãè äëÿ ïå÷àòàþùèõ óñòðîéñòâ èëè îñîáûõ ïðîöåäóð ïðèìåíèòåëüíî ê âûâîäó êîíôèäåíöèàëüíîé èíôîðìàöèè, âêëþ÷àÿ ïðîöåäóðû äëÿ áåçîïàñíîé óòèëèçàöèè âûõîäíûõ äàííûõ, íå
çàâåðøåííûõ â ïðîöåññå âûïîëíåíèÿ çàäàíèé;
- ïåðåçàïóñê ñèñòåìû è ïðîöåäóðû âîññòàíîâëåíèÿ â ñëó÷àå ñèñòåìíûõ ñáîåâ.
Äîêóìåíòèðîâàííûå ïðîöåäóðû äîëæíû áûòü òàêæå ðàçðàáîòàíû â îòíîøåíèè îáñëóæèâàíèÿ ñèñòåì îáðàáîòêè è îáìåíà èíôîðìàöèåé, â ÷àñòíîñòè ïðîöåäóðû çàïóñêà è áåçîïàñíîãî çàâåðøåíèÿ ðàáîòû êîìïüþòåðà(îâ), ïðîöåäóðû ðåçåðâèðîâàíèÿ, òåêóùåãî îáñëóæèâàíèÿ è ðåìîíòà îáîðóäîâàíèÿ,
îáåñïå÷åíèÿ íàäëåæàùåé áåçîïàñíîñòè ïîìåùåíèé ñ êîìïüþòåðíûì è êîììóíèêàöèîííûì
îáîðóäîâàíèåì.
8.1.2 Êîíòðîëü èçìåíåíèé
Èçìåíåíèÿ êîíôèãóðàöèè â ñðåäñòâàõ è ñèñòåìàõ îáðàáîòêè èíôîðìàöèè äîëæíû êîíòðîëèðîâàòüñÿ íàäëåæàùèì îáðàçîì. Íåàäåêâàòíûé êîíòðîëü èçìåíåíèé ñðåäñòâ è ñèñòåì îáðàáîòêè èíôîðìàöèè — ðàñïðîñòðàíåííàÿ ïðè÷èíà ñèñòåìíûõ ñáîåâ è èíöèäåíòîâ íàðóøåíèÿ èíôîðìàöèîííîé
áåçîïàñíîñòè. Ñ öåëüþ îáåñïå÷åíèÿ íàäëåæàùåãî êîíòðîëÿ âñåõ èçìåíåíèé â îáîðóäîâàíèè, ïðîãðàììíîì îáåñïå÷åíèè èëè ïðîöåäóðàõ äîëæíû áûòü îïðåäåëåíû è âíåäðåíû ôîðìàëèçîâàííûå ðîëè,
îòâåòñòâåííîñòè è ïðîöåäóðû. Ïðè èçìåíåíèè ïðîãðàììíîãî îáåñïå÷åíèÿ âñÿ íåîáõîäèìàÿ èíôîðìàöèÿ äîëæíà ôèêñèðîâàòüñÿ è ñîõðàíÿòüñÿ â ñèñòåìíîì æóðíàëå àóäèòà. Èçìåíåíèÿ îïåðàöèîííîé ñðåäû ìîãóò îêàçûâàòü âëèÿíèå íà ðàáîòó ïðèëîæåíèé. Âåçäå, ãäå ýòî èìååò ïðàêòè÷åñêèé ñìûñë,
ïðîöåäóðû óïðàâëåíèÿ èçìåíåíèÿìè â îïåðàöèîííîé ñðåäå è â ïðèëîæåíèÿõ äîëæíû áûòü
èíòåãðèðîâàíû (ñì. òàêæå 10.5.1).  ÷àñòíîñòè, íåîáõîäèìî ðàññìàòðèâàòü ñëåäóþùèå ìåðîïðèÿòèÿ:
- îïðåäåëåíèå è ðåãèñòðàöèÿ ñóùåñòâåííûõ èçìåíåíèé;
- îöåíêà âîçìîæíûõ ïîñëåäñòâèé òàêèõ èçìåíåíèé;
- ôîðìàëèçîâàííàÿ ïðîöåäóðà óòâåðæäåíèÿ ïðåäëàãàåìûõ èçìåíåíèé;
- ïîäðîáíîå èíôîðìèðîâàíèå îá èçìåíåíèÿõ âñåõ çàèíòåðåñîâàííûõ ëèö;
- ïðîöåäóðû, îïðåäåëÿþùèå îáÿçàííîñòè ïî ïðåðûâàíèþ è âîññòàíîâëåíèþ ðàáîòû ñðåäñòâ è ñèñòåì îáðàáîòêè èíôîðìàöèè, â ñëó÷àå íåóäà÷íûõ èçìåíåíèé ïðîãðàììíîãî îáåñïå÷åíèÿ.
8.1.3 Ïðîöåäóðû â îòíîøåíèè èíöèäåíòîâ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè
Îáÿçàííîñòè è ïðîöåäóðû ïî óïðàâëåíèþ â îòíîøåíèè èíöèäåíòîâ äîëæíû áûòü îïðåäåëåíû äëÿ
îáåñïå÷åíèÿ áûñòðîé, ýôôåêòèâíîé è îðãàíèçîâàííîé ðåàêöèè íà ýòè íàðóøåíèÿ èíôîðìàöèîííîé
áåçîïàñíîñòè (6.3.1). Ïðè ýòîì íåîáõîäèìî ðàññìîòðåòü ñëåäóþùèå ìåðîïðèÿòèÿ:
a) äîëæíû áûòü îïðåäåëåíû ïðîöåäóðû â îòíîøåíèè âñåõ âîçìîæíûõ òèïîâ èíöèäåíòîâ
íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè, â òîì ÷èñëå:
1) ñáîè èíôîðìàöèîííûõ ñèñòåì è óòðàòà ñåðâèñîâ;
2) îòêàç â îáñëóæèâàíèè;
17
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
3) îøèáêè âñëåäñòâèå íåïîëíûõ èëè íåòî÷íûõ äàííûõ;
4) íàðóøåíèÿ êîíôèäåíöèàëüíîñòè;
á) â äîïîëíåíèå ê îáû÷íûì ïëàíàì îáåñïå÷åíèÿ íåïðåðûâíîñòè (ïðåäíàçíà÷åííûõ äëÿ ñêîðåéøåãî âîññòàíîâëåíèÿ ñèñòåì èëè óñëóã) äîëæíû ñóùåñòâîâàòü ïðîöåäóðû âûïîëíåíèÿ òðåáîâàíèé
(6.3.4):
1) àíàëèçà è èäåíòèôèêàöèè ïðè÷èíû èíöèäåíòà;
2) ïëàíèðîâàíèÿ è âíåäðåíèÿ ñðåäñòâ, ïðåäîòâðàùàþùèõ ïîâòîðíîå ïðîÿâëåíèå èíöèäåíòîâ,
ïðè íåîáõîäèìîñòè;
3) èñïîëüçîâàíèÿ æóðíàëîâ àóäèòà è àíàëîãè÷íûõ ñâèäåòåëüñòâ;
4) âçàèìîäåéñòâèÿ ñ ëèöàìè, íà êîòîðûõ èíöèäåíò îêàçàë âîçäåéñòâèå èëè ó÷àñòâóþùèõ â
óñòðàíåíèè ïîñëåäñòâèé èíöèäåíòà;
5) èíôîðìèðîâàíèÿ î äåéñòâèÿõ ñîîòâåòñòâóþùèõ äîëæíîñòíûõ ëèö;
â) æóðíàëû àóäèòà è àíàëîãè÷íûå ñâèäåòåëüñòâà äîëæíû áûòü ñîáðàíû (12.1.7) è çàùèùåíû
ñîîòâåòñòâóþùèì îáðàçîì ñ öåëüþ:
1) âíóòðåííåãî àíàëèçà ïðîáëåìû;
2) èñïîëüçîâàíèÿ êàê äîêàçàòåëüñòâî â îòíîøåíèè âîçìîæíîãî íàðóøåíèÿ óñëîâèé êîíòðàêòà,
íàðóøåíèÿ òðåáîâàíèé çàêîíîäàòåëüñòâà èëè, â ñëó÷àå ãðàæäàíñêèõ èëè óãîëîâíûõ ñóäåáíûõ
ðàçáèðàòåëüñòâ, êàñàþùèõñÿ, íàïðèìåð, çàùèòû ïåðñîíàëüíûõ äàííûõ èëè íåïðàâîìî÷íîãî
èñïîëüçîâàíèÿ êîìïüþòåðîâ;
3) âåäåíèÿ ïåðåãîâîðîâ îòíîñèòåëüíî êîìïåíñàöèè óùåðáà ñ ïîñòàâùèêàìè ïðîãðàììíîãî
îáåñïå÷åíèÿ è óñëóã;
ã) äåéñòâèÿ ïî óñòðàíåíèþ ñáîåâ ñèñòåì è ëèêâèäàöèè ïîñëåäñòâèé èíöèäåíòîâ íàðóøåíèÿ
èíôîðìàöèîííîé áåçîïàñíîñòè äîëæíû áûòü ïîä òùàòåëüíûì è ôîðìàëèçîâàííûì êîíòðîëåì. Íåîáõîäèìî íàëè÷èå ïðîöåäóð ñ öåëüþ îáåñïå÷åíèÿ óâåðåííîñòè â òîì, ÷òî:
1) òîëüêî ïîëíîñòüþ èäåíòèôèöèðîâàííîìó è àâòîðèçîâàííîìó ïåðñîíàëó ïðåäîñòàâëåí äîñòóï ê ñèñòåìàì è äàííûì â ñðåäå ïðîìûøëåííîé ýêñïëóàòàöèè (4.2.2 â îòíîøåíèè äîñòóïà
òðåòüåé ñòîðîíû);
2) âñå äåéñòâèÿ, ïðåäïðèíÿòûå ïðè ÷ðåçâû÷àéíûõ îáñòîÿòåëüñòâàõ, ïîäðîáíî äîêóìåíòàëüíî
îôîðìëåíû;
3) î äåéñòâèÿõ, ïðåäïðèíÿòûõ ïðè ÷ðåçâû÷àéíûõ îáñòîÿòåëüñòâàõ, ñîîáùåíî ðóêîâîäñòâó
îðãàíèçàöèè, è îíè ïðîàíàëèçèðîâàíû â óñòàíîâëåííîì ïîðÿäêå;
4) öåëîñòíîñòü áèçíåñ-ñèñòåì è ñèñòåì êîíòðîëÿ ïîäòâåðæäåíà â ìèíèìàëüíûå ñðîêè.
8.1.4 Ðàçãðàíè÷åíèå îáÿçàííîñòåé
Ðàçãðàíè÷åíèå îáÿçàííîñòåé — ýòî ñïîñîá ìèíèìèçàöèè ðèñêà íåøòàòíîãî èñïîëüçîâàíèÿ ñèñòåì
âñëåäñòâèå îøèáî÷íûõ èëè çëîíàìåðåííûõ äåéñòâèé ïîëüçîâàòåëåé. Íåîáõîäèìî ðàññìàòðèâàòü ïðèíöèï ðàçãðàíè÷åíèÿ îáÿçàííîñòåé â îòíîøåíèè ôóíêöèé óïðàâëåíèÿ, âûïîëíåíèÿ îïðåäåëåííûõ çàäà÷ è
îáëàñòåé îòâåòñòâåííîñòè êàê ñïîñîá óìåíüøåíèÿ íåàâòîðèçîâàííîé ìîäèôèêàöèè èëè íåïðàâèëüíîãî
èñïîëüçîâàíèÿ èíôîðìàöèè èëè ñåðâèñîâ.
Äëÿ íåáîëüøèõ îðãàíèçàöèé ýòè ìåðîïðèÿòèÿ òðóäíîäîñòèæèìû, îäíàêî äàííûé ïðèíöèï äîëæåí
áûòü ïðèìåíåí íàñêîëüêî ýòî âîçìîæíî.  ñëó÷àÿõ, êîãäà ðàçäåëåíèå îáÿçàííîñòåé îñóùåñòâèòü
çàòðóäíèòåëüíî, ñëåäóåò ðàññìàòðèâàòü èñïîëüçîâàíèå äðóãèõ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ, òàêèõ êàê ìîíèòîðèíã äåÿòåëüíîñòè, èñïîëüçîâàíèå æóðíàëîâ àóäèòà, à òàêæå
ìåð àäìèíèñòðàòèâíîãî êîíòðîëÿ. Â òî æå âðåìÿ âàæíî, ÷òîáû àóäèò áåçîïàñíîñòè îñòàâàëñÿ
íåçàâèñèìîé ôóíêöèåé.
Íåîáõîäèìî ïðåäïðèíèìàòü ìåðû ïðåäîñòîðîæíîñòè, ÷òîáû ñîòðóäíèê íå ìîã ñîâåðøèòü çëîóïîòðåáëåíèÿ â îáëàñòè ñâîåé åäèíîëè÷íîé îòâåòñòâåííîñòè íå áóäó÷è îáíàðóæåííûì. Èíèöèèðîâàíèå
ñîáûòèÿ äîëæíî áûòü îòäåëåíî îò åãî àâòîðèçàöèè. Íåîáõîäèìî ðàññìàòðèâàòü ñëåäóþùèå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ:
- ðàçãðàíè÷åíèå ïîëíîìî÷èé â îòíîøåíèè âèäîâ äåÿòåëüíîñòè, êîòîðûå ñîçäàþò âîçìîæíîñòü ñãîâîðà äëÿ îñóùåñòâëåíèÿ ìîøåííè÷åñòâà, íàïðèìåð, ôîðìèðîâàíèå çàêàçîâ íà çàêóïêó è ïîäòâåðæäåíèÿ ïîëó÷åíèÿ òîâàðîâ;
- ïðè íàëè÷èè îïàñíîñòè ñãîâîðà ìåðîïðèÿòèÿ äîëæíû áûòü ïðîäóìàíû òàê, ÷òîáû â îñóùåñòâëåíèè îïåðàöèè ó÷àñòâîâàëè äâà èëè áîëåå ëèöà äëÿ ñíèæåíèÿ âîçìîæíîñòè ñîõðàíåíèÿ òàéíû ñãîâîðà.
8.1.5 Ðàçãðàíè÷åíèå ñðåä ðàçðàáîòêè è ïðîìûøëåííîé ýêñïëóàòàöèè
Ïðè ðàçäåëåíèè ñðåä ðàçðàáîòêè, òåñòèðîâàíèÿ è ïðîìûøëåííîé ýêñïëóàòàöèè íåîáõîäèìî ðàçäåëèòü ðîëè è ôóíêöèè ñîòðóäíèêîâ. Ïðàâèëà ïåðåâîäà ïðîãðàììíîãî îáåñïå÷åíèÿ èç ñòàòóñà ðàçðàáàòûâàåìîãî â ñòàòóñ ïðèíÿòîãî ê ýêñïëóàòàöèè äîëæíû áûòü îïðåäåëåíû è äîêóìåíòàëüíî îôîðìëåíû.
18
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
Äåÿòåëüíîñòü, ñâÿçàííàÿ ñ ðàçðàáîòêîé è òåñòèðîâàíèåì, ìîæåò áûòü ïðè÷èíîé ñåðüåçíûõ ïðîáëåì, íàïðèìåð íåæåëàòåëüíûõ èçìåíåíèé ôàéëîâ èëè ñèñòåìíîé ñðåäû, à òàêæå ñèñòåìíûõ ñáîåâ.
Ïðè ýòîì ñëåäóåò îáåñïå÷èâàòü íåîáõîäèìûé óðîâåíü ðàçäåëåíèÿ ìåæäó ñðåäàìè ïðîìûøëåííîé ýêñïëóàòàöèè ïî îòíîøåíèþ ê ñðåäàì òåñòèðîâàíèÿ, à òàêæå äëÿ ïðåäîòâðàùåíèÿ îïåðàöèîííûõ ñáîåâ.
Àíàëîãè÷íîå ðàçäåëåíèå ñëåäóåò òàêæå ðåàëèçîâûâàòü ìåæäó ôóíêöèÿìè ðàçðàáîòêè è òåñòèðîâàíèÿ.
 ýòîì ñëó÷àå íåîáõîäèìî ïîääåðæèâàòü â ðàáî÷åì ñîñòîÿíèè îòäåëüíóþ ñðåäó, â êîòîðîé ñëåäóåò
âûïîëíÿòü êîìïëåêñíîå òåñòèðîâàíèå ñ èçâåñòíîé ñòàáèëüíîñòüþ è ïðåäîòâðàùàòü
íåñàíêöèîíèðîâàííûé äîñòóï ñî ñòîðîíû ðàçðàáîò÷èêîâ.
Òàì, ãäå ñîòðóäíèêè, îòâå÷àþùèå çà ðàçðàáîòêó è òåñòèðîâàíèå, èìåþò äîñòóï ê ñèñòåìå è äàííûì
ñðåäû ïðîìûøëåííîé ýêñïëóàòàöèè, îíè èìåþò âîçìîæíîñòü óñòàíîâèòü íåàâòîðèçîâàííóþ è íåïðîòåñòèðîâàííóþ ïðîãðàììó èëè èçìåíèòü äàííûå â îïåðàöèîííîé ñðåäå. Ïðèìåíèòåëüíî ê ðÿäó ñèñòåì
ýòà âîçìîæíîñòü ìîãëà áû áûòü èñïîëüçîâàíà ñ öåëüþ çëîóïîòðåáëåíèÿ, à èìåííî äëÿ ñîâåðøåíèÿ
ìîøåííè÷åñòâà èëè óñòàíîâêè íåïðîòåñòèðîâàííîé èëè âðåäîíîñíîé ïðîãðàììû. Íåïðîòåñòèðîâàííîå
èëè âðåäîíîñíîå ïðîãðàììíîå îáåñïå÷åíèå ìîæåò áûòü ïðè÷èíîé ñåðüåçíûõ ïðîáëåì â îïåðàöèîííîé
ñðåäå. Ðàçðàáîò÷èêè è ñïåöèàëèñòû, ïðîâîäÿùèå òåñòèðîâàíèå, ìîãóò òàêæå áûòü ïðè÷èíîé óãðîç äëÿ
áåçîïàñíîñòè îïåðàöèîííîé èíôîðìàöèè è ñèñòåìû.
Êðîìå òîãî, åñëè ðàçðàáîòêà è òåñòèðîâàíèå ïðîèçâîäÿòñÿ â îäíîé êîìïüþòåðíîé ñðåäå, ýòî ìîæåò
ñòàòü ïðè÷èíîé íåïðåäíàìåðåííûõ èçìåíåíèé ïðîãðàììíîãî îáåñïå÷åíèÿ è èíôîðìàöèè. Ðàçäåëåíèå
ñðåä ðàçðàáîòêè, òåñòèðîâàíèÿ è ýêñïëóàòàöèè ÿâëÿåòñÿ, ñëåäîâàòåëüíî, öåëåñîîáðàçíûì äëÿ óìåíüøåíèÿ ðèñêà ñëó÷àéíîãî èçìåíåíèÿ èëè íåàâòîðèçîâàííîãî äîñòóïà ê ïðîãðàììíîìó îáåñïå÷åíèþ è áèçíåñ-äàííûì ñðåäû ïðîìûøëåííîé ýêñïëóàòàöèè. Íåîáõîäèìî ðàññìàòðèâàòü ñëåäóþùèå ìåðîïðèÿòèÿ
ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ:
- ïðîãðàììíîå îáåñïå÷åíèå äëÿ ðàçðàáîòêè è ýêñïëóàòàöèè, ïî âîçìîæíîñòè, äîëæíî ðàáîòàòü íà
ðàçëè÷íûõ êîìïüþòåðíûõ ïðîöåññîðàõ èëè â ðàçëè÷íûõ äîìåíàõ èëè äèðåêòîðèÿõ;
- äåéñòâèÿ ïî ðàçðàáîòêå è òåñòèðîâàíèþ äîëæíû áûòü ðàçäåëåíû, íàñêîëüêî ýòî âîçìîæíî;
- êîìïèëÿòîðû, ðåäàêòîðû è äðóãèå ñèñòåìíûå óòèëèòû íå äîëæíû áûòü äîñòóïíû â îïåðàöèîííîé
ñðåäå áåç êðàéíåé íåîáõîäèìîñòè;
- ÷òîáû óìåíüøèòü ðèñê îøèáîê, äëÿ îïåðàöèîííûõ è òåñòîâûõ ñèñòåì äîëæíû èñïîëüçîâàòüñÿ
ðàçëè÷íûå ïðîöåäóðû ðåãèñòðàöèè (âõîäà â ñèñòåìó). Ïîëüçîâàòåëÿì ñëåäóåò ðåêîìåíäîâàòü ïðèìåíåíèå ðàçëè÷íûõ ïàðîëåé äëÿ ýòèõ ñèñòåì, à â èõ ýêðàííûõ ìåíþ äîëæíû ïîêàçûâàòüñÿ ñîîòâåòñòâóþùèå
èäåíòèôèêàöèîííûå ñîîáùåíèÿ;
- ðàçðàáîò÷èêè ìîãóò èìåòü äîñòóï ê ïàðîëÿì ñèñòåì îïåðàöèîííîé ñðåäû òîëüêî â òîì ñëó÷àå,
åñëè âíåäðåíû ñïåöèàëüíûå ìåðîïðèÿòèÿ ïî ïîðÿäêó ïðåäîñòàâëåíèÿ ïàðîëåé äëÿ ïîääåðæêè ñðåäû
ïðîìûøëåííîé ýêñïëóàòàöèè. Ýòè ìåðû äîëæíû îáåñïå÷èâàòü ñìåíó ïàðîëåé ïîñëå èñïîëüçîâàíèÿ.
8.1.6 Óïðàâëåíèå ñðåäñòâàìè îáðàáîòêè èíôîðìàöèè ñòîðîííèìè ëèöàìè è/èëè îðãàíèçàöèÿìè
Èñïîëüçîâàíèå ñòîðîííèõ ïîäðÿä÷èêîâ äëÿ óïðàâëåíèÿ ñðåäñòâàìè îáðàáîòêè èíôîðìàöèè ÿâëÿåòñÿ ïîòåíöèàëüíîé óãðîçîé äëÿ áåçîïàñíîñòè, ïîñêîëüêó âîçíèêàåò âîçìîæíîñòü êîìïðîìåòàöèè,
ïîâðåæäåíèÿ èëè ïîòåðè äàííûõ â îðãàíèçàöèè ïîäðÿä÷èêà. Òàêèå ðèñêè äîëæíû áûòü èäåíòèôèöèðîâàíû çàðàíåå, à ñîîòâåòñòâóþùèå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ ñîãëàñîâàíû ñ ïîäðÿä÷èêîì è âêëþ÷åíû â êîíòðàêò (4.2.2 è 4.3 â îòíîøåíèè ðóêîâîäñòâ ïî êîíòðàêòàì ñ òðåòüåé
ñòîðîíîé, ïðåäóñìàòðèâàþùèõ äîñòóï ê ñðåäñòâàì îáðàáîòêè èíôîðìàöèè îðãàíèçàöèè è â îòíîøåíèè
êîíòðàêòîâ ïî àóòñîðñèíãó).
 ýòèõ óñëîâèÿõ òðåáóåòñÿ ðåøåíèå ñïåöèàëüíûõ âîïðîñîâ:
- èäåíòèôèêàöèÿ âàæíûõ èëè êðèòè÷åñêèõ áèçíåñ-ïðèëîæåíèé, êîòîðûå ëó÷øå îñòàâèòü â îðãàíèçàöèè;
- ïîëó÷åíèå îäîáðåíèÿ âëàäåëüöåâ êîììåð÷åñêèõ áèçíåñ-ïðèëîæåíèé;
- îöåíêà âëèÿíèÿ íà ïëàíû îáåñïå÷åíèÿ íåïðåðûâíîñòè áèçíåñà;
- îïðåäåëåíèå ïåðå÷íÿ ñòàíäàðòîâ áåçîïàñíîñòè, êîòîðûå äîëæíû áûòü âêëþ÷åíû â êîíòðàêòû, è
ïðîöåäóð ïðîâåðêè âûïîëíåíèÿ èõ òðåáîâàíèé;
- ðàñïðåäåëåíèå êîíêðåòíûõ îáÿçàííîñòåé è ïðîöåäóð äëÿ ýôôåêòèâíîãî ìîíèòîðèíãà âñåõ ïðèìåíÿåìûõ âèäîâ äåÿòåëüíîñòè, ñâÿçàííûõ ñ èíôîðìàöèîííîé áåçîïàñíîñòüþ;
- îïðåäåëåíèå îáÿçàííîñòåé è ïðîöåäóð â îòíîøåíèè èíôîðìèðîâàíèÿ è óïðàâëåíèÿ ïðîöåññàìè
ëèêâèäàöèè ïîñëåäñòâèé èíöèäåíòîâ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè (8.1.3).
8.2 Ïëàíèðîâàíèå íàãðóçêè è ïðèåìêà ñèñòåì
Öåëü: ñâåäåíèå ê ìèíèìóìó ðèñêà ñáîåâ â ðàáîòå ñèñòåì.
19
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
Äëÿ îáåñïå÷åíèÿ äîñòóïíîñòè äàííûõ, òðåáóåìîé ïðîèçâîäèòåëüíîñòè è ðåñóðñîâ ñèñòåì íåîáõîäèìî ïðîâåñòè ïðåäâàðèòåëüíîå ïëàíèðîâàíèå è ïîäãîòîâêó.
Äëÿ ñíèæåíèÿ ðèñêà ïåðåãðóçêè ñèñòåì íåîáõîäèìî ïðîâîäèòü àíàëèç ïðåäïîëàãàåìîé åå íàãðóçêè.
Òðåáîâàíèÿ ê ýêñïëóàòàöèè íîâûõ ñèñòåì äîëæíû áûòü îïðåäåëåíû, äîêóìåíòàëüíî îôîðìëåíû è
ïðîòåñòèðîâàíû ïåðåä èõ ïðèåìêîé è èñïîëüçîâàíèåì.
8.2.1 Ïëàíèðîâàíèå ïðîèçâîäèòåëüíîñòè
Äëÿ îáåñïå÷åíèÿ íåîáõîäèìûõ ìîùíîñòåé ïî îáðàáîòêå è õðàíåíèþ èíôîðìàöèè íåîáõîäèì àíàëèç òåêóùèõ òðåáîâàíèé ê ïðîèçâîäèòåëüíîñòè, à òàêæå ïðîãíîç áóäóùèõ. Ýòè ïðîãíîçû äîëæíû ó÷èòûâàòü íîâûå ôóíêöèîíàëüíûå è ñèñòåìíûå òðåáîâàíèÿ, à òàêæå òåêóùèå ïëàíû è ïåðñïåêòèâíûå ïëàíû
ðàçâèòèÿ èíôîðìàöèîííûõ òåõíîëîãèé â îðãàíèçàöèè.
Ìýéíôðåéìû òðåáóþò îñîáîãî âíèìàíèÿ âñëåäñòâèå çíà÷èòåëüíûõ ôèíàíñîâûõ è âðåìåííûõ
çàòðàò íà ïîâûøåíèå èõ ïðîèçâîäèòåëüíîñòè. Ðóêîâîäèòåëè, îòâå÷àþùèå çà ïðåäîñòàâëåíèå
ìýéíôðåéìîâûõ óñëóã, äîëæíû ïðîâîäèòü ìîíèòîðèíã çàãðóçêè êëþ÷åâûõ ñèñòåìíûõ ðåñóðñîâ, â òîì
÷èñëå ïðîöåññîðîâ, îïåðàòèâíîé è âíåøíåé ïàìÿòè, ïðèíòåðîâ è äðóãèõ óñòðîéñòâ âûâîäà, à òàêæå ñèñòåì ñâÿçè. Ýòè ðóêîâîäèòåëè äîëæíû îïðåäåëÿòü îáùèå ïîòðåáíîñòè è òåíäåíöèè â èñïîëüçîâàíèè êîìïüþòåðíûõ ðåñóðñîâ, ÷òî îñîáåííî âàæíî äëÿ ïîääåðæêè áèçíåñ-ïðèëîæåíèé èëè ñèñòåì óïðàâëåíèÿ
äëÿ ðóêîâîäñòâà.
Ðóêîâîäèòåëÿì ñëåäóåò èñïîëüçîâàòü ýòó èíôîðìàöèþ ñ öåëüþ èäåíòèôèêàöèè/èçáåæàíèÿ ïîòåíöèàëüíî óçêèõ ìåñò, ïðåäñòàâëÿþùèõ óãðîçó áåçîïàñíîñòè ñèñòåìû èëè ïîëüçîâàòåëüñêèì ñåðâèñàì, à
òàêæå ñ öåëüþ ïëàíèðîâàíèÿ ñîîòâåòñòâóþùèõ ìåðîïðèÿòèé ïî îáåñïå÷åíèþ èíôîðìàöèîííîé
áåçîïàñíîñòè.
8.2.2 Ïðèåìêà ñèñòåì
Ïåðåä ïðèåìêîé ñèñòåì äîëæíû áûòü îïðåäåëåíû êðèòåðèè ïðèåìêè íîâûõ èíôîðìàöèîííûõ ñèñòåì, íîâûõ âåðñèé è îáíîâëåíèé, à òàêæå äîëæíî ïðîâîäèòüñÿ íåîáõîäèìîå èõ òåñòèðîâàíèå. Òðåáîâàíèÿ è êðèòåðèè äëÿ ïðèíÿòèÿ íîâûõ ñèñòåì äîëæíû áûòü ÷åòêî îïðåäåëåíû, ñîãëàñîâàíû,
äîêóìåíòàëüíî îôîðìëåíû è îïðîáîâàíû. Â ýòèõ öåëÿõ íåîáõîäèìî ïðåäóñìàòðèâàòü ñëåäóþùèå
ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ:
- îöåíêà âûïîëíåíèÿ òðåáîâàíèé ê ìîùíîñòè è ïðîèçâîäèòåëüíîñòè êîìïüþòåðà;
- îïðåäåëåíèå ïðîöåäóð âîññòàíîâëåíèÿ ïîñëå ñáîåâ è ïîâòîðíîãî çàïóñêà, à òàêæå ôîðìèðîâàíèå ïëàíîâ îáåñïå÷åíèÿ íåïðåðûâíîé ðàáîòû;
- ïîäãîòîâêà è òåñòèðîâàíèå òèïîâûõ îïåðàöèîííûõ ïðîöåññîâ íà ñîîòâåòñòâèå îïðåäåëåííûì
ñòàíäàðòàì;
- íàëè÷èå íåîáõîäèìîãî íàáîðà ñðåäñòâ êîíòðîëÿ èíôîðìàöèîííîé áåçîïàñíîñòè;
- ðàçðàáîòêà ýôôåêòèâíûõ ðóêîâîäñòâ ïî ïðîöåäóðàì;
- îáåñïå÷åíèå íåïðåðûâíîñòè áèçíåñà â ñîîòâåòñòâèè ñ òðåáîâàíèÿìè 11.1;
- îáÿçàòåëüíàÿ ïðîâåðêà îòñóòñòâèÿ íåáëàãîïðèÿòíîãî âëèÿíèÿ íîâûõ ñèñòåì íà ñóùåñòâóþùèå,
îñîáåííî âî âðåìÿ ìàêñèìàëüíûõ íàãðóçîê, íàïðèìåð, â êîíöå ìåñÿöà;
- êîíòðîëü ïðîâåäåíèÿ àíàëèçà âëèÿíèÿ, îêàçûâàåìîãî íîâîé ñèñòåìîé íà îáùóþ èíôîðìàöèîííóþ áåçîïàñíîñòü îðãàíèçàöèè;
- îðãàíèçàöèÿ ïðîôåññèîíàëüíîé ïîäãîòîâêè ïåðñîíàëà ê ýêñïëóàòàöèè è èñïîëüçîâàíèþ íîâûõ
ñèñòåì.
Äëÿ êîíñóëüòàöèé íà âñåõ ýòàïàõ ðàçðàáîòêè íîâûõ ñèñòåì äîëæíû ïðèâëåêàòüñÿ ñëóæáû ïîääåðæêè (ýêñïëóàòàöèè) è ïîëüçîâàòåëè ñ öåëüþ îáåñïå÷åíèÿ ýôôåêòèâíîé ýêñïëóàòàöèè ïðîåêòèðóåìîé
ñèñòåìû. Ïðè ýòîì äîëæíû ïðîâîäèòüñÿ ñîîòâåòñòâóþùèå òåñòû äëÿ ïîäòâåðæäåíèÿ òîãî, ÷òî âñå êðèòåðèè ïðèåìêè óäîâëåòâîðåíû ïîëíîñòüþ.
8.3 Çàùèòà îò âðåäîíîñíîãî ïðîãðàììíîãî îáåñïå÷åíèÿ
Öåëü: îáåñïå÷åíèå çàùèòû öåëîñòíîñòè ïðîãðàììíîãî îáåñïå÷åíèÿ è ìàññèâîâ èíôîðìàöèè.
Íåîáõîäèìî ïðèíèìàòü ìåðû ïðåäîòâðàùåíèÿ è îáíàðóæåíèÿ âíåäðåíèÿ âðåäîíîñíîãî ïðîãðàììíîãî îáåñïå÷åíèÿ.
Ïðîãðàììíîå îáåñïå÷åíèå è ñðåäñòâà îáðàáîòêè èíôîðìàöèè óÿçâèìû ê âíåäðåíèþ âðåäîíîñíîãî
ïðîãðàììíîãî îáåñïå÷åíèÿ, òàêîãî êàê êîìïüþòåðíûå âèðóñû, ñåòåâûå «÷åðâè», «òðîÿíñêèå êîíè»
(10.5.4) è ëîãè÷åñêèå áîìáû. Ïîëüçîâàòåëè äîëæíû áûòü îñâåäîìëåíû îá îïàñíîñòè èñïîëüçîâàíèÿ
íåàâòîðèçîâàííîãî èëè âðåäîíîñíîãî ïðîãðàììíîãî îáåñïå÷åíèÿ, à ñîîòâåòñòâóþùèå ðóêîâîäèòåëè
äîëæíû îáåñïå÷èòü âíåäðåíèå ñïåöèàëüíûõ ñðåäñòâ êîíòðîëÿ ñ öåëüþ îáíàðóæåíèÿ è/èëè ïðåäîòâðàùåíèÿ ïðîíèêíîâåíèÿ ïîäîáíûõ ïðîãðàìì.  ÷àñòíîñòè, âàæíî ïðèíÿòèå ìåð ïðåäîñòîðîæíîñòè ñ
öåëüþ îáíàðóæåíèÿ è ïðåäîòâðàùåíèÿ çàðàæåíèÿ êîìïüþòåðíûìè âèðóñàìè ïåðñîíàëüíûõ
êîìïüþòåðîâ.
20
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
8.3.1 Ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ äëÿ áîðüáû ñ âðåäîíîñíûì ïðîãðàììíûì îáåñïå÷åíèåì
Ñ öåëüþ îáíàðóæåíèÿ è ïðåäîòâðàùåíèÿ ïðîíèêíîâåíèÿ âðåäîíîñíîãî ïðîãðàììíîãî îáåñïå÷åíèÿ íåîáõîäèìî ïëàíèðîâàíèå è ðåàëèçàöèÿ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ, à òàêæå ôîðìèðîâàíèå ïðîöåäóð, îáåñïå÷èâàþùèõ ñîîòâåòñòâóþùóþ îñâåäîìëåííîñòü
ïîëüçîâàòåëåé. Çàùèòà îò âðåäîíîñíîãî ïðîãðàììíîãî îáåñïå÷åíèÿ äîëæíà îñíîâûâàòüñÿ íà ïîíèìàíèè òðåáîâàíèé áåçîïàñíîñòè, ñîîòâåòñòâóþùèõ ìåðàõ êîíòðîëÿ äîñòóïà ê ñèñòåìàì è íàäëåæàùåì
óïðàâëåíèè èçìåíåíèÿìè. Íåîáõîäèìî ðàññìàòðèâàòü ñëåäóþùèå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ
èíôîðìàöèîííîé áåçîïàñíîñòüþ:
- äîêóìåíòèðîâàííóþ ïîëèòèêó, òðåáóþùóþ ñîáëþäåíèÿ ëèöåíçèîííûõ ñîãëàøåíèé è óñòàíàâëèâàþùóþ çàïðåò íà èñïîëüçîâàíèå íåàâòîðèçîâàííîãî ïðîãðàììíîãî îáåñïå÷åíèÿ (12.1.2.2);
- äîêóìåíòèðîâàííóþ ïîëèòèêó çàùèòû îò ðèñêîâ, ñâÿçàííûõ ñ ïîëó÷åíèåì ôàéëîâ è ïðîãðàììíîãî îáåñïå÷åíèÿ èç âíåøíèõ ñåòåé, ÷åðåç âíåøíèå ñåòè èëè èç ëþáîé äðóãîé ñðåäû.  ýòîé ïîëèòèêå äîëæíî ñîäåðæàòüñÿ óêàçàíèå î íåîáõîäèìîñòè ïðèíÿòèÿ çàùèòíûõ ìåð (10.5, 10.5.4, 10.5.5);
- óñòàíîâêó è ðåãóëÿðíîå îáíîâëåíèå àíòèâèðóñíîãî ïðîãðàììíîãî îáåñïå÷åíèÿ äëÿ îáíàðóæåíèÿ
è ñêàíèðîâàíèÿ êîìïüþòåðîâ è íîñèòåëåé èíôîðìàöèè, çàïóñêàåìîãî â ñëó÷àå íåîáõîäèìîñòè â êà÷åñòâå ïðåâåíòèâíîé ìåðû èëè ðóòèííîé ïðîöåäóðû;
- ïðîâåäåíèå ðåãóëÿðíûõ èíâåíòàðèçàöèé ïðîãðàììíîãî îáåñïå÷åíèÿ è äàííûõ ñèñòåì, ïîääåðæèâàþùèõ êðèòè÷åñêèå áèçíåñ-ïðîöåññû. Íåîáõîäèìà òàêæå ôîðìàëèçîâàííàÿ ïðîöåäóðà ïî ðàññëåäîâàíèþ ïðè÷èí ïîÿâëåíèÿ ëþáûõ íåàâòîðèçîâàííûõ èëè èçìåíåííûõ ôàéëîâ â ñèñòåìå;
- ïðîâåðêó âñåõ ôàéëîâ íà íîñèòåëÿõ èíôîðìàöèè ñîìíèòåëüíîãî èëè íåàâòîðèçîâàííîãî ïðîèñõîæäåíèÿ èëè ôàéëîâ, ïîëó÷åííûõ èç îáùåäîñòóïíûõ ñåòåé, íà íàëè÷èå âèðóñîâ ïåðåä ðàáîòîé ñ ýòèìè
ôàéëàìè;
- ïðîâåðêó ëþáûõ âëîæåíèé ýëåêòðîííîé ïî÷òû è ñêà÷èâàåìîé èíôîðìàöèè íà íàëè÷èå âðåäîíîñíîãî ïðîãðàììíîãî îáåñïå÷åíèÿ äî èõ èñïîëüçîâàíèÿ.
Ýòà ïðîâåðêà ìîæåò áûòü âûïîëíåíà â ðàçíûõ òî÷êàõ, íàïðèìåð, íà ýëåêòðîííîé ïî÷òå, ïåðñîíàëüíûõ êîìïüþòåðàõ èëè ïðè âõîäå â ñåòü îðãàíèçàöèè;
- óïðàâëåí÷åñêèå ïðîöåäóðû è îáÿçàííîñòè, ñâÿçàííûå ñ çàùèòîé îò âèðóñîâ, îáó÷åíèå ïðèìåíåíèþ ýòèõ ïðîöåäóð, à òàêæå âîïðîñû îïîâåùåíèÿ è âîññòàíîâëåíèÿ ïîñëå âèðóñíûõ àòàê (6.3, 8.1.3);
- ñîîòâåòñòâóþùèå ïëàíû ïî îáåñïå÷åíèþ íåïðåðûâíîñòè áèçíåñà â ÷àñòè âîññòàíîâëåíèÿ ïîñëå
âèðóñíûõ àòàê, âêëþ÷àÿ âñå íåîáõîäèìûå ìåðîïðèÿòèÿ ïî ðåçåðâèðîâàíèþ è âîññòàíîâëåíèþ äàííûõ è
ïðîãðàììíîãî îáåñïå÷åíèÿ (ðàçäåë 11);
- ïðîöåäóðû ïî êîíòðîëþ âñåé èíôîðìàöèè, êàñàþùåéñÿ âðåäîíîñíîãî ïðîãðàììíîãî îáåñïå÷åíèÿ, îáåñïå÷åíèå òî÷íîñòè è èíôîðìàòèâíîñòè ïðåäóïðåäèòåëüíûõ ñîîáùåíèé. Äëÿ îïðåäåëåíèÿ ðàçëè÷èÿ ìåæäó ëîæíûìè è ðåàëüíûìè âèðóñàìè äîëæíû èñïîëüçîâàòüñÿ ïðîôåññèîíàëüíûå èñòî÷íèêè,
íàïðèìåð, ðåñïåêòàáåëüíûå æóðíàëû, çàñëóæèâàþùèå äîâåðèÿ èíòåðíåò-ñàéòû èëè ïîñòàâùèêè àíòèâèðóñíîãî ïðîãðàììíîãî îáåñïå÷åíèÿ. Ïåðñîíàë äîëæåí áûòü îñâåäîìëåí î ïðîáëåìå ëîæíûõ âèðóñîâ
è äåéñòâèÿõ ïðè èõ ïîëó÷åíèè.
Ýòè ìåðîïðèÿòèÿ îñîáåííî âàæíû â îòíîøåíèè ñåòåâûõ ôàéëîâûõ ñåðâåðîâ, îáñëóæèâàþùèõ
áîëüøîå êîëè÷åñòâî ðàáî÷èõ ñòàíöèé.
8.4 Âñïîìîãàòåëüíûå îïåðàöèè
Öåëü: ïîääåðæàíèå öåëîñòíîñòè è äîñòóïíîñòè óñëóã ïî îáðàáîòêå èíôîðìàöèè è ñâÿçè.
 ñîîòâåòñòâèè ñ óòâåðæäåííîé ñòðàòåãèåé äîëæíû óñòàíàâëèâàòüñÿ ðåãóëÿðíûå ïðîöåäóðû
ðåçåðâèðîâàíèÿ ïðèêëàäíîãî ïðîãðàììíîãî îáåñïå÷åíèÿ (11.1), ôîðìèðîâàíèÿ êîïèé äàííûõ è òåñòèðîâàíèÿ, èõ ñâîåâðåìåííîãî âîññòàíîâëåíèÿ, ðåãèñòðàöèè ñîáûòèé è îøèáîê è, ãäå íåîáõîäèìî, ìîíèòîðèíãà ñîñòîÿíèÿ àïïàðàòíûõ ñðåäñòâ.
8.4.1 Ðåçåðâèðîâàíèå èíôîðìàöèè
Ðåçåðâíîå êîïèðîâàíèå âàæíîé ñëóæåáíîé èíôîðìàöèè è ïðîãðàììíîãî îáåñïå÷åíèÿ äîëæíî
âûïîëíÿòüñÿ íà ðåãóëÿðíîé îñíîâå. Ñëåäóåò îáåñïå÷èâàòü àäåêâàòíûå ñðåäñòâà ðåçåðâèðîâàíèÿ äëÿ
îáåñïå÷åíèÿ óâåðåííîñòè â òîì, ÷òî âñÿ âàæíàÿ äåëîâàÿ èíôîðìàöèÿ è ïðîãðàììíîå îáåñïå÷åíèå ñìîãóò áûòü âîññòàíîâëåíû ïîñëå áåäñòâèÿ èëè ñáîÿ îáîðóäîâàíèÿ. Ìåðîïðèÿòèÿ ïî ðåçåðâèðîâàíèþ äëÿ
êàæäîé îòäåëüíîé ñèñòåìû äîëæíû ðåãóëÿðíî òåñòèðîâàòüñÿ äëÿ îáåñïå÷åíèÿ óâåðåííîñòè â òîì, ÷òî
îíè óäîâëåòâîðÿþò òðåáîâàíèÿì ïëàíîâ ïî îáåñïå÷åíèþ íåïðåðûâíîñòè áèçíåñà (ðàçäåë 11).  ýòèõ
ñëó÷àÿõ öåëåñîîáðàçíî ïðèìåíÿòü ñëåäóþùèå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé
áåçîïàñíîñòüþ:
- ìèíèìàëüíî íåîáõîäèìûé îáúåì ðåçåðâíîé èíôîðìàöèè, âìåñòå ñ òî÷íûìè è ïîëíûìè ðåãèñòðàöèîííûìè çàïèñÿìè ïî ñîäåðæàíèþ ðåçåðâíûõ êîïèé, à òàêæå äîêóìåíòàöèÿ ïî ïðîöåäóðàì âîññòà21
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
íîâëåíèÿ âî èçáåæàíèå ëþáîãî ïîâðåæäåíèÿ îò ñòèõèéíûõ áåäñòâèé äîëæíû õðàíèòüñÿ â äîñòàòî÷íî
îòäàëåííîì ìåñòå îò îñíîâíîãî çäàíèÿ. Ïî êðàéíåé ìåðå òðè ïîêîëåíèÿ (öèêëà) ðåçåðâíîé èíôîðìàöèè
äîëæíû áûòü ñîõðàíåíû äëÿ âàæíûõ áèçíåñ-ïðèëîæåíèé:
- ðåçåðâíàÿ èíôîðìàöèÿ äîëæíà áûòü îáåñïå÷åíà ãàðàíòèðîâàííûì óðîâíåì ôèçè÷åñêîé çàùèòû
è çàùèòû îò âîçäåéñòâèé îêðóæàþùåé ñðåäû (ðàçäåë 7) â ñîîòâåòñòâèè ñ óðîâíåì áåçîïàñíîñòè â îñíîâíîì çäàíèè. Ìåðîïðèÿòèÿ, ïðèìåíÿåìûå ê îáîðóäîâàíèþ â îñíîâíîì çäàíèè, äîëæíû ðàñïðîñòðàíÿòüñÿ
íà ðåçåðâíûé ïóíêò;
- ðåçåðâíîå îáîðóäîâàíèå äîëæíî ðåãóëÿðíî ïîäâåðãàòüñÿ òåñòèðîâàíèþ äëÿ îáåñïå÷åíèÿ óâåðåííîñòè â òîì, ÷òî â ñëó÷àå âîçíèêíîâåíèÿ ÷ðåçâû÷àéíûõ ñèòóàöèé íà åãî ðàáîòó ìîæíî ïîëîæèòüñÿ;
- ïðîöåäóðû âîññòàíîâëåíèÿ ñëåäóåò ðåãóëÿðíî àêòóàëèçèðîâàòü è òåñòèðîâàòü äëÿ îáåñïå÷åíèÿ
óâåðåííîñòè â èõ ýôôåêòèâíîñòè, à òàêæå â òîì, ÷òî äëÿ âûïîëíåíèÿ ýòèõ ïðîöåäóð ïîòðåáóåòñÿ íå áîëüøå âðåìåíè, ÷åì îïðåäåëåíî îïåðàöèîííûìè ïðîöåäóðàìè âîññòàíîâëåíèÿ.
Ñëåäóåò îïðåäåëÿòü ïåðèîäû õðàíåíèÿ âàæíîé ñëóæåáíîé èíôîðìàöèè, à òàêæå ó÷èòûâàòü òðåáîâàíèÿ ê àðõèâíûì êîïèÿì äîëãîâðåìåííîãî õðàíåíèÿ (12.1.3).
8.4.2 Æóðíàëû äåéñòâèé îïåðàòîðà
Îïåðàòîðû äîëæíû âåñòè æóðíàë, â êîòîðîì ñëåäóåò ôèêñèðîâàòü:
- âðåìÿ íà÷àëà è çàâåðøåíèÿ ðàáîòû ñèñòåìû;
- îøèáêè ñèñòåìû è ïðåäïðèíÿòûå êîððåêòèðóþùèå äåéñòâèÿ;
- ïîäòâåðæäåíèå ïðàâèëüíîé îáðàáîòêè äàííûõ ôàéëîâ è âûõîäíûõ äàííûõ êîìïüþòåðà;
- ëè÷íûå äàííûå (íàïðèìåð, ôàìèëèÿ, äîëæíîñòü) ïðîèçâîäÿùåãî çàïèñè â æóðíàë ñïåöèàëèñòà.
Æóðíàëû îïåðàòîðà äîëæíû áûòü ïðåäìåòîì ïîñòîÿííûõ íåçàâèñèìûõ ïðîâåðîê íà ñîîòâåòñòâèå
òðåáîâàíèÿì îïåðàöèîííûõ ïðîöåäóð.
8.4.3 Ðåãèñòðàöèÿ îøèáîê
Îá îøèáêàõ íåîáõîäèìî äîêëàäûâàòü è ïðèíèìàòü êîððåêòèðóþùèå äåéñòâèÿ â ñîîòâåòñòâèè ñ
óñòàíîâëåííûì ïîðÿäêîì. Íåîáõîäèìî ðåãèñòðèðîâàòü ñîîáùåíèÿ ïîëüçîâàòåëåé îá îøèáêàõ, ñâÿçàííûõ ñ îáðàáîòêîé èíôîðìàöèè èëè ñèñòåìàìè ñâÿçè. Äîëæíû ñóùåñòâîâàòü ÷åòêèå ïðàâèëà îáðàáîòêè
äîïóùåííûõ îøèáîê, âêëþ÷àþùèå:
- àíàëèç îøèáîê äëÿ îáåñïå÷åíèÿ óâåðåííîñòè â òîì, ÷òî îíè áûëè óäîâëåòâîðèòåëüíûì îáðàçîì
óñòðàíåíû;
- àíàëèç ïðåäïðèíÿòûõ êîððåêòèðóþùèõ ìåð, îáåñïå÷èâàþùèõ óâåðåííîñòü â òîì, ÷òî ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ íå áûëè ñêîìïðîìåòèðîâàíû (íàðóøåíû) è ïðåäïðèíÿòûå äåéñòâèÿ íàäëåæàùèì îáðàçîì àâòîðèçîâàíû.
8.5 Óïðàâëåíèå ñåòåâûìè ðåñóðñàìè
Öåëü: îáåñïå÷åíèå áåçîïàñíîñòè èíôîðìàöèè â ñåòÿõ è çàùèòû ïîääåðæèâàþùåé èíôðàñòðóêòóðû.
Óïðàâëåíèå áåçîïàñíîñòüþ ñåòåé, êîòîðûå ìîãóò áûòü ðàñïîëîæåíû çà ïðåäåëàìè ãðàíèö îðãàíèçàöèè, òðåáóåò âíèìàíèÿ.
Äîïîëíèòåëüíûå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ ìîãóò òàêæå
ïîòðåáîâàòüñÿ äëÿ çàùèòû âàæíûõ äàííûõ, ïåðåäàâàåìûõ ÷åðåç îáùåäîñòóïíûå ñåòè.
8.5.1 Ñðåäñòâà êîíòðîëÿ ñåòåâûõ ðåñóðñîâ
Äëÿ îáåñïå÷åíèÿ òðåáóåìîãî óðîâíÿ áåçîïàñíîñòè êîìïüþòåðíûõ ñåòåé è åãî ïîääåðæêè òðåáóåòñÿ êîìïëåêñ ñðåäñòâ êîíòðîëÿ. Ðóêîâîäèòåëè, îòâå÷àþùèå çà ïîääåðæêó ñåòåâûõ ðåñóðñîâ, äîëæíû
îáåñïå÷èâàòü âíåäðåíèå ñðåäñòâ êîíòðîëÿ áåçîïàñíîñòè äàííûõ â ñåòÿõ è çàùèòó ïîäêëþ÷åííûõ ñåðâèñîâ îò íåàâòîðèçîâàííîãî äîñòóïà.  ÷àñòíîñòè, íåîáõîäèìî ðàññìàòðèâàòü ñëåäóþùèå ìåðû è ñðåäñòâà óïðàâëåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòüþ:
- ñëåäóåò ðàñïðåäåëÿòü îòâåòñòâåííîñòü çà ïîääåðæàíèå ñåòåâûõ ðåñóðñîâ è êîìïüþòåðíûõ îïåðàöèé (8.1.4);
- ñëåäóåò óñòàíàâëèâàòü ïðîöåäóðû è îáÿçàííîñòè ïî óïðàâëåíèþ óäàëåííûì îáîðóäîâàíèåì,
âêëþ÷àÿ îáîðóäîâàíèå, óñòàíîâëåííîå ó êîíå÷íûõ ïîëüçîâàòåëåé;
- åñëè íåîáõîäèìî, ñïåöèàëüíûå ñðåäñòâà êîíòðîëÿ ñëåäóåò âíåäðÿòü äëÿ îáåñïå÷åíèÿ êîíôèäåíöèàëüíîñòè è öåëîñòíîñòè äàííûõ, ïðîõîäÿùèõ ïî îáùåäîñòóïíûì ñåòÿì, à òàêæå äëÿ çàùèòû ïîäêëþ÷åííûõ ñèñòåì (9.4 è 10.3). Ìîãóò òàêæå ïîòðåáîâàòüñÿ ñïåöèàëüíûå ñðåäñòâà êîíòðîëÿ äëÿ
ïîääåðæàíèÿ äîñòóïíîñòè ñåòåâûõ ñåðâåðîâ è ðàáî÷èõ ñòàíöèé;
- äåéñòâèÿ ïî óïðàâëåíèþ íåîáõîäèìî òùàòåëüíî ñîèçìåðÿòü êàê ñ òðåáîâàíèÿìè ê ñåðâèñàì îò
áèçíåñà, òàê è ñ îáùèìè òðåáîâàíèÿìè ê îáåñïå÷åíèþ áåçîïàñíîñòè èíôðàñòðóêòóðû îáðàáîòêè èíôîðìàöèè.
22
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
8.6 Áåçîïàñíîñòü íîñèòåëåé èíôîðìàöèè
Öåëü: ïðåäîòâðàùåíèå ïîâðåæäåíèé àêòèâîâ è ïðåðûâàíèé áèçíåñ-ïðîöåññîâ. Èñïîëüçîâàíèå
íîñèòåëåé èíôîðìàöèè äîëæíî êîíòðîëèðîâàòüñÿ, à òàêæå äîëæíà îáåñïå÷èâàòüñÿ èõ ôèçè÷åñêàÿ áåçîïàñíîñòü.
Äîëæíû áûòü îïðåäåëåíû ñîîòâåòñòâóþùèå ïðîöåäóðû çàùèòû äîêóìåíòîâ, êîìïüþòåðíûõ íîñèòåëåé èíôîðìàöèè (ëåíò, äèñêîâ, êàññåò), äàííûõ ââîäà/âûâîäà è ñèñòåìíîé äîêóìåíòàöèè îò ïîâðåæäåíèé, âîðîâñòâà è íåïðàâîìî÷íîãî äîñòóïà.
8.6.1 Èñïîëüçîâàíèå ñìåííûõ íîñèòåëåé êîìïüþòåðíîé èíôîðìàöèè
Äîëæíû ñóùåñòâîâàòü ïðîöåäóðû ïî èñïîëüçîâàíèþ ñìåííûõ íîñèòåëåé êîìïüþòåðíîé èíôîðìàöèè (ëåíò, äèñêîâ, êàññåò, à òàêæå ïå÷àòíûõ îò÷åòîâ).  ýòèõ ñëó÷àÿõ íåîáõîäèìî ðàññìàòðèâàòü ñëåäóþùèå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ:
- åñëè íîñèòåëè èíôîðìàöèè ìíîãîêðàòíîãî èñïîëüçîâàíèÿ áîëüøå íå òðåáóþòñÿ è ïåðåäàþòñÿ çà
ïðåäåëû îðãàíèçàöèè, òî èõ ñîäåðæèìîå äîëæíî áûòü óíè÷òîæåíî;
- â îòíîøåíèè âñåõ óíè÷òîæàåìûõ íîñèòåëåé èíôîðìàöèè äîëæíî áûòü ïðèíÿòî ñîîòâåòñòâóþùåå
ðåøåíèå, à òàêæå äîëæíà áûòü ñäåëàíà çàïèñü â ðåãèñòðàöèîííîì æóðíàëå, êîòîðûé ñëåäóåò õðàíèòü
(8.7.2);
- âñå íîñèòåëè èíôîðìàöèè ñëåäóåò õðàíèòü â íàäåæíîì, áåçîïàñíîì ìåñòå â ñîîòâåòñòâèè ñ òðåáîâàíèÿìè èçãîòîâèòåëåé.
Âñå ïðîöåäóðû àâòîðèçàöèè äîëæíû áûòü ÷åòêî äîêóìåíòèðîâàíû.
8.6.2 Óòèëèçàöèÿ íîñèòåëåé èíôîðìàöèè
Íîñèòåëè èíôîðìàöèè ïî îêîí÷àíèè èñïîëüçîâàíèÿ ñëåäóåò íàäåæíî è áåçîïàñíî óòèëèçèðîâàòü.
Âàæíàÿ èíôîðìàöèÿ ìîæåò ïîïàñòü â ðóêè ïîñòîðîííèõ ëèö èç-çà íåáðåæíîé óòèëèçàöèè íîñèòåëåé äàííûõ. ×òîáû ñâåñòè ê ìèíèìóìó òàêîé ðèñê, äîëæíû áûòü óñòàíîâëåíû ôîðìàëèçîâàííûå ïðîöåäóðû
áåçîïàñíîé óòèëèçàöèè íîñèòåëåé èíôîðìàöèè. Äëÿ ýòîãî íåîáõîäèìî ïðåäóñìàòðèâàòü ñëåäóþùèå
ìåðîïðèÿòèÿ:
à) íîñèòåëè, ñîäåðæàùèå âàæíóþ èíôîðìàöèþ, ñëåäóåò õðàíèòü è óòèëèçèðîâàòü íàäåæíî è
áåçîïàñíî (íàïðèìåð, ïîñðåäñòâîì ñæèãàíèÿ/èçìåëü÷åíèÿ). Åñëè íîñèòåëè ïëàíèðóåòñÿ èñïîëüçîâàòü
â ïðåäåëàõ îðãàíèçàöèè äëÿ äðóãèõ çàäà÷, òî èíôîðìàöèÿ íà íèõ äîëæíà áûòü óíè÷òîæåíà;
á) íèæå ïðèâåäåí ïåðå÷åíü îáúåêòîâ, â îòíîøåíèè êîòîðûõ ìîæåò ïîòðåáîâàòüñÿ áåçîïàñíàÿ óòèëèçàöèÿ:
1) áóìàæíûå äîêóìåíòû;
2) ðå÷åâûå èëè äðóãèå çàïèñè;
3) êîïèðîâàëüíàÿ áóìàãà;
4) âûâîäèìûå îò÷åòû;
5) îäíîðàçîâûå ëåíòû äëÿ ïðèíòåðîâ;
6) ìàãíèòíûå ëåíòû;
7) ñìåííûå äèñêè èëè êàññåòû;
8) îïòè÷åñêèå íîñèòåëè äàííûõ (âñå ðàçíîâèäíîñòè, â òîì ÷èñëå íîñèòåëè, ñîäåðæàùèå ïðîãðàììíîå îáåñïå÷åíèå, ïîñòàâëÿåìîå ïðîèçâîäèòåëÿìè);
9) òåêñòû ïðîãðàìì;
10) òåñòîâûå äàííûå;
11) ñèñòåìíàÿ äîêóìåíòàöèÿ;
â) ìîæåò îêàçàòüñÿ ïðîùå ïðèíèìàòü ìåðû áåçîïàñíîé óòèëèçàöèè â îòíîøåíèè âñåõ íîñèòåëåé èíôîðìàöèè, ÷åì ïûòàòüñÿ ñîðòèðîâàòü íîñèòåëè ïî ñòåïåíè âàæíîñòè;
ã) ìíîãèå îðãàíèçàöèè ïðåäëàãàþò óñëóãè ïî ñáîðó è óòèëèçàöèè áóìàãè, îáîðóäîâàíèÿ è
íîñèòåëåé èíôîðìàöèè. Ñëåäóåò òùàòåëüíî âûáèðàòü ïîäõîäÿùåãî ïîäðÿä÷èêà ñ ó÷åòîì èìåþùåãîñÿ ó
íåãî îïûòà è îáåñïå÷åíèÿ íåîáõîäèìîãî óðîâíÿ èíôîðìàöèîííîé áåçîïàñíîñòè;
ä) ïî âîçìîæíîñòè ñëåäóåò ðåãèñòðèðîâàòü óòèëèçàöèþ âàæíûõ îáúåêòîâ ñ öåëüþ ïîñëåäóþùåãî àóäèòà.
Ïðè íàêîïëåíèè íîñèòåëåé èíôîðìàöèè, ïîäëåæàùèõ óòèëèçàöèè, ñëåäóåò ïðèíèìàòü âî âíèìàíèå «ýôôåêò íàêîïëåíèÿ», òî åñòü áîëüøîé îáúåì îòêðûòîé èíôîðìàöèè ìîæåò ñäåëàòü åå áîëåå âàæíîé.
8.6.3 Ïðîöåäóðû îáðàáîòêè èíôîðìàöèè
Ñ öåëüþ îáåñïå÷åíèÿ çàùèòû èíôîðìàöèè îò íåàâòîðèçîâàííîãî ðàñêðûòèÿ èëè íåïðàâèëüíîãî
èñïîëüçîâàíèÿ íåîáõîäèìî îïðåäåëèòü ïðîöåäóðû îáðàáîòêè è õðàíåíèÿ èíôîðìàöèè. Ýòè ïðîöåäóðû
äîëæíû áûòü ðàçðàáîòàíû ñ ó÷åòîì êàòåãîðèðîâàíèÿ èíôîðìàöèè (5.2), à òàêæå â îòíîøåíèè äîêóìåíòîâ, âû÷èñëèòåëüíûõ ñèñòåì, ñåòåé, ïåðåíîñíûõ êîìïüþòåðîâ, ìîáèëüíûõ ñðåäñòâ ñâÿçè, ïî÷òû, ðå÷å23
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
âîé ïî÷òû, ðå÷åâîé ñâÿçè âîîáùå, ìóëüòèìåäèéíûõ óñòðîéñòâ, èñïîëüçîâàíèÿ ôàêñîâ è ëþáûõ äðóãèõ
âàæíûõ îáúåêòîâ, íàïðèìåð, áëàíêîâ, ÷åêîâ è ñ÷åòîâ. Íåîáõîäèìî èñïîëüçîâàòü ñëåäóþùèå ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ (5.2 è 8.7.2):
- îáðàáîòêó è ìàðêèðîâàíèå âñåõ íîñèòåëåé èíôîðìàöèè (8.7.2à);
- îãðàíè÷åíèÿ äîñòóïà ñ öåëüþ èäåíòèôèêàöèè íåàâòîðèçîâàííîãî ïåðñîíàëà;
- îáåñïå÷åíèå ôîðìàëèçîâàííîé ðåãèñòðàöèè àâòîðèçîâàííûõ ïîëó÷àòåëåé äàííûõ;
- îáåñïå÷åíèå óâåðåííîñòè â òîì, ÷òî äàííûå ââîäà ÿâëÿþòñÿ ïîëíûìè, ïðîöåññ îáðàáîòêè çàâåðøàåòñÿ äîëæíûì îáðàçîì è èìååòñÿ ïîäòâåðæäåíèå âûâîäà äàííûõ;
- îáåñïå÷åíèå çàùèòû èíôîðìàöèè, íàõîäÿùåéñÿ â áóôåðå äàííûõ è îæèäàþùåé âûâîäà â ñîîòâåòñòâèè ñ âàæíîñòüþ ýòîé èíôîðìàöèè;
- õðàíåíèå íîñèòåëåé èíôîðìàöèè â ñîîòâåòñòâèè ñ òðåáîâàíèÿìè èçãîòîâèòåëåé;
- ñâåäåíèå ðàññûëêè äàííûõ ê ìèíèìóìó;
- ÷åòêóþ ìàðêèðîâêó âñåõ êîïèé äàííûõ, ïðåäëàãàåìûõ âíèìàíèþ àâòîðèçîâàííîãî ïîëó÷àòåëÿ;
- ðåãóëÿðíûé ïåðåñìîòð ñïèñêîâ ðàññûëêè è ñïèñêîâ àâòîðèçîâàííûõ ïîëó÷àòåëåé.
8.6.4 Áåçîïàñíîñòü ñèñòåìíîé äîêóìåíòàöèè
Ñèñòåìíàÿ äîêóìåíòàöèÿ ìîæåò ñîäåðæàòü îïðåäåëåííóþ âàæíóþ èíôîðìàöèþ, íàïðèìåð, îïèñàíèÿ ïðîöåññîâ ðàáîòû áèçíåñ-ïðèëîæåíèé, ïðîöåäóð, ñòðóêòóð äàííûõ, ïðîöåññîâ àâòîðèçàöèè (9.1).
 ýòèõ óñëîâèÿõ ñ öåëüþ çàùèòû ñèñòåìíîé äîêóìåíòàöèè îò íåàâòîðèçîâàííîãî äîñòóïà íåîáõîäèìî
ïðèìåíÿòü ñëåäóþùèå ìåðîïðèÿòèÿ:
- ñèñòåìíóþ äîêóìåíòàöèþ ñëåäóåò õðàíèòü áåçîïàñíûì îáðàçîì;
- ñïèñîê ëèö, èìåþùèõ äîñòóï ê ñèñòåìíîé äîêóìåíòàöèè, ñëåäóåò ñâîäèòü ê ìèíèìóìó; äîñòóï äîëæåí áûòü àâòîðèçîâàí âëàäåëüöåì áèçíåñ-ïðèëîæåíèÿ;
- ñèñòåìíóþ äîêóìåíòàöèþ, ïîëó÷åííóþ/ïîääåðæèâàåìóþ ÷åðåç îáùåäîñòóïíóþ ñåòü, ñëåäóåò
çàùèùàòü íàäëåæàùèì îáðàçîì.
8.7 Îáìåí èíôîðìàöèåé è ïðîãðàììíûì îáåñïå÷åíèåì
Öåëü: ïðåäîòâðàùåíèå ïîòåðè, ìîäèôèêàöèè èëè íåïðàâèëüíîãî èñïîëüçîâàíèÿ èíôîðìàöèè
ïðè îáìåíå åþ ìåæäó îðãàíèçàöèÿìè.
Îáìåí èíôîðìàöèåé è ïðîãðàììíûì îáåñïå÷åíèåì ìåæäó îðãàíèçàöèÿìè äîëæåí áûòü ïîä êîíòðîëåì è ñîîòâåòñòâîâàòü äåéñòâóþùåìó çàêîíîäàòåëüñòâó (ðàçäåë 12).
Îáìåí èíôîðìàöèåé äîëæåí ïðîèñõîäèòü íà îñíîâå ñîãëàøåíèé ìåæäó îðãàíèçàöèÿìè. Íåîáõîäèìî îïðåäåëèòü ïðîöåäóðû è ìåðîïðèÿòèÿ ïî çàùèòå èíôîðìàöèè è íîñèòåëåé ïðè ïåðåäà÷å. Íåîáõîäèìî ó÷èòûâàòü ïîñëåäñòâèÿ äëÿ äåÿòåëüíîñòè è áåçîïàñíîñòè îðãàíèçàöèè, ñâÿçàííûå ñ ýëåêòðîííûì
îáìåíîì äàííûõ, ýëåêòðîííîé òîðãîâëåé è ýëåêòðîííîé ïî÷òîé, à òàêæå òðåáîâàíèÿ ê ìåðîïðèÿòèÿì ïî
óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ.
8.7.1 Ñîãëàøåíèÿ ïî îáìåíó èíôîðìàöèåé è ïðîãðàììíûì îáåñïå÷åíèåì
Ïîðÿäîê îáìåíà èíôîðìàöèåé è ïðîãðàììíûì îáåñïå÷åíèåì (êàê ýëåêòðîííûì ñïîñîáîì, òàê è
âðó÷íóþ) ìåæäó îðãàíèçàöèÿìè, âêëþ÷àÿ ïåðåäà÷ó íà õðàíåíèå èñõîäíûõ òåêñòîâ ïðîãðàìì òðåòüåé
ñòîðîíå, äîëæåí áûòü ñòðîãî ôîðìàëèçîâàí è äîêóìåíòèðîâàí. Òðåáîâàíèÿ áåçîïàñíîñòè â ïîäîáíûõ
ñîãëàøåíèÿõ äîëæíû ó÷èòûâàòü ñòåïåíü âàæíîñòè èíôîðìàöèè, ÿâëÿþùåéñÿ ïðåäìåòîì îáìåíà. Íåîáõîäèìî, ÷òîáû òðåáîâàíèÿ áåçîïàñíîñòè â ïîäîáíûõ ñîãëàøåíèÿõ ó÷èòûâàëè:
- îáÿçàííîñòè ðóêîâîäñòâà ïî êîíòðîëþ è óâåäîìëåíèþ î ïåðåäà÷å, îòïðàâêå è ïîëó÷åíèè èíôîðìàöèè;
- ïðîöåäóðû äëÿ óâåäîìëåíèÿ îòïðàâèòåëÿ î ïåðåäà÷å, îòïðàâêå è ïîëó÷åíèè èíôîðìàöèè;
- ìèíèìàëüíûå òåõíè÷åñêèå òðåáîâàíèÿ ïî ôîðìèðîâàíèþ è ïåðåäà÷å ïàêåòîâ äàííûõ;
- òðåáîâàíèÿ ê êóðüåðñêîé ñëóæáå;
- îòâåòñòâåííîñòü è îáÿçàòåëüñòâà â ñëó÷àå ïîòåðè äàííûõ;
- èñïîëüçîâàíèå ñîãëàñîâàííîé ñèñòåìû ìàðêèðîâêè äëÿ âàæíîé èëè êðèòè÷íîé èíôîðìàöèè,
îáåñïå÷èâàþùåé óâåðåííîñòü â òîì, ÷òî çíà÷åíèå ýòîé ìàðêèðîâêè áóäåò ñðàçó æå ïîíÿòíî è èíôîðìàöèÿ áóäåò ñîîòâåòñòâåííî çàùèùåíà;
- îïðåäåëåíèå âëàäåëüöåâ èíôîðìàöèè è ïðîãðàììíîãî îáåñïå÷åíèÿ, à òàêæå îáÿçàííîñòåé ïî
çàùèòå äàííûõ, ó÷åò àâòîðñêèõ ïðàâ íà ïðîãðàììíîå îáåñïå÷åíèå è àíàëîãè÷íûõ âîïðîñîâ (12.1.2 è
12.1.4);
- òåõíè÷åñêèå òðåáîâàíèÿ â îòíîøåíèè çàïèñè è ñ÷èòûâàíèÿ èíôîðìàöèè è ïðîãðàììíîãî îáåñïå÷åíèÿ;
24
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
- ëþáûå ñïåöèàëüíûå ñðåäñòâà êîíòðîëÿ, êîòîðûå ìîãóò ïîòðåáîâàòüñÿ äëÿ çàùèòû âàæíûõ îáúåêòîâ, íàïðèìåð êðèïòîãðàôè÷åñêèå êëþ÷è (10.3.5).
8.7.2 Áåçîïàñíîñòü íîñèòåëåé èíôîðìàöèè ïðè ïåðåñûëêå
Èíôîðìàöèÿ ìîæåò áûòü èñêàæåíà èëè ñêîìïðîìåòèðîâàíà âñëåäñòâèå íåàâòîðèçîâàííîãî äîñòóïà, íåïðàâèëüíîãî èñïîëüçîâàíèÿ èëè èñêàæåíèÿ âî âðåìÿ ôèçè÷åñêîé òðàíñïîðòèðîâêè, íàïðèìåð, ïðè
ïåðåñûëêå íîñèòåëåé èíôîðìàöèè ïî ïî÷òå èëè ÷åðåç êóðüåðà. Äëÿ çàùèòû èíôîðìàöèè, ïåðåäàâàåìîé
ìåæäó îðãàíèçàöèÿìè, íåîáõîäèìî ïðèìåíÿòü ñëåäóþùèå ìåðû:
à) ñëåäóåò èñïîëüçîâàòü íàäåæíûõ ïåðåâîç÷èêîâ èëè êóðüåðîâ. Ñïèñîê àâòîðèçîâàííûõ
êóðüåðîâ íåîáõîäèìî ñîãëàñîâûâàòü ñ ðóêîâîäñòâîì, êðîìå òîãî, ñëåäóåò âíåäðèòü ïðîöåäóðó ïðîâåðêè
èäåíòèôèêàöèè êóðüåðîâ;
á) óïàêîâêà äîëæíà áûòü äîñòàòî÷íîé äëÿ çàùèòû ñîäåðæèìîãî îò ëþáîãî ôèçè÷åñêîãî
ïîâðåæäåíèÿ, êîòîðîå ìîæåò èìåòü ìåñòî ïðè òðàíñïîðòèðîâêå, è ñîîòâåòñòâîâàòü òðåáîâàíèÿì èçãîòîâèòåëåé íîñèòåëåé èíôîðìàöèè;
â) ñïåöèàëüíûå ñðåäñòâà êîíòðîëÿ ñëåäóåò ïðèìåíÿòü, ïðè íåîáõîäèìîñòè, äëÿ çàùèòû âàæíîé èíôîðìàöèè îò íåàâòîðèçîâàííîãî ðàñêðûòèÿ èëè ìîäèôèêàöèè. Íàïðèìåð:
1) èñïîëüçîâàíèå çàïåðòûõ êîíòåéíåðîâ;
2) ëè÷íóþ äîñòàâêó;
3) èñïîëüçîâàíèå óïàêîâêè, êîòîðóþ íåëüçÿ íàðóøèòü íåçàìåòíî (íà êîòîðîé âèäíà ëþáàÿ
ïîïûòêà âñêðûòèÿ);
4) â èñêëþ÷èòåëüíûõ ñëó÷àÿõ, ðàçáèâêó îòïðàâëåíèÿ íà íåñêîëüêî ÷àñòåé, ïåðåñûëàåìûõ ðàçëè÷íûìè ìàðøðóòàìè;
5) èñïîëüçîâàíèå öèôðîâûõ ïîäïèñåé è øèôðîâàíèÿ äëÿ îáåñïå÷åíèÿ êîíôèäåíöèàëüíîñòè
(10.3).
8.7.3 Áåçîïàñíîñòü ýëåêòðîííîé òîðãîâëè
 ýëåêòðîííîé òîðãîâëå ìîãóò èñïîëüçîâàòüñÿ ðàçëè÷íûå ñïîñîáû îáìåíà äàííûìè, íàïðèìåð, â
ýëåêòðîííîì âèäå (EDI), ÷åðåç ýëåêòðîííóþ ïî÷òó è òðàíçàêöèè â ðåæèìå îí-ëàéí ÷åðåç îáùåäîñòóïíûå
ñåòè, â ÷àñòíîñòè, Èíòåðíåò. Ýëåêòðîííàÿ òîðãîâëÿ ïîäâåðæåíà ðÿäó ñåòåâûõ óãðîç, êîòîðûå ìîãóò ïðèâåñòè ê êðàæå, îñïàðèâàíèþ êîíòðàêòîâ, à òàêæå ðàñêðûòèþ èëè ìîäèôèêàöèè èíôîðìàöèè. ×òîáû çàùèòèòü ýëåêòðîííóþ òîðãîâëþ îò òàêèõ óãðîç, íåîáõîäèìî ïðèìåíÿòü ñîîòâåòñòâóþùèå ìåðîïðèÿòèÿ ïî
óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ. Äëÿ îáåñïå÷åíèÿ áåçîïàñíîñòè ýëåêòðîííîé òîðãîâëè
íåîáõîäèìî ïðîàíàëèçèðîâàòü ñòåïåíü äîñòîâåðíîñòè è îáîñíîâàííîñòè ïðåäëàãàåìûõ ïîñòàâùèêàìè
ìåð îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè:
- àóòåíòèôèêàöèÿ. Ñ êàêîé ñòåïåíüþ êëèåíòó è ïðîäàâöó ñëåäóåò ïðîâåðÿòü èäåíòèôèêàöèþ äðóã
äðóãà?
- àâòîðèçàöèÿ. Êòî óïîëíîìî÷åí óñòàíàâëèâàòü öåíû, ïîäãîòàâëèâàòü èëè ïîäïèñûâàòü êëþ÷åâûå
êîììåð÷åñêèå äîêóìåíòû? Êàêèì îáðàçîì îá ýòîì ìîæåò áûòü ïðîèíôîðìèðîâàí òîðãîâûé ïàðòíåð?
- ïðîöåññû â îòíîøåíèè êîíòðàêòîâ è òåíäåðîâ. Êàêèå òðåáîâàíèÿ ñóùåñòâóþò â îòíîøåíèè êîíôèäåíöèàëüíîñòè, öåëîñòíîñòè, ïîäòâåðæäåíèÿ îòïðàâêè è ïîëó÷åíèÿ êëþ÷åâûõ äîêóìåíòîâ, à òàêæå â
íåâîçìîæíîñòè îòêàçà îò ñîâåðøåííûõ ñäåëîê?
- èíôîðìàöèÿ î öåíàõ. Íàñêîëüêî ìîæíî äîâåðÿòü ðåêëàìå ïðàéñ-ëèñòîâ è êîíôèäåíöèàëüíîñòè â
îòíîøåíèè ñóùåñòâåííûõ ñêèäîê?
- îáðàáîòêà çàêàçîâ. Êàê îáåñïå÷èâàþòñÿ êîíôèäåíöèàëüíîñòü è öåëîñòíîñòü äåòàëåé çàêàçà,
óñëîâèé îïëàòû è àäðåñà ïîñòàâêè, à òàêæå ïîäòâåðæäåíèå ïðè åãî ïîëó÷åíèè?
- êîíòðîëüíûå ïðîâåðêè. Êàêàÿ ñòåïåíü êîíòðîëÿ ÿâëÿåòñÿ äîñòàòî÷íîé, ÷òîáû ïðîâåðèòü èíôîðìàöèþ îá îïëàòå, ïðåäñòàâëåííóþ êëèåíòîì?
- ðàñ÷åòû. Êàêàÿ ôîðìà îïëàòû ÿâëÿåòñÿ íàèáîëåå çàùèùåííîé îò ìîøåííè÷åñòâà?
- îôîðìëåíèå çàêàçîâ. Êàêàÿ òðåáóåòñÿ çàùèòà, ÷òîáû îáåñïå÷èòü êîíôèäåíöèàëüíîñòü è öåëîñòíîñòü èíôîðìàöèè î çàêàçàõ, à òàêæå èçáåæàòü ïîòåðè èëè äóáëèðîâàíèÿ ñäåëîê?
- îòâåòñòâåííîñòü. Êòî íåñåò îòâåòñòâåííîñòü çà ðèñê ëþáûõ ìîøåííè÷åñêèõ ñäåëîê?
Ìíîãèå èç âûøåóïîìÿíóòûõ ïðîáëåì ìîãóò áûòü ðåøåíû ñ èñïîëüçîâàíèåì êðèïòîãðàôè÷åñêèõ
ìåòîäîâ, èçëîæåííûõ â 10.3, ïðè ýòîì íåîáõîäèìî îáåñïå÷èâàòü ñîîòâåòñòâèå òðåáîâàíèÿì çàêîíîäàòåëüñòâà (12.1, 12.1.6 îòíîñèòåëüíî çàêîíîäàòåëüñòâà â îáëàñòè êðèïòîçàùèòû).
Ñîãëàøåíèÿ ìåæäó ïàðòíåðàìè â îáëàñòè ýëåêòðîííîé òîðãîâëè ñëåäóåò ñîïðîâîæäàòü äîêóìåíòàëüíî îôîðìëåííûìè äîãîâîðàìè, êîòîðûå óñòàíàâëèâàþò è äîêóìåíòàëüíî îôîðìëÿþò ìåæäó ñòîðîíàìè óñëîâèÿ çàêëþ÷åíèÿ ñäåëîê, âêëþ÷àÿ äåòàëè àâòîðèçàöèè. Ìîãóò ïîòðåáîâàòüñÿ òàêæå
äîïîëíèòåëüíûå ñîãëàøåíèÿ ñ ïîñòàâùèêàìè ñåòåâûõ è èíôîðìàöèîííûõ óñëóã.
Ìàãàçèíû (ñåòè) ýëåêòðîííîé òîðãîâëè, îðèåíòèðîâàííûå íà ìàññîâîãî ïîòðåáèòåëÿ, äîëæíû
îáíàðîäîâàòü óñëîâèÿ çàêëþ÷åíèÿ ñäåëîê.
25
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
Íåîáõîäèìî îáåñïå÷èâàòü óñòîé÷èâîñòü ê âèðóñíûì àòàêàì â ïðîöåññå ïðîâåäåíèÿ ýëåêòðîííîé
òîðãîâëè, à òàêæå ïðåäóñìàòðèâàòü ïîñëåäñòâèÿ äëÿ áåçîïàñíîñòè âñåõ ñåòåâûõ âçàèìîñâÿçåé ïðè åå
îñóùåñòâëåíèè (9.4.7).
8.7.4 Áåçîïàñíîñòü ýëåêòðîííîé ïî÷òû
8.7.4.1 Ðèñêè áåçîïàñíîñòè
Ýëåêòðîííàÿ ïî÷òà èñïîëüçóåòñÿ äëÿ îáìåíà ñëóæåáíîé èíôîðìàöèåé, çàìåíÿÿ òðàäèöèîííûå
ôîðìû ñâÿçè, òàêèå êàê òåëåêñ è ïî÷òà. Ýëåêòðîííàÿ ïî÷òà îòëè÷àåòñÿ îò òðàäèöèîííûõ ôîðì áèçíåñ-êîììóíèêàöèé ñêîðîñòüþ, ñòðóêòóðîé ñîîáùåíèé, îïðåäåëåííîé óïðîùåííîñòüþ, à òàêæå óÿçâèìîñòüþ ê íåàâòîðèçîâàííûì äåéñòâèÿì. Ïðè ýòîì íåîáõîäèìî ó÷èòûâàòü ïîòðåáíîñòü â ñðåäñòâàõ
êîíòðîëÿ äëÿ óìåíüøåíèÿ ðèñêîâ áåçîïàñíîñòè, ñâÿçàííûõ ñ ýëåêòðîííîé ïî÷òîé. Ïðè îöåíêå ðèñêîâ
áåçîïàñíîñòè íåîáõîäèìî ó÷èòûâàòü, â ÷àñòíîñòè:
- óÿçâèìîñòü ñîîáùåíèé ïî îòíîøåíèþ ê âîçìîæíîñòè íåàâòîðèçîâàííîãî äîñòóïà èëè ìîäèôèêàöèè, à òàêæå ê îòêàçó â îáñëóæèâàíèè;
- ïîâûøåííóþ ÷óâñòâèòåëüíîñòü ê îøèáêàì, íàïðèìåð óêàçàíèþ îøèáî÷íîãî èëè íåâåðíîãî àäðåñà, à òàêæå ê îáùåé íàäåæíîñòè è äîñòóïíîñòü äàííîé óñëóãè;
- âëèÿíèå èçìåíåíèÿ ñðåäñòâ ïåðåäà÷è èíôîðìàöèè íà áèçíåñ-ïðîöåññû, íàïðèìåð ýôôåêò îò
óâåëè÷åííîé ñêîðîñòè äîñòàâêè ñîîáùåíèé, à òàêæå ýôôåêò, ñâÿçàííûé ñ îáìåíîì îôèöèàëüíûìè
ñîîáùåíèÿìè ìåæäó ëþäüìè, à íå ìåæäó îðãàíèçàöèÿìè;
- þðèäè÷åñêèå âîïðîñû, òàêèå êàê âîçìîæíàÿ íåîáõîäèìîñòü â äîêàçàòåëüñòâå àâòîðñòâà ñîîáùåíèÿ, à òàêæå ôàêòîâ åå îòïðàâêè, äîñòàâêè è ïîëó÷åíèÿ;
- ïîñëåäñòâèÿ, ñâÿçàííûå ñ ïðèäàíèåì ãëàñíîñòè ñïèñêà ñîòðóäíèêîâ, èìåþùèõ ýëåêòðîííóþ
ïî÷òó;
- âîïðîñû, ñâÿçàííûå ñ óïðàâëåíèåì óäàëåííûì äîñòóïîì ê ýëåêòðîííîé ïî÷òå.
8.7.4.2 Ïîëèòèêà â îòíîøåíèè ýëåêòðîííîé ïî÷òû
Îðãàíèçàöèÿì ñëåäóåò âíåäðèòü ÷åòêèå ïðàâèëà èñïîëüçîâàíèÿ ýëåêòðîííîé ïî÷òû, ïðåäóñìàòðèâàþùèå ñëåäóþùèå àñïåêòû:
- âåðîÿòíîñòü àòàêè íà ýëåêòðîííóþ ïî÷òó (âèðóñû, ïåðåõâàò);
- çàùèòó âëîæåíèé â ñîîáùåíèÿ ýëåêòðîííîé ïî÷òû;
- äàííûå, ïðè ïåðåäà÷å êîòîðûõ íå ñëåäóåò ïîëüçîâàòüñÿ ýëåêòðîííîé ïî÷òîé;
- èñêëþ÷åíèå âîçìîæíîñòè êîìïðîìåòàöèè îðãàíèçàöèè ñî ñòîðîíû ñîòðóäíèêîâ, íàïðèìåð, ïóòåì
ðàññûëêè äèñêðåäèòèðóþùèõ è îñêîðáèòåëüíûõ ñîîáùåíèé, èñïîëüçîâàíèå êîðïîðàòèâíîé ýëåêòðîííîé ïî÷òû ñ öåëüþ íåàâòîðèçîâàííûõ ïîêóïîê;
- èñïîëüçîâàíèå êðèïòîãðàôè÷åñêèõ ìåòîäîâ äëÿ çàùèòû êîíôèäåíöèàëüíîñòè è öåëîñòíîñòè
ýëåêòðîííûõ ñîîáùåíèé (10.3);
- õðàíåíèå ñîîáùåíèé, êîòîðûå, â ýòîì ñëó÷àå, ìîãëè áû áûòü èñïîëüçîâàíû â ñëó÷àå ñóäåáíûõ
ðàçáèðàòåëüñòâ;
- äîïîëíèòåëüíûå ìåðû êîíòðîëÿ îáìåíà ñîîáùåíèÿìè, êîòîðûå íå ìîãóò áûòü àóòåíòèôèöèðîâàíû.
8.7.5 Áåçîïàñíîñòü ýëåêòðîííûõ îôèñíûõ ñèñòåì
Íåîáõîäèìî ðàçðàáîòàòü è âíåäðèòü ïîëèòèêè áåçîïàñíîñòè è ðóêîâîäñòâà ñ öåëüþ óïðàâëåíèÿ
ðèñêàìè áèçíåñà è èíôîðìàöèîííîé áåçîïàñíîñòüþ, ñâÿçàííûå ñ ýëåêòðîííûìè îôèñíûìè ñèñòåìàìè.
Ýòè ñèñòåìû îáåñïå÷èâàþò âîçìîæíîñòè äëÿ áûñòðîãî ðàñïðîñòðàíåíèÿ è ñîâìåñòíîãî èñïîëüçîâàíèÿ
ñëóæåáíîé èíôîðìàöèè ïóòåì èñïîëüçîâàíèÿ ñî÷åòàíèÿ âîçìîæíîñòåé äîêóìåíòîâ, êîìïüþòåðîâ,
ïåðåíîñíûõ êîìïüþòåðîâ, ìîáèëüíûõ ñðåäñòâ ñâÿçè, ïî÷òû, ýëåêòðîííîé ïî÷òû, ðå÷åâîé ñâÿçè âîîáùå,
ìóëüòèìåäèéíûõ ñèñòåì, ñåðâèñîâ äîñòàâêè ïî÷òîâûõ îòïðàâëåíèé è ôàêñîâ.
Íåîáõîäèìî ó÷èòûâàòü ïîñëåäñòâèÿ äëÿ èíôîðìàöèîííîé áåçîïàñíîñòè è áèçíåñ-ïðîöåññîâ îò
âçàèìîäåéñòâèÿ âûøåóêàçàííûõ ñðåäñòâ, â ÷àñòíîñòè:
- óÿçâèìîñòü èíôîðìàöèè â îôèñíûõ ñèñòåìàõ, ñâÿçàíà, íàïðèìåð, ñ çàïèñüþ òåëåôîííûõ ðàçãîâîðîâ èëè ïåðåãîâîðîâ ïî êîíôåðåíö-ñâÿçè, êîíôèäåíöèàëüíîñòüþ çâîíêîâ, õðàíåíèåì ôàêñîâ, âñêðûòèåì è ðàññûëêîé ïî÷òû;
- óÿçâèìîñòü èíôîðìàöèè, ïðåäíàçíà÷åííîé äëÿ ñîâìåñòíîãî èñïîëüçîâàíèÿ, íàïðèìåð, ïðè
èñïîëüçîâàíèè êîðïîðàòèâíûõ ýëåêòðîííûõ äîñîê îáúÿâëåíèÿ (9.1);
- èñêëþ÷åíèå èñïîëüçîâàíèÿ îôèñíûõ ñèñòåì â îòíîøåíèè êàòåãîðèé âàæíîé ñëóæåáíîé èíôîðìàöèè, åñëè ýòè ñèñòåìû íå îáåñïå÷èâàþò ñîîòâåòñòâóþùèé óðîâåíü çàùèòû (5.2);
- óÿçâèìîñòü äîñòóïà ê äàííûì ëè÷íûõ åæåäíåâíèêîâ îòäåëüíûõ ñîòðóäíèêîâ, íàïðèìåð, ðàáîòàþùèõ íà âàæíûõ ïðîåêòàõ;
- âîçìîæíîñòü èëè íåâîçìîæíîñòü îôèñíûõ ñèñòåì ïîääåðæèâàòü áèçíåñ-ïðèëîæåíèÿ, íàïðèìåð,
â ÷àñòè ïåðåäà÷è çàêàçîâ èëè àâòîðèçàöèè;
26
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
- êàòåãîðèè ñîòðóäíèêîâ, ïîäðÿä÷èêîâ èëè äåëîâûõ ïàðòíåðîâ, êîòîðûì ðàçðåøåíî èñïîëüçîâàòü
ñèñòåìó è ðàáî÷èå ìåñòà, ñ êîòîðûõ ìîæåò îñóùåñòâëÿòüñÿ ê íåé äîñòóï ( 4.2);
- îãðàíè÷åíèå îïðåäåëåííûõ âîçìîæíîñòåé ñèñòåìû äëÿ îïðåäåëåííûõ êàòåãîðèé ïîëüçîâàòåëåé;
- èäåíòèôèêàöèþ ñòàòóñà ïîëüçîâàòåëåé, íàïðèìåð ñëóæàùèõ îðãàíèçàöèè èëè ïîäðÿä÷èêîâ, â
îòäåëüíûõ äèðåêòîðèÿõ, äëÿ óäîáñòâà äðóãèõ ïîëüçîâàòåëåé;
- ñîõðàíåíèå è ðåçåðâèðîâàíèå èíôîðìàöèè, ñîäåðæàùåéñÿ â ñèñòåìå (12.1.3, 8.4.1);
- òðåáîâàíèÿ ïî ïåðåõîäó íà àâàðèéíûé ðåæèì ðàáîòû è ïåðå÷åíü ñîîòâåòñòâóþùèõ ìåðîïðèÿòèé
(11.1).
8.7.6 Ñèñòåìû ïóáëè÷íîãî äîñòóïà
Ñëåäóåò óäåëÿòü âíèìàíèå çàùèòå öåëîñòíîñòè èíôîðìàöèè, îïóáëèêîâàííîé ýëåêòðîííûì ñïîñîáîì, ÷òîáû ïðåäîòâðàòèòü íåàâòîðèçîâàííóþ ìîäèôèêàöèþ, êîòîðàÿ ìîãëà áû íàâðåäèòü ðåïóòàöèè
îðãàíèçàöèè, ïîìåñòèâøåé ýòó èíôîðìàöèþ. Èíôîðìàöèþ ñèñòåìû ïóáëè÷íîãî äîñòóïà, íàïðèìåð
èíôîðìàöèþ íà Web-ñàéòå, äîñòóïíóþ ÷åðåç Èíòåðíåò, âîçìîæíî, ïîòðåáóåòñÿ ïðèâåñòè â ñîîòâåòñòâèå ñ çàêîíîäàòåëüñòâîì è ðåãóëèðóþùèìè íîðìàìè ñòðàíû, ïîä þðèñäèêöèåé êîòîðûõ íàõîäèòñÿ
ñèñòåìà èëè îñóùåñòâëÿåòñÿ òîðãîâëÿ. Íåîáõîäèì ñîîòâåòñòâóþùèé ôîðìàëèçîâàííûé ïðîöåññ
àâòîðèçàöèè ïðåæäå, ÷åì èíôîðìàöèÿ áóäåò ñäåëàíà îáùåäîñòóïíîé.
Ïðîãðàììíîå îáåñïå÷åíèå, äàííûå è äðóãóþ èíôîðìàöèþ, òðåáóþùóþ âûñîêîãî óðîâíÿ öåëîñòíîñòè, äîñòóï ê êîòîðîé îñóùåñòâëÿåòñÿ ÷åðåç ñèñòåìû ïóáëè÷íîãî äîñòóïà, íåîáõîäèìî çàùèùàòü
àäåêâàòíûìè ñïîñîáàìè, íàïðèìåð, ïîñðåäñòâîì öèôðîâîé ïîäïèñè (10.3.3). Ñèñòåìû, ïðåäîñòàâëÿþùèå âîçìîæíîñòü ýëåêòðîííîé ïóáëèêàöèè èíôîðìàöèè, îáðàòíîé ñâÿçè è íåïîñðåäñòâåííîãî ââîäà
èíôîðìàöèè, äîëæíû íàõîäèòüñÿ ïîä íàäëåæàùèì êîíòðîëåì ñ òåì, ÷òîáû:
- ïîëó÷åííàÿ èíôîðìàöèÿ ñîîòâåòñòâîâàëà âñåì çàêîíàì ïî çàùèòå äàííûõ (12.1.4);
- èíôîðìàöèÿ, ââåäåííàÿ â ñèñòåìó ýëåêòðîííîé ïóáëèêàöèè, îáðàáàòûâàëàñü ñâîåâðåìåííî,
ïîëíîñòüþ è òî÷íî;
- âàæíàÿ èíôîðìàöèÿ áûëà çàùèùåíà â ïðîöåññå åå ñáîðà è õðàíåíèÿ;
- äîñòóï ê ñèñòåìå ýëåêòðîííîé ïóáëèêàöèè èñêëþ÷àë áû âîçìîæíîñòü íåïðåäíàìåðåííîãî äîñòóïà ê ñåòÿì, ñ êîòîðûìè îíà ñâÿçàíà.
8.7.7 Äðóãèå ôîðìû îáìåíà èíôîðìàöèåé
Íåîáõîäèìî ïðåäóñìîòðåòü íàëè÷èå ïðîöåäóð è ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé
áåçîïàñíîñòüþ ñ öåëüþ çàùèòû ïðîöåññà îáìåíà èíôîðìàöèåé ïîñðåäñòâîì ðå÷åâûõ, ôàêñèìèëüíûõ è
âèäåîñðåäñòâ êîììóíèêàöèé. Èíôîðìàöèÿ ìîæåò áûòü ñêîìïðîìåòèðîâàíà èç-çà íåäîñòàòî÷íîé îñâåäîìëåííîñòè ñîòðóäíèêîâ ïî èñïîëüçîâàíèþ ñðåäñòâ ïåðåäà÷è èíôîðìàöèè.  ÷àñòíîñòè, èíôîðìàöèÿ
ìîæåò áûòü ïîäñëóøàíà ïðè ïåðåãîâîðàõ ïî ìîáèëüíîìó òåëåôîíó â îáùåñòâåííîì ìåñòå, à òàêæå ñ
àâòîîòâåò÷èêîâ; èíôîðìàöèÿ ìîæåò òàêæå áûòü ñêîìïðîìåòèðîâàííîé âñëåäñòâèå íåàâòîðèçîâàííîãî
äîñòóïà ê ñèñòåìå ãîëîñîâîé ïî÷òû èëè ñëó÷àéíîé îòñûëêè ôàêñèìèëüíûõ ñîîáùåíèé íåïðàâèëüíîìó
àäðåñàòó.
Áèçíåñ-îïåðàöèè ìîãóò áûòü íàðóøåíû è èíôîðìàöèÿ ìîæåò áûòü ñêîìïðîìåòèðîâàíà â ñëó÷àå
îòêàçà, ïåðåãðóçêè èëè ïðåðûâàíèÿ â ðàáîòå ñðåäñòâ âçàèìîäåéñòâèÿ (7.2 è ðàçäåë 11). Èíôîðìàöèÿ
ìîæåò áûòü ñêîìïðîìåòèðîâàíà, åñëè ê íåé èìåëè ìåñòî äîñòóï íåàâòîðèçîâàííûå ïîëüçîâàòåëè (ðàçäåë 9).
Ñëåäóåò ñôîðìóëèðîâàòü ÷åòêèå òðåáîâàíèÿ ïî ñîáëþäåíèþ ïðîöåäóð, êîòîðûì äîëæíû ñëåäîâàòü ñîòðóäíèêè ïðè èñïîëüçîâàíèè ðå÷åâîé, ôàêñèìèëüíîé è âèäåîñâÿçè.  ÷àñòíîñòè, íåîáõîäèìî
ïðåäóñìîòðåòü ñëåäóþùåå:
à) íàïîìèíàíèå ñîòðóäíèêàì î íåîáõîäèìîñòè ïðèíÿòèÿ ñîîòâåòñòâóþùèõ ìåð ïðåäîñòîðîæíîñòè, íàïðèìåð, äëÿ èñêëþ÷åíèÿ ïîäñëóøèâàíèÿ èëè ïåðåõâàòà èíôîðìàöèè ïðè èñïîëüçîâàíèè òåëåôîííîé ñâÿçè:
1) ëèöàìè, íàõîäÿùèìèñÿ â íåïîñðåäñòâåííîé áëèçîñòè, îñîáåííî ïðè ïîëüçîâàíèè ìîáèëüíûìè òåëåôîíàìè;
2) ïðîñëóøèâàíèÿ òåëåôîííûõ ïåðåãîâîðîâ ïóòåì ôèçè÷åñêîãî äîñòóïà ê òðóáêå, òåëåôîííîé
ëèíèè èëè ñ èñïîëüçîâàíèåì ñêàíèðóþùèõ ïðèåìíèêîâ ïðè ïðèìåíåíèè àíàëîãîâûõ ìîáèëüíûõ
òåëåôîíîâ;
3) ïîñòîðîííèìè ëèöàìè ñî ñòîðîíû àäðåñàòà;
á) íàïîìèíàíèå ñîòðóäíèêàì î òîì, ÷òî íå ñëåäóåò âåñòè êîíôèäåíöèàëüíûå áåñåäû â
îáùåñòâåííûõ ìåñòàõ, îòêðûòûõ îôèñàõ è â ïåðåãîâîðíûõ êîìíàòàõ ñ òîíêèìè ñòåíàìè;
â) íå îñòàâëÿòü ñîîáùåíèé íà àâòîîòâåò÷èêàõ, ïåðåàäðåñàöèÿ íà êîòîðûå ïðîèçîøëà âñëåäñòâèå îøèáêè ñîåäèíåíèÿ, èëè àâòîîòâåò÷èêàõ îïåðàòîðîâ ñâÿçè, ïîñêîëüêó ýòè ñîîáùåíèÿ ìîãóò áûòü
âîñïðîèçâåäåíû íåàâòîðèçîâàííûìè ëèöàìè;
27
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
ã) íàïîìèíàíèå ñîòðóäíèêàì î âîçìîæíûõ ðèñêàõ, ïðèñóùèõ èñïîëüçîâàíèþ ôàêñèìèëüíûõ
àïïàðàòîâ, à èìåííî:
1) íåàâòîðèçîâàííûé äîñòóï ê âñòðîåííîé ïàìÿòè äëÿ ïîèñêà ñîîáùåíèé;
2) ïðåäíàìåðåííîå èëè ñëó÷àéíîå ïåðåïðîãðàììèðîâàíèå àïïàðàòîâ ñ öåëüþ ïåðåäà÷è ñîîáùåíèé ïî îïðåäåëåííûì íîìåðàì;
3) îòñûëêà äîêóìåíòîâ è ñîîáùåíèé ïî íåïðàâèëüíîìó íîìåðó âñëåäñòâèå íåïðàâèëüíîãî
íàáîðà ëèáî èç-çà èñïîëüçîâàíèÿ íåïðàâèëüíî ñîõðàíåííîãî íîìåðà.
9 Êîíòðîëü äîñòóïà
9.1 Òðåáîâàíèå áèçíåñà ïî îáåñïå÷åíèþ êîíòðîëÿ â îòíîøåíèè ëîãè÷åñêîãî äîñòóïà
Öåëü: êîíòðîëü äîñòóïà ê èíôîðìàöèè.
Äîñòóï ê èíôîðìàöèè è áèçíåñ-ïðîöåññàì äîëæåí áûòü êîíòðîëèðóåìûì ñ ó÷åòîì òðåáîâàíèé áèçíåñà è áåçîïàñíîñòè.
Òðåáîâàíèÿ ê êîíòðîëþ äîñòóïà äîëæíû áûòü îòðàæåíû â ïîëèòèêàõ â îòíîøåíèè ðàñïðîñòðàíåíèÿ
è àâòîðèçàöèè èíôîðìàöèè.
9.1.1 Ïîëèòèêà â îòíîøåíèè ëîãè÷åñêîãî äîñòóïà
9.1.1.1 Ïîëèòèêà è òðåáîâàíèÿ áèçíåñà
Íåîáõîäèìî îïðåäåëÿòü è äîêóìåíòàëüíî îôîðìëÿòü òðåáîâàíèÿ áèçíåñà ïî îáåñïå÷åíèþ êîíòðîëÿ â îòíîøåíèè ëîãè÷åñêîãî äîñòóïà. Ïðàâèëà êîíòðîëÿ äîñòóïà è ïðàâà êàæäîãî ïîëüçîâàòåëÿ èëè
ãðóïïû ïîëüçîâàòåëåé äîëæíû îäíîçíà÷íî îïðåäåëÿòüñÿ ïîëèòèêîé áåçîïàñíîñòè ïî îòíîøåíèþ ê ëîãè÷åñêîìó äîñòóïó. Ïîëüçîâàòåëè è ïîñòàâùèêè óñëóã äîëæíû áûòü îïîâåùåíû î íåîáõîäèìîñòè âûïîëíåíèÿ òðåáîâàíèé â îòíîøåíèè ëîãè÷åñêîãî äîñòóïà.
Íåîáõîäèìî, ÷òîáû â ïîëèòèêå áûëî ó÷òåíî ñëåäóþùåå:
- òðåáîâàíèÿ áåçîïàñíîñòè êîíêðåòíûõ áèçíåñ-ïðèëîæåíèé;
- èäåíòèôèêàöèÿ âñåé èíôîðìàöèè, ñâÿçàííîé ñ ôóíêöèîíèðîâàíèåì áèçíåñ-ïðèëîæåíèé;
- óñëîâèÿ ðàñïðîñòðàíåíèÿ èíôîðìàöèè è àâòîðèçàöèè äîñòóïà, íàïðèìåð, ïðèìåíåíèå ïðèíöèïà
«need to know» (ïîëüçîâàòåëü ïîëó÷àåò äîñòóï òîëüêî ê äàííûì, áåçóñëîâíî íåîáõîäèìûì åìó äëÿ
âûïîëíåíèÿ êîíêðåòíîé ôóíêöèè), à òàêæå â îòíîøåíèè êàòåãîðèðîâàííîé èíôîðìàöèè è òðåáóåìûõ
óðîâíåé åå çàùèòû;
- ñîãëàñîâàííîñòü ìåæäó ïîëèòèêàìè ïî êîíòðîëþ äîñòóïà è êëàññèôèêàöèè èíôîðìàöèè ïðèìåíèòåëüíî ê ðàçëè÷íûì ñèñòåìàì è ñåòÿì;
- ïðèìåíÿåìîå çàêîíîäàòåëüñòâî è ëþáûå äîãîâîðíûå îáÿçàòåëüñòâà îòíîñèòåëüíî çàùèòû äîñòóïà ê äàííûì èëè ñåðâèñàì (ðàçäåë 12);
- ñòàíäàðòíûå ïðîôèëè äîñòóïà ïîëüçîâàòåëåé äëÿ òèïîâûõ îáÿçàííîñòåé è ôóíêöèé;
- óïðàâëåíèå ïðàâàìè äîñòóïà â ðàñïðåäåëåííîé ñåòè ñ ó÷åòîì âñåõ òèïîâ äîñòóïíûõ ñîåäèíåíèé.
9.1.1.2 Ïðàâèëà êîíòðîëÿ äîñòóïà
Ïðè îïðåäåëåíèè ïðàâèë êîíòðîëÿ äîñòóïà ñëåäóåò ïðèíèìàòü âî âíèìàíèå ñëåäóþùåå:
- äèôôåðåíöèàöèþ ìåæäó ïðàâèëàìè, îáÿçàòåëüíûìè äëÿ èñïîëíåíèÿ, è ïðàâèëàìè, êîòîðûå
ÿâëÿþòñÿ îáùèìè èëè ïðèìåíÿåìûìè ïðè îïðåäåëåííûõ óñëîâèÿõ;
- óñòàíîâëåíèå ïðàâèë, îñíîâàííûõ íà ïðåäïîñûëêå «âñå äîëæíî áûòü â îáùåì ñëó÷àå çàïðåùåíî,
ïîêà ÿâíî íå ðàçðåøåíî», à íå íà áîëåå ñëàáîì ïðèíöèïå «âñå â îáùåì ñëó÷àå ðàçðåøåíî, ïîêà ÿâíî íå
çàïðåùåíî»;
- èçìåíåíèÿ â ïðèçíàêàõ ìàðêèðîâêè èíôîðìàöèè (ñì. 5.2) êàê ãåíåðèðóåìûõ àâòîìàòè÷åñêè ñðåäñòâàìè îáðàáîòêè èíôîðìàöèè, òàê è èíèöèèðóåìûõ ïî óñìîòðåíèþ ïîëüçîâàòåëåé;
- èçìåíåíèÿ â ïðàâàõ ïîëüçîâàòåëÿ êàê óñòàíàâëèâàåìûõ àâòîìàòè÷åñêè èíôîðìàöèîííîé ñèñòåìîé, òàê è îïðåäåëåííûõ àäìèíèñòðàòîðîì;
- ïðàâèëà, êîòîðûå òðåáóþò îäîáðåíèÿ àäìèíèñòðàòîðà èëè äðóãîãî ëèöà ïåðåä ïðèìåíåíèåì, à
òàêæå òå, êîòîðûå íå òðåáóþò ñïåöèàëüíîãî îäîáðåíèÿ.
9.2 Êîíòðîëü â îòíîøåíèè äîñòóïà ïîëüçîâàòåëåé
Öåëü: ïðåäîòâðàùåíèå íåàâòîðèçîâàííîãî äîñòóïà ê èíôîðìàöèîííûì ñèñòåìàì.
Äëÿ êîíòðîëÿ çà ïðåäîñòàâëåíèå ïðàâà äîñòóïà ê èíôîðìàöèîííûì ñèñòåìàì è ñåðâèñàì íåîáõîäèìî íàëè÷èå ôîðìàëèçîâàííûõ ïðîöåäóð.
Íåîáõîäèìî, ÷òîáû ïðîöåäóðû îõâàòûâàëè âñå ñòàäèè æèçíåííîãî öèêëà ïîëüçîâàòåëüñêîãî äîñòóïà îò íà÷àëüíîé ðåãèñòðàöèè íîâûõ ïîëüçîâàòåëåé äî êîíå÷íîãî ñíÿòèÿ ñ ðåãèñòðàöèè ïîëüçîâàòåëåé,
êîòîðûì áîëüøå íå òðåáóåòñÿ äîñòóï ê èíôîðìàöèîííûì ñèñòåìàì è ñåðâèñàì. Îñîáîå âíèìàíèå ñëå28
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
äóåò óäåëÿòü ìåðîïðèÿòèÿì â îòíîøåíèè ïðåäîñòàâëåíèÿ ïðàâ ïðèâèëåãèðîâàííîãî äîñòóïà, ñ
ïîìîùüþ êîòîðûõ ïîëüçîâàòåëè ìîãóò îáõîäèòü ñèñòåìíûå ñðåäñòâà êîíòðîëÿ.
9.2.1 Ðåãèñòðàöèÿ ïîëüçîâàòåëåé
Íåîáõîäèìî ñóùåñòâîâàíèå ôîðìàëèçîâàííîé ïðîöåäóðû ðåãèñòðàöèè è ñíÿòèÿ ñ ðåãèñòðàöèè
ïîëüçîâàòåëåé â îòíîøåíèè ïðåäîñòàâëåíèÿ äîñòóïà êî âñåì ìíîãîïîëüçîâàòåëüñêèì èíôîðìàöèîííûì ñèñòåìàì è ñåðâèñàì.
Äîñòóï ê ìíîãîïîëüçîâàòåëüñêèì èíôîðìàöèîííûì ñåðâèñàì äîëæåí áûòü êîíòðîëèðóåìûì
ïîñðåäñòâîì ôîðìàëèçîâàííîãî ïðîöåññà ðåãèñòðàöèè ïîëüçîâàòåëåé, êîòîðûé äîëæåí âêëþ÷àòü:
- èñïîëüçîâàíèå óíèêàëüíûõ ID (èäåíòèôèêàòîðîâ èëè èìåí) ïîëüçîâàòåëåé òàêèì îáðàçîì, ÷òîáû
äåéñòâèÿ â ñèñòåìå ìîæíî áûëî áû ñîîòíåñòè ñ ïîëüçîâàòåëÿìè è óñòàíîâèòü îòâåòñòâåííûõ. Èñïîëüçîâàíèå ãðóïïîâûõ ID ñëåäóåò ðàçðåøàòü òîëüêî â òåõ ñëó÷àÿõ, ãäå ýòî íåîáõîäèìî, ñ ó÷åòîì îñîáåííîñòåé
âûïîëíÿåìîé ðàáîòû;
- ïðîâåðêó òîãî, ÷òî ïîëüçîâàòåëü èìååò àâòîðèçàöèþ îò âëàäåëüöà ñèñòåìû íà ïîëüçîâàíèå
èíôîðìàöèîííîé ñèñòåìîé èëè ñåðâèñîâ. Êðîìå òîãî, ìîæåò áûòü öåëåñîîáðàçíûì íàëè÷èå äîïîëíèòåëüíîãî ðàçðåøåíèÿ íà ïðåäîñòàâëåíèå ïðàâ îò ðóêîâîäñòâà;
- ïðîâåðêó òîãî, ÷òî óðîâåíü ïðåäîñòàâëåííîãî äîñòóïà ñîîòâåòñòâóåò ïðîèçâîäñòâåííîé íåîáõîäèìîñòè (9.1), à òàêæå ó÷èòûâàåò òðåáîâàíèÿ ïîëèòèêè áåçîïàñíîñòè îðãàíèçàöèè, íàïðèìåð, íå íàðóøàåò ïðèíöèïà ðàçäåëåíèÿ îáÿçàííîñòåé (8.1.4);
- ïðåäîñòàâëåíèå ïîëüçîâàòåëÿì ïèñüìåííîãî äîêóìåíòà, â êîòîðîì óêàçàíû èõ ïðàâà äîñòóïà;
- òðåáîâàíèå òîãî, ÷òîáû ïîëüçîâàòåëè ïîäïèñûâàëè äîêóìåíò î òîì, ÷òî îíè ïîíèìàþò óñëîâèÿ
ïðåäîñòàâëåíèÿ äîñòóïà;
- îáåñïå÷åíèå óâåðåííîñòè â òîì, ÷òî ïîñòàâùèêè óñëóã íå ïðåäîñòàâëÿþò äîñòóï, ïîêà ïðîöåäóðû
àâòîðèçàöèè íå çàâåðøåíû;
- âåäåíèå ôîðìàëèçîâàííîãî ó÷åòà â îòíîøåíèè âñåõ ëèö, çàðåãèñòðèðîâàííûõ äëÿ èñïîëüçîâàíèÿ ñåðâèñîâ;
- íåìåäëåííóþ îòìåíó ïðàâ äîñòóïà ïîëüçîâàòåëåé, ó êîòîðûõ èçìåíèëèñü äîëæíîñòíûå îáÿçàííîñòè èëè óâîëèâøèõñÿ èç îðãàíèçàöèè;
- ïåðèîäè÷åñêóþ ïðîâåðêó è óäàëåíèå èçáûòî÷íûõ ïîëüçîâàòåëüñêèõ ID è ó÷åòíûõ çàïèñåé;
- îáåñïå÷åíèå òîãî, ÷òîáû èçáûòî÷íûå ïîëüçîâàòåëüñêèå ID íå áûëè ïåðåäàíû äðóãèì ïîëüçîâàòåëÿì.
Íåîáõîäèìî ðàññìàòðèâàòü âîçìîæíîñòü âêëþ÷åíèÿ ïîëîæåíèé î ïðèìåíåíèè ñîîòâåòñòâóþùèõ
ñàíêöèé â ñëó÷àå ïîïûòîê íåàâòîðèçîâàííîãî äîñòóïà â òðóäîâûå äîãîâîðà ñîòðóäíèêîâ è êîíòðàêòû ñ
ïîñòàâùèêàìè óñëóã (6.1.4 è 6.3.5).
9.2.2 Óïðàâëåíèå ïðèâèëåãèÿìè
Ïðåäîñòàâëåíèå è èñïîëüçîâàíèå ïðèâèëåãèé ïðè ïðèìåíåíèè ñðåäñòâ ìíîãîïîëüçîâàòåëüñêîé
èíôîðìàöèîííîé ñèñòåìû, êîòîðûå ïîçâîëÿþò ïîëüçîâàòåëþ îáõîäèòü ñðåäñòâà êîíòðîëÿ ñèñòåìû èëè
áèçíåñ-ïðèëîæåíèÿ, íåîáõîäèìî îãðàíè÷èâàòü è äåðæàòü ïîä êîíòðîëåì. Íåàäåêâàòíîå èñïîëüçîâàíèå
ïðèâèëåãèé ÷àñòî áûâàåò ãëàâíîé ïðè÷èíîé ñáîåâ ñèñòåì.
Íåîáõîäèìî, ÷òîáû â ìíîãîïîëüçîâàòåëüñêèõ ñèñòåìàõ, êîòîðûå òðåáóþò çàùèòû îò íåàâòîðèçîâàííîãî äîñòóïà, ïðåäîñòàâëåíèå ïðèâèëåãèé êîíòðîëèðîâàëîñü ïîñðåäñòâîì ôîðìàëèçîâàííîãî ïðîöåññà àâòîðèçàöèè. Ïðè ýòîì öåëåñîîáðàçíî ïðèìåíÿòü ñëåäóþùèå ìåðû:
- èäåíòèôèöèðîâàòü ïðèâèëåãèè â îòíîøåíèè êàæäîãî ñèñòåìíîãî ïðîäóêòà, íàïðèìåð, îïåðàöèîííîé ñèñòåìû, ñèñòåìû óïðàâëåíèÿ áàçàìè äàííûõ è êàæäîãî áèçíåñ-ïðèëîæåíèÿ, à òàêæå êàòåãîðèè
ñîòðóäíèêîâ, êîòîðûì ýòè ïðèâèëåãèè äîëæíû áûòü ïðåäîñòàâëåíû;
- ïðèâèëåãèè äîëæíû ïðåäîñòàâëÿòüñÿ òîëüêî òåì ñîòðóäíèêàì, êîòîðûì ýòî íåîáõîäèìî äëÿ
ðàáîòû è òîëüêî íà âðåìÿ åå âûïîëíåíèÿ, íàïðèìåð, ïðåäîñòàâëÿÿ ìèíèìàëüíûå âîçìîæíîñòè ïî ðàáîòå ñ ñèñòåìîé äëÿ âûïîëíåíèÿ òðåáóåìûõ ôóíêöèé, òîëüêî êîãäà â ýòîì âîçíèêàåò ïîòðåáíîñòü;
- íåîáõîäèìî îáåñïå÷èâàòü ïðîöåññ àâòîðèçàöèè è ðåãèñòðàöèè âñåõ ïðåäîñòàâëåííûõ ïðèâèëåãèé. Ïðèâèëåãèè íå äîëæíû ïðåäîñòàâëÿòüñÿ äî çàâåðøåíèÿ ïðîöåññà àâòîðèçàöèè;
- ñëåäóåò ïðîâîäèòü ïîëèòèêó ðàçðàáîòêè è èñïîëüçîâàíèÿ ñòàíäàðòíûõ ñèñòåìíûõ óòèëèò (ñêðèïòîâ) äëÿ èñêëþ÷åíèÿ íåîáõîäèìîñòè â ïðåäîñòàâëåíèè äîïîëíèòåëüíûõ ïðèâèëåãèé ïîëüçîâàòåëÿì;
- ñëåäóåò èñïîëüçîâàòü ðàçëè÷íûå èäåíòèôèêàòîðû ïîëüçîâàòåëåé ïðè ðàáîòå â îáû÷íîì ðåæèìå
è ñ èñïîëüçîâàíèåì ïðèâèëåãèé.
9.2.3 Êîíòðîëü â îòíîøåíèè ïàðîëåé ïîëüçîâàòåëåé
Ïàðîëè ÿâëÿþòñÿ íàèáîëåå ðàñïðîñòðàíåííûìè ñðåäñòâàìè ïîäòâåðæäåíèÿ èäåíòèôèêàòîðà
ïîëüçîâàòåëÿ ïðè äîñòóïå ê èíôîðìàöèîííîé ñèñòåìå èëè ñåðâèñó. Ïðåäîñòàâëåíèå ïàðîëåé äîëæíî
êîíòðîëèðîâàòüñÿ ïîñðåäñòâîì ôîðìàëèçîâàííîãî ïðîöåññà óïðàâëåíèÿ, êîòîðûé äîëæåí
ïðåäóñìàòðèâàòü:
29
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
- ïîäïèñàíèå ïîëüçîâàòåëÿìè äîêóìåíòà î íåîáõîäèìîñòè ñîáëþäåíèÿ ïîëíîé êîíôèäåíöèàëüíîñòè ëè÷íûõ ïàðîëåé, à â îòíîøåíèè ãðóïïîâûõ ïàðîëåé — ñîáëþäåíèÿ êîíôèäåíöèàëüíîñòè â ïðåäåëàõ ðàáî÷åé ãðóïïû (ýòî ìîæåò áûòü âêëþ÷åíî â óñëîâèÿ òðóäîâîãî äîãîâîðà, 6.1.4);
- â ñëó÷àÿõ, êîãäà îò ïîëüçîâàòåëåé òðåáóåòñÿ óïðàâëåíèå ñîáñòâåííûìè ïàðîëÿìè, íåîáõîäèìî
îáåñïå÷èâàòü ïðåäîñòàâëåíèå áåçîïàñíîãî ïåðâîíà÷àëüíîãî âðåìåííîãî ïàðîëÿ, êîòîðûé ïîëüçîâàòåëÿ ïðèíóæäàþò ñìåíèòü ïðè ïåðâîé ðåãèñòðàöèè â ñèñòåìå. Âðåìåííûå ïàðîëè èñïîëüçóþòñÿ â òåõ ñëó÷àÿõ, êîãäà ïîëüçîâàòåëè çàáûâàþò ñâîé ëè÷íûé ïàðîëü, è äîëæíû âûäàâàòüñÿ òîëüêî ïîñëå
èäåíòèôèêàöèè ïîëüçîâàòåëÿ;
- îáåñïå÷åíèå áåçîïàñíîãî ñïîñîáà âûäà÷è âðåìåííûõ ïàðîëåé ïîëüçîâàòåëÿì. Ñëåäóåò èçáåãàòü èñïîëüçîâàíèÿ íåçàùèùåííûõ (îòêðûòûé òåêñò) ñîîáùåíèé ýëåêòðîííîé ïî÷òû èëè ñîîáùåíèé ïî
ýëåêòðîííîé ïî÷òå îò òðåòüåé ñòîðîíû. Ïîëüçîâàòåëÿì íåîáõîäèìî ïîäòâåðæäàòü ïîëó÷åíèå ïàðîëåé.
Ïàðîëè íèêîãäà íå ñëåäóåò õðàíèòü â êîìïüþòåðíîé ñèñòåìå â íåçàùèùåííîé ôîðìå. Ïðè íåîáõîäèìîñòè ñëåäóåò ðàññìàòðèâàòü âîçìîæíîñòè äðóãèõ òåõíîëîãèé äëÿ èäåíòèôèêàöèè è àóòåíòèôèêàöèè
ïîëüçîâàòåëÿ, òàêèå êàê áèîìåòðèÿ (ïðîâåðêà îòïå÷àòêîâ ïàëüöåâ), ïðîâåðêà ïîäïèñè, è èñïîëüçîâàíèå
àïïàðàòíûõ ñðåäñòâ èäåíòèôèêàöèè (÷èï-êàðò, ìèêðîñõåì).
9.2.4 Ïåðåñìîòð ïðàâ äîñòóïà ïîëüçîâàòåëåé
Äëÿ ïîääåðæàíèÿ ýôôåêòèâíîãî êîíòðîëÿ äîñòóïà ê äàííûì è èíôîðìàöèîííûì óñëóãàì ðóêîâîäñòâî ïåðèîäè÷åñêè äîëæíî îñóùåñòâëÿòü ôîðìàëèçîâàííûé ïðîöåññ ïåðåñìîòðà ïðàâ äîñòóïà
ïîëüçîâàòåëåé, ïðè ýòîì:
- ïðàâà äîñòóïà ïîëüçîâàòåëåé äîëæíû ïåðåñìàòðèâàòüñÿ ðåãóëÿðíî (ðåêîìåíäóåìûé ïåðèîä —
6 ìåñÿöåâ) è ïîñëå ëþáûõ èçìåíåíèé (9.2.1);
- àâòîðèçàöèÿ ñïåöèàëüíûõ ïðèâèëåãèðîâàííûõ ïðàâ äîñòóïà (9.2.2) äîëæíà îñóùåñòâëÿòüñÿ
÷åðåç ìåíüøèå èíòåðâàëû âðåìåíè (ðåêîìåíäóåìûé ïåðèîä — 3 ìåñÿöà);
- ïðåäîñòàâëåííûå ïðèâèëåãèè äîëæíû ïåðèîäè÷åñêè ïðîâåðÿòüñÿ äëÿ îáåñïå÷åíèÿ óâåðåííîñòè
â òîì, ÷òî íå áûëè ïîëó÷åíû íåàâòîðèçîâàííûå ïðèâèëåãèè.
9.3 Îáÿçàííîñòè ïîëüçîâàòåëåé
Öåëü: ïðåäîòâðàùåíèå íåàâòîðèçîâàííîãî äîñòóïà ïîëüçîâàòåëåé ê èíôîðìàöèè.
Âçàèìîäåéñòâèå àâòîðèçîâàííûõ ïîëüçîâàòåëåé ÿâëÿåòñÿ âàæíûì àñïåêòîì ýôôåêòèâíîñòè
áåçîïàñíîñòè.
Íåîáõîäèìî, ÷òîáû ïîëüçîâàòåëè áûëè îñâåäîìëåíû î ñâîèõ îáÿçàííîñòÿõ ïî èñïîëüçîâàíèþ
ýôôåêòèâíûõ ìåðîïðèÿòèé ïî óïðàâëåíèþ äîñòóïîì, â ÷àñòíîñòè, â îòíîøåíèè ïàðîëåé è áåçîïàñíîñòè
îáîðóäîâàíèÿ, ñ êîòîðûì îíè ðàáîòàþò.
9.3.1 Èñïîëüçîâàíèå ïàðîëåé
Ïîëüçîâàòåëè äîëæíû ñîáëþäàòü îïðåäåëåííûå ïðàâèëà îáåñïå÷åíèÿ áåçîïàñíîñòè ïðè âûáîðå
è èñïîëüçîâàíèè ïàðîëåé.
Ñ ïîìîùüþ ïàðîëåé îáåñïå÷èâàåòñÿ ïîäòâåðæäåíèå èäåíòèôèêàòîðà ïîëüçîâàòåëÿ è, ñëåäîâàòåëüíî, ïîëó÷åíèå äîñòóïà ê ñðåäñòâàì îáðàáîòêè èíôîðìàöèè èëè ñåðâèñàì. Âñå ïîëüçîâàòåëè äîëæíû áûòü îñâåäîìëåíû î íåîáõîäèìîñòè:
à) ñîõðàíåíèÿ êîíôèäåíöèàëüíîñòè ïàðîëåé;
á) çàïðåùåíèÿ çàïèñè ïàðîëåé íà áóìàãå, åñëè òîëüêî íå îáåñïå÷åíî áåçîïàñíîå èõ õðàíåíèå;
â) èçìåíåíèÿ ïàðîëåé âñÿêèé ðàç, ïðè íàëè÷èè ëþáîãî ïðèçíàêà âîçìîæíîé êîìïðîìåòàöèè
ñèñòåìû èëè ïàðîëÿ;
ã) âûáîðà êà÷åñòâåííûõ ïàðîëåé ñ ìèíèìàëüíîé äëèíîé â øåñòü çíàêîâ, êîòîðûå:
1) ëåãêî çàïîìíèòü;
2) íå ïîäâåðæåíû ëåãêîìó óãàäûâàíèþ èëè âû÷èñëåíèþ ñ èñïîëüçîâàíèåì ïåðñîíàëüíîé
èíôîðìàöèè, ñâÿçàííîé ñ âëàäåëüöåì ïàðîëÿ, íàïðèìåð, èìåí, íîìåðîâ òåëåôîíîâ, äàò ðîæäåíèÿ è ò.ä.;
3) íå ñîäåðæàò ïîñëåäîâàòåëüíûõ èäåíòè÷íûõ ñèìâîëîâ è íå ñîñòîÿò èç ïîëíîñòüþ ÷èñëîâûõ
èëè ïîëíîñòüþ áóêâåííûõ ãðóïï;
ä) èçìåíåíèÿ ïàðîëåé ÷åðåç ðàâíûå èíòåðâàëû âðåìåíè èëè ïîñëå îïðåäåëåííîãî ÷èñëà äîñòóïîâ è èñêëþ÷åíèÿ ïîâòîðíîãî èëè öèêëè÷íîãî èñïîëüçîâàíèÿ ñòàðûõ ïàðîëåé (ïàðîëè äëÿ ïðèâèëåãèðîâàííûõ ó÷åòíûõ çàïèñåé ñëåäóåò ìåíÿòü ÷àùå, ÷åì îáû÷íûå ïàðîëè);
å) èçìåíåíèÿ âðåìåííûõ ïàðîëåé ïðè ïåðâîé ðåãèñòðàöèè â ñèñòåìå;
æ) çàïðåùåíèÿ âêëþ÷åíèÿ ïàðîëåé â àâòîìàòèçèðîâàííûé ïðîöåññ ðåãèñòðàöèè, íàïðèìåð,
ñ èñïîëüçîâàíèåì õðàíèìûõ ìàêðîêîìàíä èëè ôóíêöèîíàëüíûõ êëàâèø;
ç) èñêëþ÷åíèÿ êîëëåêòèâíîãî èñïîëüçîâàíèÿ èíäèâèäóàëüíûõ ïàðîëåé.
30
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
Åñëè ïîëüçîâàòåëè íóæäàþòñÿ â äîñòóïå ê ìíîãî÷èñëåííûì óñëóãàì èëè áèçíåñ-ïðèëîæåíèÿì è
âûíóæäåíû èñïîëüçîâàòü ìíîãî÷èñëåííûå ïàðîëè, ìîæíî ïîðåêîìåíäîâàòü âîçìîæíîñòü èñïîëüçîâàíèÿ îäíîãî êà÷åñòâåííîãî ïàðîëÿ (9.3.1.ã) äëÿ âñåõ ñåðâèñîâ, îáåñïå÷èâàþùèõ ðàçóìíûé óðîâåíü çàùèòû õðàíèìîãî ïàðîëÿ.
9.3.2 Îáîðóäîâàíèå, îñòàâëåííîå ïîëüçîâàòåëÿìè áåç ïðèñìîòðà
Ïîëüçîâàòåëè äîëæíû îáåñïå÷èâàòü ñîîòâåòñòâóþùóþ çàùèòó îáîðóäîâàíèÿ, îñòàâëåííîãî áåç
ïðèñìîòðà. Îáîðóäîâàíèå, óñòàíîâëåííîå â ðàáî÷èõ çîíàõ, íàïðèìåð ðàáî÷èå èëè ôàéëîâûå ñòàíöèè,
òðåáóåò ñïåöèàëüíîé çàùèòû îò íåàâòîðèçîâàííîãî äîñòóïà â ñëó÷àå îñòàâëåíèÿ èõ áåç ïðèñìîòðà íà
äëèòåëüíûé ïåðèîä. Âñåì ïîëüçîâàòåëÿì è ïîäðÿä÷èêàì íåîáõîäèìî çíàòü òðåáîâàíèÿ áåçîïàñíîñòè è
ìåòîäû çàùèòû îñòàâëåííîãî áåç ïðèñìîòðà îáîðóäîâàíèÿ òàê æå, êàê è ñâîè îáÿçàííîñòè ïî îáåñïå÷åíèþ òàêîé çàùèòû. Ïîëüçîâàòåëÿì ðåêîìåíäóåòñÿ:
- çàâåðøàòü àêòèâíûå ñåàíñû ïî îêîí÷àíèè ðàáîòû, åñëè îòñóòñòâóåò ìåõàíèçì áëîêèðîâêè,
íàïðèìåð, õðàíèòåëü ýêðàíà, çàùèùåííûé ïàðîëåì;
- îòêëþ÷àòüñÿ îò ìýéíôðåéìà, êîãäà ñåàíñ çàêîí÷åí (òî åñòü íå òîëüêî âûêëþ÷àòü PC èëè òåðìèíàë);
- çàùèùàòü PC èëè òåðìèíàëû îò íåàâòîðèçîâàííîãî èñïîëüçîâàíèÿ ïîñðåäñòâîì çàìêà èëè ýêâèâàëåíòíîãî ñðåäñòâà êîíòðîëÿ, íàïðèìåð, çàùèòà äîñòóïà ñ ïîìîùüþ ïàðîëÿ, êîãäà îáîðóäîâàíèå íå
èñïîëüçóåòñÿ.
9.4 Êîíòðîëü ñåòåâîãî äîñòóïà
Öåëü: çàùèòà ñåòåâûõ ñåðâèñîâ.
Äîñòóï êàê ê âíóòðåííèì, òàê è ê âíåøíèì ñåòåâûì ñåðâèñàì äîëæåí áûòü êîíòðîëèðóåìûì. Ýòî
íåîáõîäèìî äëÿ óâåðåííîñòè â òîì, ÷òî ïîëüçîâàòåëè, êîòîðûå èìåþò äîñòóï ê ñåòÿì è ñåòåâûì ñåðâèñàì, íå êîìïðîìåòèðóþò èõ áåçîïàñíîñòü, îáåñïå÷èâàÿ:
- ñîîòâåòñòâóþùèå èíòåðôåéñû ìåæäó ñåòüþ îðãàíèçàöèè è ñåòÿìè, ïðèíàäëåæàùèìè äðóãèì
îðãàíèçàöèÿì, èëè îáùåäîñòóïíûìè ñåòÿìè;
- ñîîòâåòñòâóþùèå ìåõàíèçìû àóòåíòèôèêàöèè â îòíîøåíèè ïîëüçîâàòåëåé è îáîðóäîâàíèÿ;
- êîíòðîëü äîñòóïà ïîëüçîâàòåëåé ê èíôîðìàöèîííûì ñåðâèñàì.
9.4.1 Ïîëèòèêà â îòíîøåíèè èñïîëüçîâàíèÿ ñåòåâûõ ñëóæá
Íåñàíêöèîíèðîâàííûå ïîäêëþ÷åíèÿ ê ñåòåâûì ñëóæáàì ìîãóò íàðóøàòü èíôîðìàöèîííóþ áåçîïàñíîñòü öåëîé îðãàíèçàöèè. Ïîëüçîâàòåëÿì ñëåäóåò îáåñïå÷èâàòü íåïîñðåäñòâåííûé äîñòóï òîëüêî ê
òåì ñåðâèñàì, â êîòîðûõ îíè áûëè àâòîðèçîâàíû. Êîíòðîëü äîñòóïà, â ÷àñòíîñòè, ÿâëÿåòñÿ íåîáõîäèìûì äëÿ ñåòåâûõ ïîäêëþ÷åíèé ê âàæíûì èëè êðèòè÷íûì áèçíåñ-ïðèëîæåíèÿì èëè äëÿ ïîëüçîâàòåëåé,
íàõîäÿùèõñÿ â çîíàõ âûñîêîãî ðèñêà, íàïðèìåð, â îáùåñòâåííûõ ìåñòàõ èëè çà ïðåäåëàìè îðãàíèçàöèè — âíå ñôåðû íåïîñðåäñòâåííîãî óïðàâëåíèÿ è êîíòðîëÿ áåçîïàñíîñòè ñî ñòîðîíû îðãàíèçàöèè.
Ñëåäóåò ïðåäóñìàòðèâàòü ìåðû áåçîïàñíîñòè â îòíîøåíèè èñïîëüçîâàíèÿ ñåòåé è ñåòåâûõ ñåðâèñîâ. Ïðè ýòîì äîëæíû áûòü îïðåäåëåíû:
- ñåòè è ñåòåâûå óñëóãè, ê êîòîðûì ðàçðåøåí äîñòóï;
- ïðîöåäóðû àâòîðèçàöèè äëÿ îïðåäåëåíèÿ êîìó, ê êàêèì ñåòÿì è ñåòåâûì ñåðâèñàì ðàçðåøåí äîñòóï;
- ìåðîïðèÿòèÿ è ïðîöåäóðû ïî çàùèòå îò íåñàíêöèîíèðîâàííîãî ïîäêëþ÷åíèÿ ê ñåòåâûì ñåðâèñàì.
Íåîáõîäèìî, ÷òîáû ýòè ìåðû ñîãëàñîâûâàëèñü ñ òðåáîâàíèÿìè áèçíåñà â îòíîøåíèè êîíòðîëÿ
äîñòóïà (9.1).
9.4.2 Ïðåäîïðåäåëåííûé ìàðøðóò
Ìàðøðóòû îò ïîëüçîâàòåëüñêîãî òåðìèíàëà äî òî÷åê ïðåäîñòàâëåíèÿ êîìïüþòåðíûõ ñåðâèñîâ
òðåáóþò îñîáîãî êîíòðîëÿ. Ñåòè ïðîåêòèðóþòñÿ ñ ó÷åòîì îáåñïå÷åíèÿ ìàêñèìàëüíûõ âîçìîæíîñòåé äëÿ
ñîâìåñòíîãî èñïîëüçîâàíèÿ ðåñóðñîâ è ãèáêîñòè ìàðøðóòèçàöèè. Ýòè îñîáåííîñòè ïîâûøàþò ðèñê
íåàâòîðèçîâàííîãî äîñòóïà ê áèçíåñ-ïðèëîæåíèÿì èëè íåàâòîðèçîâàííîãî èñïîëüçîâàíèÿ èíôîðìàöèîííîãî îáîðóäîâàíèÿ. Ìåðîïðèÿòèÿ, êîòîðûå îãðàíè÷èâàþò ìàðøðóòû ìåæäó ïîëüçîâàòåëüñêèì òåðìèíàëîì è êîìïüþòåðíûìè ñåðâèñàìè, ê êîòîðûì ïîëüçîâàòåëü àâòîðèçîâàí îñóùåñòâëÿòü äîñòóï,
íàïðèìåð, ïóòåì ñîçäàíèÿ îïòèìàëüíîãî ìàðøðóòà, ìîãóò óìåíüøàòü òàêèå ðèñêè.
Öåëü îïòèìèçàöèè ìàðøðóòà ñîñòîèò â òîì, ÷òîáû èñêëþ÷èòü âûáîð ïîëüçîâàòåëÿìè èíûõ ìàðøðóòîâ, êðîìå ìàðøðóòà ìåæäó ïîëüçîâàòåëüñêèì òåðìèíàëîì è ñåðâèñàìè, ïî êîòîðîìó ïîëüçîâàòåëü
àâòîðèçîâàí îñóùåñòâëÿòü äîñòóï.
Ýòîò ïîäõîä îáû÷íî òðåáóåò âíåäðåíèÿ íàáîðà ñðåäñòâ êîíòðîëÿ â ðàçëè÷íûõ òî÷êàõ ìàðøðóòà.
Ïðèíöèï çàêëþ÷àåòñÿ â îãðàíè÷åíèè âàðèàíòîâ ìàðøðóòèçàöèè â êàæäîé òî÷êå ñåòè ïîñðåäñòâîì îïðåäåëåííûõ ñïîñîáîâ, íàïðèìåð:
31
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
- ðàñïðåäåëåíèÿ âûäåëåííûõ ëèíèé èëè íîìåðîâ òåëåôîíà;
- àâòîìàòè÷åñêîãî ïîäêëþ÷åíèÿ ïîðòîâ ê îïðåäåëåííûì ñèñòåìíûì ïðèëîæåíèÿì èëè øëþçàì
áåçîïàñíîñòè;
- îãðàíè÷åíèÿ îïöèé ìåíþ è ïîäìåíþ äëÿ èíäèâèäóàëüíûõ ïîëüçîâàòåëåé;
- ïðåäîòâðàùåíèÿ íåîãðàíè÷åííîãî ñåòåâîãî ðîóìèíãà;
- èñïîëüçîâàíèÿ îïðåäåëåííûõ ïðèêëàäíûõ ñèñòåì è/èëè øëþçîâ áåçîïàñíîñòè äëÿ âíåøíèõ
ïîëüçîâàòåëåé ñåòè;
- àêòèâíîãî êîíòðîëÿ ðàçðåøåííîãî èñòî÷íèêà ñ öåëüþ íàïðàâëåíèÿ ñîåäèíåíèÿ ÷åðåç øëþçû
áåçîïàñíîñòè, íàïðèìåð, ìåæñåòåâûå ýêðàíû;
- îãðàíè÷åíèÿ äîñòóïà ê ñåòè ïîñðåäñòâîì ñîçäàíèÿ îòäåëüíûõ ëîãè÷åñêèõ äîìåíîâ, íàïðèìåð
âèðòóàëüíûõ ÷àñòíûõ ñåòåé äëÿ ïîëüçîâàòåëüñêèõ ãðóïï â ïðåäåëàõ îðãàíèçàöèè (9.4.6).
Âûáîð êîíêðåòíûõ ñïîñîáîâ äîëæåí îñíîâûâàòüñÿ íà òðåáîâàíèÿõ áèçíåñà â îòíîøåíèè êîíòðîëÿ
äîñòóïà (9.1).
9.4.3 Àóòåíòèôèêàöèÿ ïîëüçîâàòåëåé â ñëó÷àå âíåøíèõ ñîåäèíåíèé
Âíåøíèå ñîåäèíåíèÿ îáåñïå÷èâàþò ïîòåíöèàë äëÿ íåàâòîðèçîâàííîãî äîñòóïà ê ñëóæåáíîé
èíôîðìàöèè, íàïðèìåð, ïðè èñïîëüçîâàíèè òåëåôîííîé ñâÿçè. Ïîýòîìó, ïðè äîñòóïå óäàëåííûõ
ïîëüçîâàòåëåé, îíè äîëæíû áûòü àóòåíòèôèöèðîâàíû. Íåêîòîðûå ìåòîäû àóòåíòèôèêàöèè îáåñïå÷èâàþò áîëüøèé óðîâåíü çàùèòû, íàïðèìåð, îñíîâàííûå íà èñïîëüçîâàíèè ñðåäñòâ êðèïòîãðàôèè, è ìîãóò
îáåñïå÷èòü íàäåæíóþ àóòåíòèôèêàöèþ. Èñõîäÿ èç îöåíêè ðèñêà, âàæíî îïðåäåëèòü òðåáóåìûé óðîâåíü
çàùèòû äëÿ âûáîðà ñîîòâåòñòâóþùåãî ìåòîäà àóòåíòèôèêàöèè.
Àóòåíòèôèêàöèÿ óäàëåííûõ ïîëüçîâàòåëåé ìîæåò áûòü äîñòèãíóòà ïðè èñïîëüçîâàíèè ñðåäñòâ
êðèïòîãðàôèè, ñðåäñòâ èäåíòèôèêàöèè àïïàðàòóðû èëè ïðîòîêîëîâ, ïîääåðæèâàþùèõ ìåòîä
«îòêëèê-îòçûâ». Âûäåëåííûå ÷àñòíûå ëèíèè èëè ñðåäñòâà ïðîâåðêè ñåòåâîãî àäðåñà ïîëüçîâàòåëÿ
ìîãóò òàêæå èñïîëüçîâàòüñÿ äëÿ îáåñïå÷åíèÿ äîâåðèÿ ê èñòî÷íèêó ïîäêëþ÷åíèé.
Ïðîöåäóðû è ñðåäñòâà êîíòðîëÿ îáðàòíîãî âûçîâà, íàïðèìåð èñïîëüçîâàíèå ìîäåìîâ ñ îáðàòíûì
âûçîâîì, ìîãóò îáåñïå÷èâàòü çàùèòó îò íåàâòîðèçîâàííûõ è íåæåëàòåëüíûõ ïîäêëþ÷åíèé ê ñðåäñòâàì
îáðàáîòêè èíôîðìàöèè îðãàíèçàöèè, òàê êàê ïîäòâåðæäàþò ïðàâî íà äîñòóï ïîëüçîâàòåëåé, ïûòàþùèõñÿ óñòàíîâèòü óäàëåííóþ ñâÿçü ñ ñåòüþ îðãàíèçàöèè. Ïðè èñïîëüçîâàíèè ýòèõ ñïîñîáîâ îðãàíèçàöèè íå
ñëåäóåò èñïîëüçîâàòü ñåòåâûå ñåðâèñû, êîòîðûå âêëþ÷àþò ïåðåàäðåñàöèþ âûçîâà. Åñëè æå îíè
èñïîëüçóþòñÿ, íåîáõîäèìî áëîêèðîâàòü âîçìîæíîñòè ïåðåàäðåñàöèè, ÷òîáû èçáåæàòü ñâÿçàííûõ ñ
ýòèì ðèñêîâ. Òàêæå âàæíî, ÷òîáû ïðîöåññ îáðàòíîãî âûçîâà îáåñïå÷èâàë óâåðåííîñòü â òîì, ÷òî ôàêòè÷åñêîå ðàçúåäèíåíèå íà ñòîðîíå îðãàíèçàöèè îñóùåñòâëåíî.  ïðîòèâíîì ñëó÷àå óäàëåííûé ïîëüçîâàòåëü ìîæåò äåðæàòü ëèíèþ çàíÿòîé, ôàëüñèôèöèðóÿ ïðîâåðêó îáðàòíîãî âûçîâà. Äëÿ èñêëþ÷åíèÿ
ïîäîáíûõ èíöèäåíòîâ ïðîöåäóðû è ñðåäñòâà êîíòðîëÿ îáðàòíîãî âûçîâà ñëåäóåò òùàòåëüíî
òåñòèðîâàòü.
9.4.4 Àóòåíòèôèêàöèÿ óçëà
Ñðåäñòâî àâòîìàòè÷åñêîãî ïîäñîåäèíåíèÿ ê óäàëåííîìó êîìïüþòåðó ìîæåò ïðåäîñòàâèòü ñïîñîá
ïîëó÷åíèÿ íåàâòîðèçîâàííîãî äîñòóïà ê áèçíåñ-ïðèëîæåíèþ. Ñëåäîâàòåëüíî, ïîäêëþ÷åíèÿ ê óäàëåííûì êîìïüþòåðíûì ñèñòåìàì íåîáõîäèìî àóòåíòèôèöèðîâàòü, ÷òî îñîáåííî âàæíî, åñëè ïîäêëþ÷åíèå
ïðîèçâîäèòñÿ ê ñåòè, êîòîðàÿ íàõîäèòñÿ âíå ñôåðû êîíòðîëÿ óïðàâëåíèÿ áåçîïàñíîñòüþ îðãàíèçàöèè.
Ïðèìåðû àóòåíòèôèêàöèè è ñïîñîáû åå äîñòèæåíèÿ ðàññìàòðèâàþòñÿ â 9.4.3.
Àóòåíòèôèêàöèÿ óçëà ìîæåò ñëóæèòü àëüòåðíàòèâíûì ñðåäñòâîì àóòåíòèôèêàöèè ãðóïï óäàëåííûõ ïîëüçîâàòåëåé òàì, ãäå îíè ïîäñîåäèíåíû ê áåçîïàñíîìó êîìïüþòåðíîìó ñðåäñòâó ñîâìåñòíîãî
èñïîëüçîâàíèÿ (9.4.3).
9.4.5 Çàùèòà ïîðòîâ äèàãíîñòèêè ïðè óäàëåííîì äîñòóïå
Äëÿ îáåñïå÷åíèÿ áåçîïàñíîñòè äîñòóï ê ïîðòàì äèàãíîñòèêè äîëæåí áûòü êîíòðîëèðóåìûì. Ìíîãèå êîìïüþòåðíûå ñåòè è ñèñòåìû ñâÿçè èìåþò íàáîð ñðåäñòâ óäàëåííîé äèàãíîñòèêè äëÿ èñïîëüçîâàíèÿ èíæåíåðàìè ïî îáñëóæèâàíèþ. Áóäó÷è íåçàùèùåííûìè, ýòè äèàãíîñòè÷åñêèå ïîðòû ÿâëÿþòñÿ
èñòî÷íèêîì ðèñêà íåàâòîðèçîâàííîãî äîñòóïà. Áåçîïàñíîñòü ýòèõ ïîðòîâ íåîáõîäèìî îáåñïå÷èâàòü ñ
ïîìîùüþ ñîîòâåòñòâóþùåãî çàùèòíîãî ìåõàíèçìà áåçîïàñíîñòè, íàïðèìåð, «çàìêà», à òàêæå îñóùåñòâëÿòü äîñòóï îáñëóæèâàþùåãî ïåðñîíàëà ê äèàãíîñòè÷åñêèì ïîðòàì òîëüêî íà îñíîâàíèè äîãîâîðåííîñòè ìåæäó ðóêîâîäèòåëåì, îòâå÷àþùèì çà îáåñïå÷åíèå êîìïüþòåðíûõ ñåðâèñîâ, è ïåðñîíàëîì ïî
ïîääåðæêå àïïàðàòíûõ/ïðîãðàììíûõ ñðåäñòâ.
9.4.6 Ïðèíöèï ðàçäåëåíèÿ â ñåòÿõ
Êîìïüþòåðíûå ñåòè âñå áîëåå ðàñïðîñòðàíÿþòñÿ çà ïðåäåëû îðãàíèçàöèè, ïîñêîëüêó ñîçäàþòñÿ
äåëîâûå ïàðòíåðñòâà, êîòîðûå òðåáóþò îáùåíèÿ ìåæäó ïàðòíåðàìè èëè ñîâìåñòíîãî èñïîëüçîâàíèÿ
ñåòåâîé èíôðàñòðóêòóðû è ñðåäñòâ îáðàáîòêè èíôîðìàöèè. Òàêèå ðàñøèðåíèÿ óâåëè÷èâàþò ðèñê íåàâòîðèçîâàííîãî äîñòóïà ê èíôîðìàöèîííûì ñèñòåìàì ñåòè, ïðè÷åì â îòíîøåíèè íåêîòîðûõ èç ýòèõ ñèñ32
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
òåì, âñëåäñòâèå èõ âàæíîñòè èëè êðèòè÷íîñòè, ìîæåò ïîòðåáîâàòüñÿ çàùèòà îò ïîëüçîâàòåëåé,
ïîëó÷èâøèõ äîñòóï ê äðóãèì ñèñòåìàì ñåòè.  òàêèõ ñëó÷àÿõ íåîáõîäèìî ðàññìàòðèâàòü âíåäðåíèå
äîïîëíèòåëüíûõ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ â ïðåäåëàõ ñåòè, ÷òîáû
ðàçäåëÿòü ãðóïïû èíôîðìàöèîííûõ ñåðâèñîâ, ïîëüçîâàòåëåé è èíôîðìàöèîííûå ñèñòåìû.
Îäíî èç òàêèõ ìåðîïðèÿòèé ñîñòîèò â òîì, ÷òîáû ðàçäåëÿòü èõ íà îòäåëüíûå ëîãè÷åñêèå ñåòåâûå
äîìåíû, íàïðèìåð, âíóòðåííèé ñåòåâîé äîìåí îðãàíèçàöèè è âíåøíèå ñåòåâûå äîìåíû, êàæäûé èç
êîòîðûõ çàùèùåí îïðåäåëåííûì ïåðèìåòðîì áåçîïàñíîñòè. Òàêîé ïåðèìåòð ìîæåò áûòü ðåàëèçîâàí
ïîñðåäñòâîì âíåäðåíèÿ øëþçà áåçîïàñíîñòè ìåæäó äâóìÿ ñâÿçàííûìè ñåòÿìè äëÿ êîíòðîëÿ äîñòóïà è
èíôîðìàöèîííîãî ïîòîêà ìåæäó íèìè. Ýòîò øëþç ñëåäóåò êîíôèãóðèðîâàòü äëÿ ôèëüòðàöèè òðàôèêà
ìåæäó äîìåíàìè (9.4.7 è 9.4.8) è äëÿ áëîêèðîâàíèÿ íåàâòîðèçîâàííîãî äîñòóïà â ñîîòâåòñòâèè ñ ïîëèòèêîé êîíòðîëÿ äîñòóïà îðãàíèçàöèè (9.1). Ïðèìåðîì òàêîãî øëþçà ÿâëÿåòñÿ ìåæñåòåâîé ýêðàí.
Êðèòåðèè äëÿ ðàçäåëåíèÿ ñåòåé íà äîìåíû ñëåäóåò ôîðìèðîâàòü íà îñíîâå àíàëèçà ïîëèòèêè êîíòðîëÿ äîñòóïà (9.1), à òàêæå ó÷èòûâàÿ âëèÿíèå ýòîãî ðàçäåëåíèÿ íà ïðîèçâîäèòåëüíîñòü â ðåçóëüòàòå
âêëþ÷åíèÿ ïîäõîäÿùåé òåõíîëîãèè ìàðøðóòèçàöèè ñåòåé èëè øëþçîâ (9.4.7 è 9.4.8).
9.4.7 Êîíòðîëü ñåòåâûõ ñîåäèíåíèé
Òðåáîâàíèÿ ïîëèòèêè êîíòðîëÿ äîñòóïà äëÿ ñîâìåñòíî èñïîëüçóåìûõ ñåòåé, îñîáåííî òåõ, êîòîðûå ïðîñòèðàþòñÿ çà ãðàíèöû îðãàíèçàöèè, ìîãóò ïîòðåáîâàòü âíåäðåíèÿ äîïîëíèòåëüíûõ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ, ÷òîáû îãðàíè÷èâàòü âîçìîæíîñòè ïîëüçîâàòåëåé
ïî ïîäñîåäèíåíèþ. Òàêèå ìåðîïðèÿòèÿ ìîãóò áûòü ðåàëèçîâàíû ïîñðåäñòâîì ñåòåâûõ øëþçîâ, êîòîðûå
ôèëüòðóþò òðàôèê ñ ïîìîùüþ îïðåäåëåííûõ òàáëèö èëè ïðàâèë. Íåîáõîäèìî, ÷òîáû ïðèìåíÿåìûå
îãðàíè÷åíèÿ îñíîâûâàëèñü íà ïîëèòèêå è òðåáîâàíèÿõ äîñòóïà ê áèçíåñ-ïðèëîæåíèÿì (9.1), à òàêæå
ñîîòâåòñòâóþùèì îáðàçîì ïîääåðæèâàëèñü è îáíîâëÿëèñü.
Ïðèìåðû áèçíåñ-ïðèëîæåíèé, ê êîòîðûì ñëåäóåò ïðèìåíÿòü îãðàíè÷åíèÿ:
- ýëåêòðîííàÿ ïî÷òà;
- ïåðåäà÷à ôàéëîâ â îäíîì íàïðàâëåíèè;
- ïåðåäà÷à ôàéëà â îáîèõ íàïðàâëåíèÿõ;
- èíòåðàêòèâíûé äîñòóï;
- äîñòóï ê ñåòè, îãðàíè÷åííûé îïðåäåëåííûì âðåìåíåì ñóòîê èëè äàòîé.
9.4.8 Óïðàâëåíèå ìàðøðóòèçàöèåé ñåòè
Ñåòè ñîâìåñòíîãî èñïîëüçîâàíèÿ, îñîáåííî òå, êîòîðûå ïðîñòèðàþòñÿ çà ãðàíèöû îðãàíèçàöèè,
ìîãóò òðåáîâàòü ðåàëèçàöèè ìåðîïðèÿòèé ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè, ÷òîáû ïîäñîåäèíåíèÿ êîìïüþòåðîâ ê èíôîðìàöèîííûì ïîòîêàì íå íàðóøàëè ïîëèòèêó êîíòðîëÿ äîñòóïà ê áèçíåñ-ïðèëîæåíèÿì (9.1). Ýòî ÿâëÿåòñÿ îñîáåííî âàæíûì äëÿ ñåòåé, ñîâìåñòíî èñïîëüçóåìûõ ñ
ïîëüçîâàòåëÿìè òðåòüåé ñòîðîíû (íå ñîòðóäíèêàìè îðãàíèçàöèè).
Îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè ïðè îñóùåñòâëåíèè ìàðøðóòèçàöèè îñíîâûâàåòñÿ
íà íàäåæíîì ìåõàíèçìå êîíòðîëÿ àäðåñîâ èñòî÷íèêà è íàçíà÷åíèÿ ñîîáùåíèÿ. Ïðåîáðàçîâàíèå ñåòåâûõ àäðåñîâ òàêæå î÷åíü ïîëåçíî äëÿ èçîëÿöèè ñåòåé è ïðåäîòâðàùåíèÿ ðàñïðîñòðàíåíèÿ ìàðøðóòîâ
îò ñåòè îäíîé îðãàíèçàöèè â ñåòü äðóãîé. Ýòîò ïîäõîä ìîæåò áûòü ðåàëèçîâàí êàê ïðîãðàììíûì ñïîñîáîì, òàê è àïïàðàòíî. Íåîáõîäèìî, ÷òîáû ñïåöèàëèñòû, çàíèìàþùèåñÿ âíåäðåíèåì, áûëè îñâåäîìëåíû î õàðàêòåðèñòèêàõ èñïîëüçóåìûõ ìåõàíèçìîâ.
9.4.9 Áåçîïàñíîñòü èñïîëüçîâàíèÿ ñåòåâûõ ñëóæá
Îáùåäîñòóïíûå è ÷àñòíûå ñåòåâûå ñëóæáû ïðåäëàãàþò øèðîêèé ñïåêòð äîïîëíèòåëüíûõ èíôîðìàöèîííûõ óñëóã, îáëàäàþùèõ õàðàêòåðèñòèêàìè áåçîïàñíîñòè è îáåñïå÷èâàþùèõ ðàçíûå óðîâíè
çàùèòû. Îðãàíèçàöèè, ïîëüçóþùèåñÿ ýòèìè óñëóãàìè, äîëæíû áûòü óâåðåíû â òîì, ÷òî ïðè ýòîì îáåñïå÷èâàåòñÿ íåîáõîäèìûé óðîâåíü èíôîðìàöèîííîé áåçîïàñíîñòè è èìååòñÿ ÷åòêîå îïèñàíèå àòðèáóòîâ
áåçîïàñíîñòè âñåõ èñïîëüçóåìûõ ñåðâèñîâ.
9.5 Êîíòðîëü äîñòóïà ê îïåðàöèîííîé ñèñòåìå
Öåëü: ïðåäîòâðàùåíèå íåàâòîðèçîâàííîãî äîñòóïà ê êîìïüþòåðàì.
Íà óðîâíå îïåðàöèîííîé ñèñòåìû ñëåäóåò èñïîëüçîâàòü ñðåäñòâà èíôîðìàöèîííîé áåçîïàñíîñòè
äëÿ îãðàíè÷åíèÿ äîñòóïà ê êîìïüþòåðíûì ðåñóðñàì. Ýòè ñðåäñòâà äîëæíû îáåñïå÷èâàòü:
à) èäåíòèôèêàöèþ è âåðèôèêàöèþ êîìïüþòåðà ïîëüçîâàòåëÿ è, åñëè íåîáõîäèìî, òåðìèíàëà è ìåñòîïîëîæåíèå êàæäîãî àâòîðèçîâàííîãî ïîëüçîâàòåëÿ;
á) ðåãèñòðàöèþ óñïåøíûõ è íåóäàâøèõñÿ äîñòóïîâ ê ñèñòåìå;
â) àóòåíòèôèêàöèþ ñîîòâåòñòâóþùåãî óðîâíÿ. Åñëè èñïîëüçóåòñÿ ñèñòåìà ïàðîëüíîé çàùèòû, òî îíà äîëæíà îáåñïå÷èâàòü êà÷åñòâåííûå ïàðîëè (9.3.1 ã);
ã) îãðàíè÷åíèå âðåìåíè ïîäñîåäèíåíèÿ ïîëüçîâàòåëåé, â ñëó÷àå íåîáõîäèìîñòè.
33
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
Äðóãèå ìåòîäû êîíòðîëÿ äîñòóïà, òàêèå êàê «îòêëèê-îòçûâ», ÿâëÿþòñÿ äîïóñòèìûìè, åñëè îíè
îïðàâäàíû ñ òî÷êè çðåíèÿ áèçíåñ-ðèñêîâ.
9.5.1 Àâòîìàòè÷åñêàÿ èäåíòèôèêàöèÿ òåðìèíàëà
Ñëåäóåò ðàññìàòðèâàòü âîçìîæíîñòü èñïîëüçîâàíèÿ àâòîìàòè÷åñêîé èäåíòèôèêàöèè òåðìèíàëà,
÷òîáû àóòåíòèôèöèðîâàòü åãî ïîäñîåäèíåíèå ê îïðåäåëåííûì òî÷êàì ñèñòåìû. Àâòîìàòè÷åñêàÿ èäåíòèôèêàöèÿ òåðìèíàëà — ìåòîä, êîòîðûé äîëæåí èñïîëüçîâàòüñÿ, åñëè âàæíî, ÷òîáû ñåàíñ ìîã áûòü
èíèöèèðîâàí òîëüêî ñ îïðåäåëåííîãî ìåñòà èëè êîìïüþòåðíîãî òåðìèíàëà. Âñòðîåííûé èëè ïîäñîåäèíåííûé ê òåðìèíàëó èäåíòèôèêàòîð ìîæåò èñïîëüçîâàòüñÿ äëÿ îïðåäåëåíèÿ, ðàçðåøåíî ëè ýòîìó êîíêðåòíîìó òåðìèíàëó èíèöèèðîâàòü èëè ïîëó÷àòü îïðåäåëåííûå ñîîáùåíèÿ. Ìîæåò áûòü íåîáõîäèìûì
ïðèìåíåíèå ôèçè÷åñêîé çàùèòû òåðìèíàëà äëÿ îáåñïå÷åíèÿ áåçîïàñíîñòè åãî èäåíòèôèêàòîðà.
Ñóùåñòâóþò äðóãèå ìåòîäû, êîòîðûå ìîæíî èñïîëüçîâàòü äëÿ àóòåíòèôèêàöèè ïîëüçîâàòåëåé (9.4.3).
9.5.2 Ïðîöåäóðû ðåãèñòðàöèè ñ òåðìèíàëà
Äîñòóï ê èíôîðìàöèîííûì ñåðâèñàì äîëæåí áûòü îáåñïå÷åí ïóòåì èñïîëüçîâàíèÿ áåçîïàñíîé
ïðîöåäóðû âõîäà â ñèñòåìó (ñïîñîá ðåãèñòðàöèè). Ïðîöåäóðó ðåãèñòðàöèè â êîìïüþòåðíîé ñèñòåìå ñëåäóåò ïðîåêòèðîâàòü òàê, ÷òîáû ñâåñòè ê ìèíèìóìó âîçìîæíîñòü íåàâòîðèçîâàííîãî äîñòóïà è íå îêàçûâàòü ïîìîùè íåàâòîðèçîâàííîìó ïîëüçîâàòåëþ. Ïðàâèëüíî ñïëàíèðîâàííàÿ ïðîöåäóðà ðåãèñòðàöèè
äîëæíà îáëàäàòü ñëåäóþùèìè ñâîéñòâàìè:
à) íå îòîáðàæàòü íàèìåíîâàíèé ñèñòåìû èëè ïðèëîæåíèé, ïîêà ïðîöåññ ðåãèñòðàöèè íå
áóäåò óñïåøíî çàâåðøåí;
á) îòîáðàæàòü îáùåå óâåäîìëåíèå, ïðåäóïðåæäàþùåå, ÷òî äîñòóï ê êîìïüþòåðó ìîãóò ïîëó÷èòü òîëüêî àâòîðèçîâàííûå ïîëüçîâàòåëè;
â) íå ïðåäîñòàâëÿòü ñîîáùåíèé-ïîäñêàçîê â òå÷åíèå ïðîöåäóðû ðåãèñòðàöèè, êîòîðûå ìîãëè áû ïîìî÷ü íåàâòîðèçîâàííîìó ïîëüçîâàòåëþ;
ã) ïîäòâåðæäàòü èíôîðìàöèþ ðåãèñòðàöèè òîëüêî ïî çàâåðøåíèè ââîäà âñåõ âõîäíûõ äàííûõ.  ñëó÷àå îøèáî÷íîãî ââîäà ñèñòåìà íå ïîêàçûâàåò, êàêàÿ ÷àñòü äàííûõ ÿâëÿåòñÿ ïðàâèëüíîé èëè
íåïðàâèëüíîé;
ä) îãðàíè÷èâàòü ÷èñëî ðàçðåøåííûõ íåóäà÷íûõ ïîïûòîê ðåãèñòðàöèè (ðåêîìåíäóåòñÿ òðè) è
ïðåäóñìàòðèâàòü:
1) çàïèñü íåóäà÷íûõ ïîïûòîê;
2) âêëþ÷åíèå âðåìåííîé çàäåðæêè ïðåæäå, ÷åì áóäóò ðàçðåøåíû äàëüíåéøèå ïîïûòêè ðåãèñòðàöèè, èëè îòêëîíåíèå ëþáûõ äàëüíåéøèõ ïîïûòîê ðåãèñòðàöèè áåç ñïåöèàëüíîé àâòîðèçàöèè;
3) ðàçúåäèíåíèå ñåàíñà ñâÿçè ïðè ïåðåäà÷å äàííûõ;
å) îãðàíè÷èâàòü ìàêñèìàëüíîå è ìèíèìàëüíîå âðåìÿ, ðàçðåøåííîå äëÿ ïðîöåäóðû ðåãèñòðàöèè. Åñëè îíî ïðåâûøåíî, ñèñòåìà äîëæíà ïðåêðàòèòü ðåãèñòðàöèþ;
æ) ôèêñèðîâàòü èíôîðìàöèþ â îòíîøåíèè óñïåøíî çàâåðøåííîé ðåãèñòðàöèè:
1) äàòó è âðåìÿ ïðåäûäóùåé óñïåøíîé ðåãèñòðàöèè;
2) äåòàëè ëþáûõ íåóäà÷íûõ ïîïûòîê ðåãèñòðàöèè, íà÷èíàÿ ñ ïîñëåäíåé óñïåøíîé ðåãèñòðàöèè.
9.5.3 Èäåíòèôèêàöèÿ è àóòåíòèôèêàöèÿ ïîëüçîâàòåëÿ
Íåîáõîäèìî, ÷òîáû âñå ïîëüçîâàòåëè (âêëþ÷àÿ ïåðñîíàë òåõíè÷åñêîé ïîääåðæêè, ò. å. îïåðàòîðîâ, àäìèíèñòðàòîðîâ ñåòè, ñèñòåìíûõ ïðîãðàììèñòîâ è àäìèíèñòðàòîðîâ áàçû äàííûõ) èìåëè óíèêàëüíûé èäåíòèôèêàòîð (ïîëüçîâàòåëüñêèé ID) äëÿ èõ åäèíîëè÷íîãî èñïîëüçîâàíèÿ ñ òåì, ÷òîáû èõ
äåéñòâèÿ ìîãëè áûòü ïðîàíàëèçèðîâàíû îòâåòñòâåííûì ëèöîì. Ïîëüçîâàòåëüñêèé ID íå äîëæåí ñîäåðæàòü ïðèçíàêîâ óðîâíÿ ïðèâèëåãèè ïîëüçîâàòåëÿ (9.2.2), íàïðèìåð, ìåíåäæåðà, êîíòðîëåðà.
Äëÿ âûïîëíåíèÿ îñîáî âàæíûõ ðàáîò äîïóñêàåòñÿ èñïîëüçîâàòü îáùèé èäåíòèôèêàòîð äëÿ ãðóïïû
ïîëüçîâàòåëåé èëè äëÿ âûïîëíåíèÿ îïðåäåëåííîé ðàáîòû.  òàêèõ ñëó÷àÿõ íåîáõîäèìî ñîîòâåòñòâóþùèì îáðàçîì îôîðìëåííîå ðàçðåøåíèå ðóêîâîäñòâà. Êðîìå òîãî, äëÿ îáåñïå÷åíèÿ áåçîïàñíîñòè ñèñòåìû îò íåàâòîðèçîâàííîãî äîñòóïà â ýòèõ ñëó÷àÿõ ìîæåò ïîòðåáîâàòüñÿ ïðèìåíåíèå äîïîëíèòåëüíûõ
ìåð îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè.
Ñóùåñòâóþò ðàçëè÷íûå ïðîöåäóðû àóòåíòèôèêàöèè, êîòîðûå ìîãóò èñïîëüçîâàòüñÿ äëÿ äîêàçàòåëüñòâà çàÿâëåííîé èäåíòè÷íîñòè ïîëüçîâàòåëÿ. Ïàðîëè (9.3.1) — î÷åíü ðàñïðîñòðàíåííûé ñïîñîá
îáåñïå÷åíèÿ èäåíòèôèêàöèè è àóòåíòèôèêàöèè (I&A), îñíîâàííûé íà èñïîëüçîâàíèè ïàðîëÿ, êîòîðûé
çíàåò òîëüêî ïîëüçîâàòåëü. Òî æå ñàìîå ìîæåò áûòü äîñòèãíóòî ñðåäñòâàìè êðèïòîãðàôèè è ïðîòîêîëàìè àóòåíòèôèêàöèè.
Ñïåöèàëüíûå ôèçè÷åñêèå óñòðîéñòâà äîñòóïà ñ ïàìÿòüþ (token) èëè ìèêðîïðîöåññîðíûå êàðòû
(ñìàðò-êàðòû), êîòîðûìè ïîëüçóþòñÿ ñîòðóäíèêè, ìîãóò òàêæå èñïîëüçîâàòüñÿ äëÿ èäåíòèôèêàöèè è
àóòåíòèôèêàöèè. Áèîìåòðè÷åñêèå ìåòîäû àóòåíòèôèêàöèè, êîòîðûå îñíîâàíû íà óíèêàëüíîñòè õàðàê34
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
òåðèñòèê (îñîáåííîñòåé) èíäèâèäóóìà, ìîãóò òàêæå èñïîëüçîâàòüñÿ äëÿ àóòåíòèôèêàöèè ïîëüçîâàòåëÿ.
Ñî÷åòàíèå ðàçëè÷íûõ òåõíîëîãèé è ìåòîäîâ îáåñïå÷èâàåò áîëåå íàäåæíóþ àóòåíòèôèêàöèþ.
9.5.4 Ñèñòåìà óïðàâëåíèÿ ïàðîëÿìè
Ïàðîëè — îäíî èç ãëàâíûõ ñðåäñòâ ïîäòâåðæäåíèÿ ïîëíîìî÷èÿ ïîëüçîâàòåëÿ, îñóùåñòâëÿþùåãî
äîñòóï ê êîìïüþòåðíûì ñåðâèñàì. Â ñèñòåìàõ óïðàâëåíèÿ ïàðîëåì äîëæíû áûòü ïðåäóñìîòðåíû
ýôôåêòèâíûå èíòåðàêòèâíûå âîçìîæíîñòè ïîääåðæêè íåîáõîäèìîãî èõ êà÷åñòâà (9.3.1).
Äëÿ íåêîòîðûõ áèçíåñ-ïðèëîæåíèé òðåáóåòñÿ íàçíà÷åíèå ïîëüçîâàòåëüñêèõ ïàðîëåé íåçàâèñèìûì äîëæíîñòíûì ëèöîì.  áîëüøèíñòâå æå ñëó÷àåâ ïàðîëè âûáèðàþòñÿ è ïîääåðæèâàþòñÿ ïîëüçîâàòåëÿìè.
Ñèñòåìà óïðàâëåíèÿ ïàðîëÿìè äîëæíà:
- ïðåäïèñûâàòü èñïîëüçîâàíèå èíäèâèäóàëüíûõ ïàðîëåé äëÿ îáåñïå÷åíèÿ óñòàíîâëåíèÿ îòâåòñòâåííîñòè;
- ïîçâîëÿòü ïîëüçîâàòåëÿì âûáèðàòü è èçìåíÿòü èõ ñîáñòâåííûå ïàðîëè, à òàêæå âêëþ÷àòü ïîäòâåðæäàþùóþ ïðîöåäóðó äëÿ ó÷åòà îøèáîê ââîäà ïðè íåîáõîäèìîñòè;
- ïðåäïèñûâàòü âûáîð âûñîêîêà÷åñòâåííûõ ïàðîëåé â ñîîòâåòñòâèè ñ 9.3.1;
- òàì, ãäå ïîëüçîâàòåëè îòâå÷àþò çà ïîääåðæêó ñâîèõ ñîáñòâåííûõ ïàðîëåé, ïðèíóæäàòü èõ ê èçìåíåíèþ ïàðîëåé (9.3.1);
- òàì, ãäå ïîëüçîâàòåëè âûáèðàþò ïàðîëè, îáåñïå÷èâàòü èçìåíåíèå âðåìåííûõ ïàðîëåé ïðè ïåðâîé ðåãèñòðàöèè (9.2.3);
- ïîääåðæèâàòü õðàíåíèå èñòîðèè ïðåäûäóùèõ ïîëüçîâàòåëüñêèõ ïàðîëåé (çà ïðåäûäóùèé ãîä) è
ïðåäîòâðàùàòü èõ ïîâòîðíîå èñïîëüçîâàíèå;
- íå îòîáðàæàòü ïàðîëè íà ýêðàíå ïðè èõ ââîäå;
- õðàíèòü ôàéëû ïàðîëåé îòäåëüíî îò äàííûõ ïðèêëàäíûõ ñèñòåì;
- õðàíèòü ïàðîëè â çàøèôðîâàííîé ôîðìå, èñïîëüçóÿ îäíîñòîðîííèé àëãîðèòì øèôðîâàíèÿ;
- îáåñïå÷èâàòü ñìåíó ïàðîëåé ïîñòàâùèêà, óñòàíîâëåííûõ ïî óìîë÷àíèþ, ïîñëå èíñòàëëÿöèè ïðîãðàììíîãî îáåñïå÷åíèÿ.
9.5.5 Èñïîëüçîâàíèå ñèñòåìíûõ óòèëèò
Íà áîëüøèíñòâå êîìïüþòåðîâ óñòàíàâëèâàåòñÿ, ïî êðàéíåé ìåðå, îäíà ïðîãðàììà — ñèñòåìíàÿ
óòèëèòà, êîòîðàÿ ïîçâîëÿåò îáîéòè ìåðû ïðåäîòâðàùåíèÿ íåàâòîðèçîâàííîãî äîñòóïà ê îïåðàöèîííûì
ñèñòåìàì è áèçíåñ-ïðèëîæåíèÿì. Èñïîëüçîâàíèå ñèñòåìíûõ óòèëèò äîëæíî áûòü îãðàíè÷åíî è òùàòåëüíûì îáðàçîì êîíòðîëèðîâàòüñÿ. Äëÿ ýòîãî íåîáõîäèìî èñïîëüçîâàíèå ñëåäóþùèõ ìåðîïðèÿòèé ïî
óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ:
- èñïîëüçîâàíèå ïðîöåäóð àóòåíòèôèêàöèè ñèñòåìíûõ óòèëèò;
- îòäåëåíèå ñèñòåìíûõ óòèëèò îò ïðèêëàäíûõ ïðîãðàìì;
- îãðàíè÷åíèå èñïîëüçîâàíèÿ ñèñòåìíûõ óòèëèò ïóòåì âûáîðà ìèíèìàëüíîãî ÷èñëà äîâåðåííûõ
àâòîðèçîâàííûõ ïîëüçîâàòåëåé, êîòîðûì ýòî íåîáõîäèìî;
- àâòîðèçàöèÿ ýïèçîäè÷åñêîãî èñïîëüçîâàíèÿ ñèñòåìíûõ óòèëèò;
- îãðàíè÷åíèå äîñòóïíîñòè ñèñòåìíûõ óòèëèò (òîëüêî íà âðåìÿ âíåñåíèÿ àâòîðèçîâàííûõ èçìåíåíèé);
- ðåãèñòðàöèÿ èñïîëüçîâàíèÿ âñåõ ñèñòåìíûõ óòèëèò;
- îïðåäåëåíèå è äîêóìåíòèðîâàíèå óðîâíåé àâòîðèçàöèè â îòíîøåíèè ñèñòåìíûõ óòèëèò;
- óäàëåíèå âñåõ íåíóæíûõ óòèëèò èç ñèñòåìíîãî ïðîãðàììíîãî îáåñïå÷åíèÿ.
9.5.6 Ñèãíàë òðåâîãè äëÿ çàùèòû ïîëüçîâàòåëåé íà ñëó÷àé, êîãäà îíè ìîãóò ñòàòü îáúåêòîì
íàñèëèÿ
Æåëàòåëüíî ïðåäóñìàòðèâàòü ñèãíàë òðåâîãè íà ñëó÷àé, êîãäà ïîëüçîâàòåëü ìîæåò ñòàòü îáúåêòîì íàñèëèÿ. Ðåøåíèå îá îáåñïå÷åíèè òàêîé ñèãíàëèçàöèåé ñëåäóåò ïðèíèìàòü íà îñíîâå îöåíêè ðèñêîâ. Ïðè ýòîì íåîáõîäèìî îïðåäåëèòü îáÿçàííîñòè è ïðîöåäóðû ðåàãèðîâàíèÿ íà ñèãíàë òàêîé òðåâîãè.
9.5.7 Ïåðèîäû áåçäåéñòâèÿ òåðìèíàëîâ
Òåðìèíàëû, ðàçìåùåííûå â ìåñòàõ ïîâûøåííîãî ðèñêà, íàïðèìåð â îáùåäîñòóïíûõ ìåñòàõ èëè
âíå ñôåðû êîíòðîëÿ ïðîöåññà óïðàâëåíèÿ áåçîïàñíîñòüþ îðãàíèçàöèè, îáñëóæèâàþùèå ñèñòåìû âûñîêîãî ðèñêà, äîëæíû îòêëþ÷àòüñÿ ïîñëå îïðåäåëåííîãî ïåðèîäà èõ áåçäåéñòâèÿ äëÿ ïðåäîòâðàùåíèÿ
äîñòóïà íåàâòîðèçîâàííûõ ëèö. Ìåõàíèçì áëîêèðîâêè ïî âðåìåíè äîëæåí îáåñïå÷èâàòü î÷èñòêó ýêðàíà
òåðìèíàëà, à òàêæå çàêðûòèå ðàáîòû ñåàíñîâ ïðèëîæåíèÿ è ñåòåâîãî ñåàíñà òåðìèíàëà ïîñëå îïðåäåëåííîãî ïåðèîäà âðåìåíè åãî áåçäåéñòâèÿ. Âðåìÿ ñðàáàòûâàíèÿ áëîêèðîâêè äîëæíî óñòàíàâëèâàòüñÿ ñ
ó÷åòîì ðèñêîâ áåçîïàñíîñòè, ñâÿçàííûõ ñ ìåñòîì óñòàíîâêè òåðìèíàëà. Ñëåäóåò èìåòü â âèäó, ÷òî íåêîòîðûå ïåðñîíàëüíûå êîìïüþòåðû îáåñïå÷èâàþò îãðàíè÷åííóþ âîçìîæíîñòü áëîêèðîâêè òåðìèíàëà ïî
âðåìåíè ïóòåì î÷èñòêè ýêðàíà è ïðåäîòâðàùåíèÿ íåàâòîðèçîâàííîãî äîñòóïà, íå îñóùåñòâëÿÿ ïðè ýòîì
çàêðûòèÿ ñåàíñà ïðèëîæåíèé èëè ñåòåâîãî ñåàíñà.
35
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
9.5.8 Îãðàíè÷åíèÿ ïîäñîåäèíåíèÿ ïî âðåìåíè
Îãðàíè÷åíèÿ ïîäñîåäèíåíèÿ ïî âðåìåíè äîëæíû îáåñïå÷èâàòü äîïîëíèòåëüíóþ áåçîïàñíîñòü
äëÿ ïðèëîæåíèé âûñîêîãî ðèñêà. Îãðàíè÷åíèå ïåðèîäà âðåìåíè, â òå÷åíèå êîòîðîãî ðàçðåøåíû ïîäñîåäèíåíèÿ òåðìèíàëîâ ê êîìïüþòåðíûì ñåðâèñàì, óìåíüøàåò èíòåðâàë âðåìåíè, â òå÷åíèå êîòîðîãî âîçìîæåí íåàâòîðèçîâàííûé äîñòóï. Ýòó ìåðó îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè íåîáõîäèìî
ïðèìåíÿòü äëÿ íàèáîëåå âàæíûõ êîìïüþòåðíûõ ïðèëîæåíèé, îñîáåííî òåõ, êîòîðûå ñâÿçàíû ñ òåðìèíàëàìè, óñòàíîâëåííûìè â ìåñòàõ ïîâûøåííîãî ðèñêà, íàïðèìåð, â îáùåäîñòóïíûõ ìåñòàõ èëè âíå ñôåðû
êîíòðîëÿ óïðàâëåíèÿ áåçîïàñíîñòüþ îðãàíèçàöèè. Ïðèìåðû òàêèõ îãðàíè÷åíèé:
- èñïîëüçîâàíèå çàðàíåå îïðåäåëåííûõ îòðåçêîâ âðåìåíè äëÿ ïàêåòíîé ïåðåäà÷è ôàéëîâ èëè
ðåãóëÿðíûõ èíòåðàêòèâíûõ ñåàíñîâ íåáîëüøîé ïðîäîëæèòåëüíîñòè;
- îãðàíè÷åíèå âðåìåíè ïîäêëþ÷åíèé ÷àñàìè ðàáîòû îðãàíèçàöèè, åñëè íåò íåîáõîäèìîñòè ñâåðõóðî÷íîé èëè áîëåå ïðîäîëæèòåëüíîé ðàáîòû.
9.6 Êîíòðîëü äîñòóïà ê ïðèëîæåíèÿì
Öåëü: ïðåäîòâðàùåíèå íåàâòîðèçîâàííîãî äîñòóïà ê äàííûì èíôîðìàöèîííûõ ñèñòåì.
Íåîáõîäèìî ïðèìåíÿòü ìåðû îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè äëÿ îãðàíè÷åíèÿ äîñòóïà ê ïðèêëàäíûì ñèñòåìàì.
Ëîãè÷åñêèé äîñòóï ê ïðîãðàììíîìó îáåñïå÷åíèþ è èíôîðìàöèè äîëæåí áûòü îãðàíè÷åí òîëüêî
àâòîðèçîâàííûìè ïîëüçîâàòåëÿìè. Äëÿ ýòîãî íåîáõîäèìî îáåñïå÷èâàòü:
- êîíòðîëü äîñòóïà ïîëüçîâàòåëåé ê èíôîðìàöèè è ôóíêöèÿì áèçíåñ-ïðèëîæåíèé â ñîîòâåòñòâèè ñ
îïðåäåëåííîé áèçíåñîì ïîëèòèêîé êîíòðîëÿ äîñòóïà;
- çàùèòó îò íåàâòîðèçîâàííîãî äîñòóïà ëþáîé óòèëèòû è ñèñòåìíîãî ïðîãðàììíîãî îáåñïå÷åíèÿ,
êîòîðûå ïîçâîëÿþò îáõîäèòü ñðåäñòâà îïåðàöèîííîé ñèñòåìû èëè ïðèëîæåíèé;
- èñêëþ÷åíèå êîìïðîìåòàöèè áåçîïàñíîñòè äðóãèõ ñèñòåì, ñ êîòîðûìè ñîâìåñòíî èñïîëüçóþòñÿ
èíôîðìàöèîííûå ðåñóðñû;
- äîñòóï ê èíôîðìàöèè òîëüêî âëàäåëüöà, êîòîðûé ñîîòâåòñòâóþùèì îáðàçîì íàçíà÷åí èç ÷èñëà
àâòîðèçîâàííûõ ëèö èëè îïðåäåëåííûõ ãðóïï ïîëüçîâàòåëåé.
9.6.1 Îãðàíè÷åíèå äîñòóïà ê èíôîðìàöèè
Ïîëüçîâàòåëÿì áèçíåñ-ïðèëîæåíèé, âêëþ÷àÿ ïåðñîíàë ïîääåðæêè è ýêñïëóàòàöèè, ñëåäóåò îáåñïå÷èâàòü äîñòóï ê èíôîðìàöèè è ôóíêöèÿì ýòèõ ïðèëîæåíèé â ñîîòâåòñòâèè ñ îïðåäåëåííîé ïîëèòèêîé
êîíòðîëÿ äîñòóïà, îñíîâàííîé íà òðåáîâàíèÿõ ê îòäåëüíûì áèçíåñ-ïðèëîæåíèÿì (9.1). Íåîáõîäèìî ðàññìàòðèâàòü ïðèìåíåíèå ñëåäóþùèõ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ äëÿ
îáåñïå÷åíèÿ òðåáîâàíèé ïî îãðàíè÷åíèþ äîñòóïà:
- ïîääåðæêà ìåíþ äëÿ óïðàâëåíèÿ äîñòóïîì ê ïðèêëàäíûì ôóíêöèÿì ñèñòåìû;
- îãðàíè÷åíèÿ â ïðåäîñòàâëåíèè ïîëüçîâàòåëÿì èíôîðìàöèè î äàííûõ è ôóíêöèÿõ áèçíåñ-ïðèëîæåíèé, ê êîòîðûì îíè íå àâòîðèçîâàíû íà äîñòóï, ïóòåì ñîîòâåòñòâóþùåãî ðåäàêòèðîâàíèÿ ïîëüçîâàòåëüñêîé äîêóìåíòàöèè;
- êîíòðîëü ïðàâ äîñòóïà ïîëüçîâàòåëåé, íàïðèìåð, ÷òåíèå/çàïèñü/óäàëåíèå/ âûïîëíåíèå;
- îáåñïå÷åíèå óâåðåííîñòè â òîì, ÷òî âûâîäèìûå äàííûå èç áèçíåñ-ïðèëîæåíèé, îáðàáàòûâàþùèõ âàæíóþ èíôîðìàöèþ, ñîäåðæàëè òîëüêî òðåáóåìóþ èíôîðìàöèþ è ïåðåñûëàëèñü òîëüêî â àäðåñà
àâòîðèçîâàííûõ òåðìèíàëîâ è ïî ìåñòó íàçíà÷åíèÿ. Ñëåäóåò ïðîâîäèòü ïåðèîäè÷åñêèé àíàëèç ïðîöåññà âûâîäà äëÿ ïðîâåðêè óäàëåíèÿ èçáûòî÷íîé èíôîðìàöèè.
9.6.2 Èçîëÿöèÿ ñèñòåì, îáðàáàòûâàþùèõ âàæíóþ èíôîðìàöèþ
Ñèñòåìû, îáðàáàòûâàþùèå âàæíóþ èíôîðìàöèþ, äîëæíû áûòü îáåñïå÷åíû âûäåëåííîé (èçîëèðîâàííîé) âû÷èñëèòåëüíîé ñðåäîé. Íåêîòîðûå ïðèêëàäíûå ñèñòåìû èìåþò î÷åíü áîëüøîå çíà÷åíèå ñ
òî÷êè çðåíèÿ áåçîïàñíîñòè äàííûõ è ïîýòîìó òðåáóþò ñïåöèàëüíûõ óñëîâèé ýêñïëóàòàöèè. Âàæíîñòü
îáðàáàòûâàåìîé èíôîðìàöèè ìîæåò èëè òðåáîâàòü ðàáîòû ñèñòåìû íà âûäåëåííîì êîìïüþòåðå, èëè
îñóùåñòâëÿòü ñîâìåñòíîå èñïîëüçîâàíèå ðåñóðñîâ òîëüêî ñ áåçîïàñíûìè áèçíåñ-ïðèëîæåíèÿìè, èëè
ðàáîòàòü áåç êàêèõ-ëèáî îãðàíè÷åíèé. Ïðè ýòîì íåîáõîäèìî ó÷èòûâàòü ñëåäóþùåå:
- âëàäåëüöó áèçíåñ-ïðèëîæåíèé íåîáõîäèìî îïðåäåëèòü è äîêóìåíòàëüíî îôîðìèòü ñòåïåíü èõ
âàæíîñòè (4.1.3);
- êîãäà âàæíîå áèçíåñ-ïðèëîæåíèå äîëæíî ðàáîòàòü â ñðåäå ñîâìåñòíîãî èñïîëüçîâàíèÿ, íåîáõîäèìî âûÿâèòü äðóãèå ïðèëîæåíèÿ, ñ êîòîðûìè áóäåò îñóùåñòâëÿòüñÿ ñîâìåñòíîå èñïîëüçîâàíèå ðåñóðñîâ, è ñîãëàñîâàòü ýòî ñ âëàäåëüöåì âàæíîãî áèçíåñ-ïðèëîæåíèÿ.
9.7 Ìîíèòîðèíã äîñòóïà è èñïîëüçîâàíèÿ ñèñòåìû
Öåëü: îáíàðóæåíèå íåàâòîðèçîâàííûõ äåéñòâèé.
36
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
Äëÿ îáíàðóæåíèÿ îòêëîíåíèÿ îò òðåáîâàíèé ïîëèòèêè êîíòðîëÿ äîñòóïà è ðåãèñòðàöèè ñîáûòèé è
îáåñïå÷åíèÿ äîêàçàòåëüñòâà íà ñëó÷àé âûÿâëåíèÿ èíöèäåíòîâ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè íåîáõîäèìî ïðîâîäèòü ìîíèòîðèíã ñèñòåìû.
Ìîíèòîðèíã ñèñòåìû ïîçâîëÿåò ïðîâåðÿòü ýôôåêòèâíîñòü ïðèìåíÿåìûõ ìåðîïðèÿòèé ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè è ïîäòâåðæäàòü ñîîòâåòñòâèå ìîäåëè ïîëèòèêè äîñòóïà òðåáîâàíèÿì áèçíåñà (9.1).
9.7.1 Ðåãèñòðàöèÿ ñîáûòèé
Äëÿ çàïèñè èíöèäåíòîâ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè è äðóãèõ ñâÿçàííûõ ñ áåçîïàñíîñòüþ ñîáûòèé ñëåäóåò ñîçäàâàòü æóðíàëû àóäèòà è õðàíèòü èõ â òå÷åíèå ñîãëàñîâàííîãî ïåðèîäà âðåìåíè ñ öåëüþ ñîäåéñòâèÿ â ïðîâåäåíèè áóäóùèõ ðàññëåäîâàíèé è ìîíèòîðèíãå óïðàâëåíèÿ äîñòóïîì.
Íåîáõîäèìî, ÷òîáû çàïèñè àóäèòà âêëþ÷àëè:
- ID ïîëüçîâàòåëåé;
- äàòû è âðåìÿ âõîäà è âûõîäà;
- èäåíòèôèêàòîð òåðìèíàëà èëè åãî ìåñòîïîëîæåíèå, åñëè âîçìîæíî;
- çàïèñè óñïåøíûõ è îòêëîíåííûõ ïîïûòîê äîñòóïà ê ñèñòåìå;
- çàïèñè óñïåøíûõ è îòêëîíåííûõ ïîïûòîê äîñòóïà ê äàííûì è äðóãèì ðåñóðñàì. Ìîæåò ïîòðåáîâàòüñÿ, ÷òîáû îïðåäåëåííûå çàïèñè àóäèòà áûëè çààðõèâèðîâàíû äëÿ èñïîëüçîâàíèÿ èõ ïðè àíàëèçå è
ðàññëåäîâàíèÿõ èíöèäåíòîâ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè, à òàêæå â èíòåðåñàõ äðóãèõ
öåëåé (ðàçäåë 12).
9.7.2 Ìîíèòîðèíã èñïîëüçîâàíèÿ ñèñòåì
9.7.2.1 Ïðîöåäóðû è îáëàñòè ðèñêà
Äëÿ îáåñïå÷åíèÿ óâåðåííîñòè â òîì, ÷òî ïîëüçîâàòåëè âûïîëíÿþò òîëüêî òå äåéñòâèÿ, íà êîòîðûå
îíè áûëè ÿâíî àâòîðèçîâàíû, íåîáõîäèìî îïðåäåëèòü ïðîöåäóðû ìîíèòîðèíãà èñïîëüçîâàíèÿ ñðåäñòâ
îáðàáîòêè èíôîðìàöèè. Óðîâåíü ìîíèòîðèíãà êîíêðåòíûõ ñðåäñòâ îáðàáîòêè èíôîðìàöèè ñëåäóåò
îïðåäåëÿòü íà îñíîâå îöåíêè ðèñêîâ. Ïðè ìîíèòîðèíãå ñëåäóåò îáðàùàòü âíèìàíèå íà:
a) àâòîðèçîâàííûé äîñòóï, âêëþ÷àÿ ñëåäóþùèå äåòàëè:
1) ïîëüçîâàòåëüñêèé ID;
2) äàòû è âðåìÿ îñíîâíûõ ñîáûòèé;
3) òèïû ñîáûòèé;
4) ôàéëû, ê êîòîðûì áûë îñóùåñòâëåí äîñòóï;
5) èñïîëüçóåìûå ïðîãðàììû/óòèëèòû;
á) âñå ïðèâèëåãèðîâàííûå äåéñòâèÿ, òàêèå êàê:
1) èñïîëüçîâàíèå ó÷åòíîé çàïèñè ñóïåðâèçîðà;
2) çàïóñê è îñòàíîâ ñèñòåìû;
3) ïîäñîåäèíåíèå/îòñîåäèíåíèå óñòðîéñòâà ââîäà/âûâîäà;
â) ïîïûòêè íåàâòîðèçîâàííîãî äîñòóïà, òàêèå êàê:
1) íåóäàâøèåñÿ ïîïûòêè;
2) íàðóøåíèÿ ïîëèòèêè äîñòóïà è óâåäîìëåíèÿ ñåòåâûõ øëþçîâ è ìåæñåòåâûõ ýêðàíîâ;
3) ïðåäóïðåæäåíèÿ îò ñîáñòâåííûõ ñèñòåì îáíàðóæåíèÿ âòîðæåíèÿ;
ã) ïðåäóïðåæäåíèÿ èëè îòêàçû ñèñòåìû, òàêèå êàê:
1) êîíñîëüíûå (òåðìèíàëüíûå) ïðåäóïðåæäåíèÿ èëè ñîîáùåíèÿ;
2) èñêëþ÷åíèÿ, çàïèñàííûå â ñèñòåìíûå æóðíàëû ðåãèñòðàöèè;
3) ïðåäóïðåäèòåëüíûå ñèãíàëû, ñâÿçàííûå ñ óïðàâëåíèåì ñåòüþ.
9.7.2.2 Ôàêòîðû ðèñêà
Ðåçóëüòàòû ìîíèòîðèíãà ñëåäóåò ðåãóëÿðíî àíàëèçèðîâàòü. Ïåðèîäè÷íîñòü àíàëèçîâ äîëæíà
çàâèñåòü îò ðåçóëüòàòîâ îöåíêè ðèñêà. Ôàêòîðû ðèñêà, êîòîðûå íåîáõîäèìî ïðè ýòîì ó÷èòûâàòü, âêëþ÷àþò:
- êðèòè÷íîñòü ïðîöåññîâ, êîòîðûå ïîääåðæèâàþòñÿ áèçíåñ-ïðèëîæåíèÿìè;
- ñòîèìîñòü, âàæíîñòü èëè êðèòè÷íîñòü èíôîðìàöèè;
- àíàëèç ïðåäøåñòâóþùèõ ñëó÷àåâ ïðîíèêíîâåíèÿ è íåïðàâèëüíîãî èñïîëüçîâàíèÿ ñèñòåìû;
- ñòåïåíü âçàèìîñâÿçè èíôîðìàöèîííûõ ñèñòåì îðãàíèçàöèè ñ äðóãèìè (îñîáåííî ñ îáùåäîñòóïíûìè) ñåòÿìè.
9.7.2.3 Ðåãèñòðàöèÿ è àíàëèç ñîáûòèé
Àíàëèç (ïðîñìîòð) æóðíàëà àóäèòà ïîäðàçóìåâàåò ïîíèìàíèå óãðîç, êîòîðûì ïîäâåðæåíà ñèñòåìà, è ïðè÷èí èõ âîçíèêíîâåíèÿ. Ïðèìåðû ñîáûòèé, êîòîðûå ìîãëè áû ïîòðåáîâàòü äàëüíåéøåãî èññëåäîâàíèÿ â ñëó÷àå èíöèäåíòîâ íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè, ïðèâåäåíû â 9.7.1.
Ñèñòåìíûå æóðíàëû àóäèòà ÷àñòî ñîäåðæàò èíôîðìàöèþ, çíà÷èòåëüíûé îáúåì êîòîðîé íå ïðåäñòàâëÿåò èíòåðåñà ñ òî÷êè çðåíèÿ ìîíèòîðèíãà áåçîïàñíîñòè. Äëÿ îáëåã÷åíèÿ èäåíòèôèêàöèè
37
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
ñóùåñòâåííûõ ñîáûòèé ïðè ìîíèòîðèíãå áåçîïàñíîñòè öåëåñîîáðàçíî ðàññìîòðåòü âîçìîæíîñòü àâòîìàòè÷åñêîãî êîïèðîâàíèÿ ñîîòâåòñòâóþùèõ òèïîâ ñîîáùåíèé â îòäåëüíûé æóðíàë è/èëè èñïîëüçîâàòü
ïîäõîäÿùèå ñèñòåìíûå óòèëèòû èëè èíñòðóìåíòàëüíûå ñðåäñòâà àóäèòà äëÿ ïîäãîòîâêè ê àíàëèçó
äàííûõ.
Ïðè ðàñïðåäåëåíèè îòâåòñòâåííîñòè çà àíàëèç æóðíàëà àóäèòà íåîáõîäèìî ó÷èòûâàòü ðàçäåëåíèå ðîëåé ìåæäó ëèöîì (ëèöàìè), ïðîâîäÿùèì (è) àíàëèç, è òåìè, ÷üè äåéñòâèÿ ïîäâåðãàþòñÿ ìîíèòîðèíãó.
Îñîáîå âíèìàíèå ñëåäóåò óäåëÿòü çàùèòå ñîáñòâåííûõ ñðåäñòâ ðåãèñòðàöèè, ïîòîìó ÷òî ïðè âìåøàòåëüñòâå â èõ ðàáîòó ìîæåò áûòü ïîëó÷åíî èñêàæåííîå ïðåäñòàâëåíèå î ñîáûòèÿõ áåçîïàñíîñòè.
Ìåðîïðèÿòèÿ ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ äîëæíû îáåñïå÷èâàòü çàùèòó îò íåàâòîðèçîâàííûõ èçìåíåíèé è ýêñïëóàòàöèîííûõ ñáîåâ, âêëþ÷àÿ:
- îòêëþ÷åíèå ñðåäñòâ ðåãèñòðàöèè;
- èçìåíåíèå òèïîâ çàðåãèñòðèðîâàííûõ ñîîáùåíèé;
- ðåäàêòèðîâàíèå èëè óäàëåíèå ôàéëîâ, ñîäåðæàùèõñÿ â æóðíàëàõ àóäèòà;
- ðåãèñòðàöèþ ñëó÷àåâ ïîëíîãî çàïîëíåíèÿ íîñèòåëåé æóðíàëüíûõ ôàéëîâ, à òàêæå ñëó÷àåâ
íåâîçìîæíîñòè çàïèñåé ñîáûòèé âñëåäñòâèå ñáîåâ ëèáî ñëó÷àåâ ïåðåçàïèñè íîâûõ äàííûõ ïîâåðõ ñòàðûõ.
9.7.3 Ñèíõðîíèçàöèÿ ÷àñîâ
Ïðàâèëüíàÿ óñòàíîâêà êîìïüþòåðíûõ ÷àñîâ (òàéìåðà) âàæíà äëÿ îáåñïå÷åíèÿ òî÷íîñòè çàïîëíåíèÿ æóðíàëîâ àóäèòà, êîòîðûå ìîãóò ïîòðåáîâàòüñÿ äëÿ ðàññëåäîâàíèé èëè êàê äîêàçàòåëüñòâî ïðè
ñóäåáíûõ èëè àäìèíèñòðàòèâíûõ ðàçáèðàòåëüñòâàõ. Íåêîððåêòíûå æóðíàëû àóäèòà ìîãóò çàòðóäíÿòü
òàêèå ðàññëåäîâàíèÿ, à òàêæå ïðèâîäèòü ê ñîìíåíèþ â äîñòîâåðíîñòè ñîáðàííûõ äîêàçàòåëüñòâ.
Òàì, ãäå êîìïüþòåð èëè óñòðîéñòâî ñâÿçè èìåþò âîçìîæíîñòü èñïîëüçîâàòü ÷àñû â ðåàëüíîì âðåìåíè, èõ ñëåäóåò óñòàíàâëèâàòü ïî Óíèâåðñàëüíîìó Ñêîîðäèíèðîâàííîìó Âðåìåíè (UCT) èëè ìåñòíîìó
ñòàíäàðòíîìó âðåìåíè. Òàê êàê íåêîòîðûå ÷àñû, êàê èçâåñòíî, «óõîäÿò âïåðåä» èëè «îòñòàþò», äîëæíà
ñóùåñòâîâàòü ïðîöåäóðà, êîòîðàÿ ïðîâåðÿåò è èñïðàâëÿåò ëþáîå îòêëîíåíèå èëè åãî çíà÷èìîå
èçìåíåíèå.
9.8 Ðàáîòà ñ ïåðåíîñíûìè óñòðîéñòâàìè è ðàáîòà â äèñòàíöèîííîì ðåæèìå
Öåëü: îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè ïðè èñïîëüçîâàíèè ïåðåíîñíûõ óñòðîéñòâ è
ñðåäñòâ, îáåñïå÷èâàþùèõ ðàáîòó â äèñòàíöèîííîì ðåæèìå.
Ñëåäóåò ñîèçìåðÿòü òðåáóåìóþ çàùèòó ñî ñïåöèôè÷íûìè ðèñêàìè ðàáîòû â óäàëåííîì ðåæèìå.
Ïðè èñïîëüçîâàíèè ïåðåíîñíûõ óñòðîéñòâ ñëåäóåò ó÷èòûâàòü ðèñêè, ñâÿçàííûå ñ ðàáîòîé â íåçàùèùåííîé ñðåäå, è ïðèìåíÿòü ñîîòâåòñòâóþùèå ìåðû çàùèòû.  ñëó÷àÿõ ðàáîòû â äèñòàíöèîííîì ðåæèìå
îðãàíèçàöèÿ äîëæíà ïðåäóñìàòðèâàòü çàùèòó êàê ìåñòà ðàáîòû, òàê è ñîîòâåòñòâóþùèå ìåðû ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè.
9.8.1 Ðàáîòà ñ ïåðåíîñíûìè óñòðîéñòâàìè
Ïðè èñïîëüçîâàíèè ïåðåíîñíûõ óñòðîéñòâ, íàïðèìåð íîóòáóêîâ, êàðìàííûõ êîìïüþòåðîâ, ïåðåíîñíûõ êîìïüþòåðîâ è ìîáèëüíûõ òåëåôîíîâ, íåîáõîäèìî ïðèíèìàòü ñïåöèàëüíûå ìåðû ïðîòèâîäåéñòâèÿ êîìïðîìåòàöèè ñëóæåáíîé èíôîðìàöèè. Íåîáõîäèìî ïðèíÿòü ôîðìàëèçîâàííóþ ïîëèòèêó,
ó÷èòûâàþùóþ ðèñêè, ñâÿçàííûå ñ ðàáîòîé ñ ïåðåíîñíûìè óñòðîéñòâàìè, â îñîáåííîñòè â íåçàùèùåííîé ñðåäå. Òàêàÿ ïîëèòèêà äîëæíà âêëþ÷àòü òðåáîâàíèÿ ïî ôèçè÷åñêîé çàùèòå, êîíòðîëþ äîñòóïà,
èñïîëüçîâàíèþ ñðåäñòâ è ìåòîäîâ êðèïòîãðàôèè, ðåçåðâèðîâàíèþ è çàùèòå îò âèðóñîâ. Íåîáõîäèìî,
÷òîáû ýòà ïîëèòèêà âêëþ÷àëà ïðàâèëà è ðåêîìåíäàöèè ïî ïîäñîåäèíåíèþ ìîáèëüíûõ ñðåäñòâ ê ñåòÿì, à
òàêæå ðàçðàáîòêó ðóêîâîäñòâ ïî èñïîëüçîâàíèþ ýòèõ ñðåäñòâ â îáùåäîñòóïíûõ ìåñòàõ.
Ñëåäóåò ïðîÿâëÿòü îñòîðîæíîñòü ïðè èñïîëüçîâàíèè ìîáèëüíûõ ñðåäñòâ âû÷èñëèòåëüíîé òåõíèêè è äðóãèõ ñåðâèñíûõ ñðåäñòâ â îáùåäîñòóïíûõ ìåñòàõ, ïåðåãîâîðíûõ êîìíàòàõ è íåçàùèùåííûõ ïîìåùåíèÿõ âíå îðãàíèçàöèè. ×òîáû èñêëþ÷èòü íåàâòîðèçîâàííûé äîñòóï èëè ðàñêðûòèå èíôîðìàöèè,
õðàíèìîé è îáðàáàòûâàåìîé ýòèìè ñðåäñòâàìè, íåîáõîäèìî èñïîëüçîâàíèå ñðåäñòâ è ìåòîäîâ
êðèïòîãðàôèè (10.3).
Ïðè èñïîëüçîâàíèè ìîáèëüíûõ ñðåäñòâ â îáùåäîñòóïíûõ ìåñòàõ âàæíî ïðîÿâëÿòü îñòîðîæíîñòü,
÷òîáû óìåíüøèòü ðèñê «ïîäñìîòðà» ïàðîëåé äîñòóïà íåàâòîðèçîâàííûìè ëèöàìè. Íåîáõîäèìî âíåäðÿòü è ïîääåðæèâàòü â àêòóàëèçèðîâàííîì ñîñòîÿíèè ñðåäñòâà è ñïîñîáû çàùèòû îò âðåäîíîñíîãî ïðîãðàììíîãî îáåñïå÷åíèÿ (8.3). Ñëåäóåò òàêæå îáåñïå÷èâàòü äîñòóïíîñòü îáîðóäîâàíèÿ äëÿ áûñòðîãî è
óäîáíîãî ðåçåðâèðîâàíèÿ èíôîðìàöèè. Íåîáõîäèìî òàêæå îáåñïå÷èâàòü àäåêâàòíóþ çàùèòó
ðåçåðâíûõ êîïèé îò êðàæè èëè ïîòåðè èíôîðìàöèè.
Ñîîòâåòñòâóþùóþ çàùèòó íåîáõîäèìî îáåñïå÷èâàòü ìîáèëüíûì ñðåäñòâàì, ïîäñîåäèíåííûì ê
îáùåäîñòóïíûì ñåòÿì. Óäàëåííûé äîñòóï ê ñëóæåáíîé èíôîðìàöèè ÷åðåç îáùåäîñòóïíóþ ñåòü ñ
38
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
èñïîëüçîâàíèåì ìîáèëüíûõ ñðåäñòâ âû÷èñëèòåëüíîé òåõíèêè ñëåäóåò îñóùåñòâëÿòü òîëüêî ïîñëå
óñïåøíîé èäåíòèôèêàöèè è àóòåíòèôèêàöèè, à òàêæå ïðè íàëè÷èè ñîîòâåòñòâóþùèõ ìåõàíèçìîâ óïðàâëåíèÿ äîñòóïîì (9.4).
Îáîðóäîâàíèå, íà êîòîðîì õðàíèòñÿ âàæíàÿ è/èëè êðèòè÷åñêàÿ êîììåð÷åñêàÿ èíôîðìàöèÿ, íå ñëåäóåò îñòàâëÿòü áåç ïðèñìîòðà è ïî âîçìîæíîñòè íåîáõîäèìî ôèçè÷åñêè èçîëèðîâàòü åãî â íàäåæíîå
ìåñòî èëè èñïîëüçîâàòü ñïåöèàëüíûå çàùèòíûå óñòðîéñòâà íà ñàìîì îáîðóäîâàíèè, ÷òîáû èñêëþ÷èòü
åãî íåàâòîðèçîâàííîå èñïîëüçîâàíèå. Ïåðåíîñíûå óñòðîéñòâà íåîáõîäèìî òàêæå ôèçè÷åñêè çàùèùàòü
îò êðàæ, îñîáåííî êîãäà èõ îñòàâëÿþò áåç ïðèñìîòðà, çàáûâàþò â àâòîìîáèëÿõ èëè äðóãèõ âèäàõ òðàíñïîðòà, ãîñòèíè÷íûõ íîìåðàõ, êîíôåðåíö-çàëàõ è äðóãèõ ìåñòàõ âñòðå÷ (7.2.5).
Íåîáõîäèìî èíôîðìèðîâàòü ñîòðóäíèêîâ, èñïîëüçóþùèõ ïåðåíîñíûå óñòðîéñòâà, î äîïîëíèòåëüíûõ ðèñêàõ è íåîáõîäèìûõ ìåðîïðèÿòèÿõ îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè, ñâÿçàííûõ ñ
ýòèì ñïîñîáîì ðàáîòû.
9.8.2 Ðàáîòà â äèñòàíöèîííîì ðåæèìå
Ïðè ðàáîòå â äèñòàíöèîííîì ðåæèìå, à òàêæå äëÿ îáåñïå÷åíèÿ ðàáîòû ñîòðóäíèêîâ âíå ñâîåé
îðãàíèçàöèè, â êîíêðåòíîì óäàëåííîì ìåñòå ïðèìåíÿþòñÿ êîììóíèêàöèîííûå òåõíîëîãèè. Ïðè ýòîì
ñëåäóåò îáåñïå÷èâàòü çàùèòó ìåñò äèñòàíöèîííîé ðàáîòû êàê îò êðàæ îáîðóäîâàíèÿ è èíôîðìàöèè, òàê
è îò íåàâòîðèçîâàííîãî ðàñêðûòèÿ èíôîðìàöèè, íåàâòîðèçîâàííîãî óäàëåííîãî äîñòóïà ê âíóòðåííèì
ñèñòåìàì îðãàíèçàöèè èëè íåïðàâèëüíîãî èñïîëüçîâàíèÿ îáîðóäîâàíèÿ. Âàæíî, ÷òîáû ïðè ðàáîòå â
äèñòàíöèîííîì ðåæèìå áûëè âûïîëíåíû òðåáîâàíèÿ êàê ïî àâòîðèçàöèè, òàê è ïî êîíòðîëþ ñî ñòîðîíû
ðóêîâîäñòâà, à òàêæå áûë îáåñïå÷åí ñîîòâåòñòâóþùèé óðîâåíü èíôîðìàöèîííîé áåçîïàñíîñòè ýòîãî
ñïîñîáà ðàáîòû.
Îðãàíèçàöèÿì íåîáõîäèìî ïðåäóñìàòðèâàòü ðàçðàáîòêó ïîëèòèêè, ïðîöåäóðû è ñïîñîáû êîíòðîëÿ
çà äåéñòâèÿìè, ñâÿçàííûìè ñ ðàáîòîé â äèñòàíöèîííîì ðåæèìå. Îðãàíèçàöèÿì ñëåäóåò àâòîðèçîâûâàòü âîçìîæíîñòü ðàáîòû â äèñòàíöèîííîì ðåæèìå òîëüêî â ñëó÷àå óâåðåííîñòè, ÷òî ïðèìåíÿþòñÿ ñîîòâåòñòâóþùèå ìåðû èíôîðìàöèîííîé áåçîïàñíîñòè, êîòîðûå ñîãëàñóþòñÿ ñ ïîëèòèêîé áåçîïàñíîñòè
îðãàíèçàöèè. Íåîáõîäèìî ïðèíèìàòü âî âíèìàíèå:
- ñóùåñòâóþùóþ ôèçè÷åñêóþ áåçîïàñíîñòü ìåñòà ðàáîòû â äèñòàíöèîííîì ðåæèìå, ñ òî÷êè çðåíèÿ
áåçîïàñíîñòè çäàíèÿ è îêðóæàþùåé ñðåäû;
- ïðåäëàãàåìîå îáîðóäîâàíèå ìåñò äèñòàíöèîííîé ðàáîòû;
- òðåáîâàíèÿ ê áåçîïàñíîñòè êîììóíèêàöèé, èñõîäÿ èç ïîòðåáíîñòè â óäàëåííîì äîñòóïå ê âíóòðåííèì ñèñòåìàì îðãàíèçàöèè, âàæíîñòè èíôîðìàöèè, ê êîòîðîé áóäåò îñóùåñòâëÿòüñÿ äîñòóï è êîòîðàÿ
áóäåò ïåðåäàâàòüñÿ ïî êàíàëàì ñâÿçè, à òàêæå âàæíîñòü ñàìèõ âíóòðåííèõ ñèñòåì îðãàíèçàöèè;
- óãðîçó íåàâòîðèçîâàííîãî äîñòóïà ê èíôîðìàöèè èëè ðåñóðñàì ñî ñòîðîíû äðóãèõ ëèö, èìåþùèõ
äîñòóï ê ìåñòó äèñòàíöèîííîé ðàáîòû, íàïðèìåð, ÷ëåíîâ ñåìüè è äðóçåé.
Ìåðîïðèÿòèÿ ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè â ýòèõ óñëîâèÿõ äîëæíû âêëþ÷àòü:
- îáåñïå÷åíèå ïîäõîäÿùèì îáîðóäîâàíèåì è ìåáåëüþ ìåñòà äèñòàíöèîííîé ðàáîòû;
- îïðåäåëåíèå âèäîâ ðàçðåøåííîé ðàáîòû, âðåìåíè ðàáîòû, êëàññèôèêàöèþ èíôîðìàöèè, êîòîðàÿ ìîæåò õðàíèòüñÿ, à òàêæå îïðåäåëåíèå âíóòðåííèõ ñèñòåì è óñëóã, äîñòóï ê êîòîðûì àâòîðèçîâàí
ëèöó, ðàáîòàþùåìó â äèñòàíöèîííîì ðåæèìå;
- îáåñïå÷åíèå ïîäõîäÿùèì òåëåêîììóíèêàöèîííûì îáîðóäîâàíèåì, â òîì ÷èñëå ñðåäñòâàìè
îáåñïå÷åíèÿ áåçîïàñíîñòè óäàëåííîãî äîñòóïà;
- ôèçè÷åñêóþ áåçîïàñíîñòü;
- ïðàâèëà è ðóêîâîäñòâà â îòíîøåíèè äîñòóïà ÷ëåíîâ ñåìüè è äðóçåé ê îáîðóäîâàíèþ è èíôîðìàöèè;
- îáåñïå÷åíèå ïîääåðæêè è îáñëóæèâàíèÿ îáîðóäîâàíèÿ è ïðîãðàììíîãî îáåñïå÷åíèÿ;
- ïðîöåäóðû â îòíîøåíèè ðåçåðâèðîâàíèÿ äàííûõ è îáåñïå÷åíèÿ íåïðåðûâíîñòè äåÿòåëüíîñòè;
- àóäèò è ìîíèòîðèíã áåçîïàñíîñòè;
- àííóëèðîâàíèå ïîëíîìî÷èé, îòìåíó ïðàâ äîñòóïà è âîçâðàùåíèå îáîðóäîâàíèÿ â ñëó÷àå ïðåêðàùåíèÿ ðàáîòû â äèñòàíöèîííîì ðåæèìå.
10 Ðàçðàáîòêà è îáñëóæèâàíèå ñèñòåì
10.1 Òðåáîâàíèÿ ê áåçîïàñíîñòè ñèñòåì
Öåëü: îáåñïå÷åíèå ó÷åòà òðåáîâàíèé áåçîïàñíîñòè ïðè ðàçðàáîòêå èíôîðìàöèîííûõ ñèñòåì.
Ýòè òðåáîâàíèÿ êàñàþòñÿ èíôðàñòðóêòóðû, áèçíåñ-ïðèëîæåíèé, à òàêæå ïðèëîæåíèé, ðàçðàáîòàííûõ ïîëüçîâàòåëÿìè. Ïðîöåññû ïðîåêòèðîâàíèÿ è âíåäðåíèÿ áèçíåñ-ïðèëîæåíèÿ èëè ñåðâèñà ìîãóò
39
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
áûòü êðèòè÷íûìè ñ òî÷êè çðåíèÿ áåçîïàñíîñòè. Òðåáîâàíèÿ ê áåçîïàñíîñòè ñëåäóåò èäåíòèôèöèðîâàòü
è ñîãëàñîâûâàòü äî ðàçðàáîòêè èíôîðìàöèîííûõ ñèñòåì.
Âñå òðåáîâàíèÿ áåçîïàñíîñòè, âêëþ÷àÿ íåîáõîäèìûå ìåðîïðèÿòèÿ ïî ïåðåõîäó íà àâàðèéíûé
ðåæèì, ñëåäóåò èäåíòèôèöèðîâàòü íà ñòàäèè îïðåäåëåíèÿ çàäà÷ ïðîåêòà, à òàêæå îáîñíîâûâàòü, ñîãëàñîâûâàòü è äîêóìåíòèðîâàòü â ðàìêàõ îáùåãî ïðîåêòà ïî âíåäðåíèþ èíôîðìàöèîííîé ñèñòåìû.
10.1.1 Àíàëèç è ñïåöèôèêàöèÿ òðåáîâàíèé áåçîïàñíîñòè
Íåîáõîäèìî, ÷òîáû â ôîðìóëèðîâêàõ òðåáîâàíèé áèçíåñà â îòíîøåíèè íîâûõ ñèñòåì èëè óñîâåðøåíñòâîâàíèÿ ñóùåñòâóþùèõ ñèñòåì áûëè ó÷òåíû òðåáîâàíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè. Ïðè
ýòîì ñëåäóåò ó÷èòûâàòü êàê âîçìîæíîñòè âñòðîåííûõ â ñèñòåìó àâòîìàòèçèðîâàííûõ ñðåäñòâ îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè, òàê è íåîáõîäèìîñòü ïðèìåíåíèÿ îðãàíèçàöèîííûõ ìåðîïðèÿòèé
ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ èëè ðàçðàáîòêó ñïåöèàëüíûõ ñðåäñòâ. Àíàëîãè÷íî ñëåäóåò ïîäõîäèòü ê îöåíêå ïàêåòîâ ïðèêëàäíûõ ïðîãðàìì. Êàê ïðàâèëî, ðóêîâîäñòâî äîëæíî îáåñïå÷èâàòü
èñïîëüçîâàíèå ñåðòèôèöèðîâàííûõ ïðîãðàììíûõ ïðîäóêòîâ èëè ïðîäóêòîâ, ïðîøåäøèõ íåçàâèñèìóþ
îöåíêó.
Òðåáîâàíèÿ áåçîïàñíîñòè è ñîîòâåòñòâóþùèå ìåðîïðèÿòèÿ ïî îáåñïå÷åíèþ èíôîðìàöèîííîé
áåçîïàñíîñòè äîëæíû ó÷èòûâàòü öåííîñòü èíôîðìàöèîííûõ àêòèâîâ, ïîòåíöèàëüíûé óùåðá áèçíåñó,
êîòîðûé ìîæåò ñòàòü ðåçóëüòàòîì íåýôôåêòèâíîñòè èëè îòñóòñòâèÿ ìåð áåçîïàñíîñòè. Îöåíêà è óïðàâëåíèå ðèñêàìè — îñíîâà äëÿ àíàëèçà òðåáîâàíèé ê áåçîïàñíîñòè è îïðåäåëåíèÿ íåîáõîäèìûõ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ.
Ïëàíèðîâàíèå ìåðîïðèÿòèé ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè íà ñòàäèè ïðîåêòèðîâàíèÿ ñèñòåìû ïîçâîëÿåò ñóùåñòâåííî ñíèçèòü çàòðàòû íà èõ âíåäðåíèå è ïîääåðæêó ïî ñðàâíåíèþ ñ
ðàçðàáîòêîé ñîîòâåòñòâóþùèõ ìåðîïðèÿòèé âî âðåìÿ èëè ïîñëå âíåäðåíèÿ ñèñòåìû.
10.2 Áåçîïàñíîñòü â ïðèêëàäíûõ ñèñòåìàõ
Öåëü: ïðåäîòâðàùåíèå ïîòåðü, ìîäèôèêàöèè èëè íåïðàâèëüíîãî èñïîëüçîâàíèÿ ïîëüçîâàòåëüñêèõ äàííûõ â ïðèêëàäíûõ ñèñòåìàõ.
Ñîîòâåòñòâóþùèå ìåðîïðèÿòèÿ ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè, âêëþ÷àÿ ôóíêöèè àóäèòà èëè ïðîòîêîëèðîâàíèå äåéñòâèé ïîëüçîâàòåëÿ, íåîáõîäèìî ïðåäóñìàòðèâàòü â ïðèêëàäíûõ
ñèñòåìàõ, âêëþ÷àÿ ïðèëîæåíèÿ, íàïèñàííûå ñàìèìè ïîëüçîâàòåëÿìè. Ýòè ìåðû äîëæíû âêëþ÷àòü â
ñåáÿ îáåñïå÷åíèå ôóíêöèîíàëüíîñòè ïîäòâåðæäåíèÿ êîððåêòíîñòè ââîäà, îáðàáîòêè è âûâîäà äàííûõ.
Äîïîëíèòåëüíûå ìåðîïðèÿòèÿ ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè ìîãóò ïîòðåáîâàòüñÿ äëÿ ñèñòåì, êîòîðûå îáðàáàòûâàþò èëè îêàçûâàþò âîçäåéñòâèå íà âàæíûå, öåííûå èëè êðèòè÷åñêèå àêòèâû îðãàíèçàöèè, è èõ íåîáõîäèìî îïðåäåëÿòü íà îñíîâå òðåáîâàíèé áåçîïàñíîñòè è îöåíêè
ðèñêîâ.
10.2.1 Ïîäòâåðæäåíèå êîððåêòíîñòè ââîäà äàííûõ
Íåîáõîäèìî îáðàùàòü îñîáîå âíèìàíèå íà êîððåêòíîñòü âõîäíûõ äàííûõ äëÿ ïðèêëàäíûõ ñèñòåì.
Ïðè ââîäå áèçíåñ-òðàíçàêöèé, ïîñòîÿííûõ äàííûõ (èìåíà è àäðåñà, êðåäèòíûå ëèìèòû, èäåíòèôèêàöèîííûå íîìåðà êëèåíòîâ) è òàáëèö ïàðàìåòðîâ (öåíû ïðîäàæ, êóðñû âàëþò, ñòàâêè íàëîãîâ) ñëåäóåò ïðèìåíÿòü ïðîâåðêó êîððåêòíîñòè ââîäà äëÿ îáåñïå÷åíèÿ óâåðåííîñòè â èõ ñîîòâåòñòâèè èñõîäíûì
äàííûì. Äëÿ ýòîãî öåëåñîîáðàçíî ïðèìåíåíèå ñëåäóþùèõ ìåðîïðèÿòèé ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè:
a) ïðîâåðêè èñêëþ÷åíèÿ äâîéíîãî ââîäà èëè äðóãèå ïðîâåðêè ââîäà ñ öåëüþ îáíàðóæåíèÿ
ñëåäóþùèõ îøèáîê:
1) çíà÷åíèé, âûõîäÿùèõ çà äîïóñòèìûé äèàïàçîí;
2) íåäîïóñòèìûõ ñèìâîëîâ â ïîëÿõ äàííûõ;
3) îòñóòñòâóþùèå èëè íåïîëíûå äàííûå;
4) ïðåâûøåíèå âåðõíèõ è íèæíèõ ïðåäåëîâ îáúåìà äàííûõ;
5) íåàâòîðèçîâàííûå èëè ïðîòèâîðå÷èâûå êîíòðîëüíûå äàííûå;
á) ïåðèîäè÷åñêèé àíàëèç (ïðîñìîòð) ñîäåðæèìîãî êëþ÷åâûõ ïîëåé èëè ôàéëîâ äàííûõ äëÿ
ïîäòâåðæäåíèÿ èõ äîñòîâåðíîñòè è öåëîñòíîñòè;
â) ñâåðêà òâåðäûõ (ïå÷àòíûõ) êîïèé ââîäèìûõ äîêóìåíòîâ ñ ââîäèìûìè äàííûìè íà ïðåäìåò âûÿâëåíèÿ ëþáûõ íåàâòîðèçîâàííûõ èçìåíåíèé ýòèõ äàííûõ (íåîáõîäèìî, ÷òîáû âñå èçìåíåíèÿ âî
ââîäèìûõ äîêóìåíòàõ áûëè àâòîðèçîâàíû);
ã) ïðîöåäóðû ðåàãèðîâàíèÿ íà îøèáêè, ñâÿçàííûå ñ ïîäòâåðæäåíèåì äàííûõ;
ä) ïðîöåäóðû ïðîâåðêè ïðàâäîïîäîáèÿ ââîäèìûõ äàííûõ;
å) îïðåäåëåíèå îáÿçàííîñòåé âñåõ ñîòðóäíèêîâ, âîâëå÷åííûõ â ïðîöåññ ââîäà äàííûõ.
40
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
10.2.2 Êîíòðîëü îáðàáîòêè äàííûõ â ñèñòåìå
10.2.2.1 Îáëàñòè ðèñêà
Äàííûå, êîòîðûå áûëè ââåäåíû ïðàâèëüíî, ìîãóò áûòü èñêàæåíû âñëåäñòâèå îøèáîê îáðàáîòêè
èëè ïðåäíàìåðåííûõ äåéñòâèé. Ñ öåëüþ îáíàðóæåíèÿ ïîäîáíûõ èñêàæåíèé â ôóíêöèè ñèñòåì ñëåäóåò
âêëþ÷àòü òðåáîâàíèÿ, îáåñïå÷èâàþùèå âûïîëíåíèå êîíòðîëüíûõ ïðîâåðîê. Íåîáõîäèìî, ÷òîáû äèçàéí
ïðèëîæåíèé îáåñïå÷èâàë óâåðåííîñòü â òîì, ÷òî âíåäðåíû îãðàíè÷åíèÿ, íàïðàâëåííûå íà ìèíèìèçàöèþ ðèñêà îòêàçîâ, âåäóùèõ ê ïîòåðå öåëîñòíîñòè äàííûõ. Íåîáõîäèìî ó÷èòûâàòü, â ÷àñòíîñòè,
ñëåäóþùåå:
- èñïîëüçîâàíèå ìåñòà â ïðîãðàììàõ äëÿ ôóíêöèé äîáàâëåíèÿ è óäàëåíèÿ äàííûõ;
- ïðîöåäóðû äëÿ ïðåäîòâðàùåíèÿ âûïîëíåíèÿ ïðîãðàìì â íåïðàâèëüíîé ïîñëåäîâàòåëüíîñòè èëè
åå èñïîëíåíèÿ ïîñëå ñáîÿ íà ïðåäûäóùåì ýòàïå îáðàáîòêè äàííûõ (8.1.1);
- èñïîëüçîâàíèå êîððåêòèðóþùèõ ïðîãðàìì äëÿ âîññòàíîâëåíèÿ ïîñëå ñáîåâ è îáåñïå÷åíèÿ ïðàâèëüíîé îáðàáîòêè äàííûõ.
10.2.2.2 Ïðîâåðêè è ñðåäñòâà êîíòðîëÿ
Âûáîð íåîáõîäèìûõ ñðåäñòâ êîíòðîëÿ çàâèñèò îò õàðàêòåðà áèçíåñ-ïðèëîæåíèÿ è ïîñëåäñòâèé
äëÿ áèçíåñà ëþáîãî èñêàæåíèÿ äàííûõ. Ïðèìåðû âñòðîåííûõ ñðåäñòâ îáåñïå÷åíèÿ èíôîðìàöèîííîé
áåçîïàñíîñòè ìîãóò áûòü:
à) ñðåäñòâà êîíòðîëÿ ñåàíñîâîé èëè ïàêåòíîé îáðàáîòêè ñ öåëüþ âûâåðêè êîíòðîëüíûõ äàííûõ (îñòàòêîâ/êîíòðîëüíûõ ñóìì) â ôàéëàõ äàííûõ ïîñëå òðàíçàêöèîííûõ îáíîâëåíèé;
á) ñðåäñòâà êîíòðîëÿ âõîäÿùèõ îñòàòêîâ ñ öåëüþ èõ ïðîâåðêè ñ ïðåäûäóùèìè çàêðûòûìè
îñòàòêàìè, à èìåííî:
1) ñðåäñòâà êîíòðîëÿ «îò âûïîëíåíèÿ — ê âûïîëíåíèþ»;
2) îáùèå ñóììû èçìåíåííûõ äàííûõ â ôàéëå;
3) ñðåäñòâà êîíòðîëÿ «îò ïðîãðàììû — ê ïðîãðàììå»;
â) ïîäòâåðæäåíèå êîððåêòíîñòè äàííûõ, ãåíåðèðîâàííûõ ñèñòåìîé (10.2.1);
ã) ïðîâåðêè öåëîñòíîñòè ïîëó÷åííûõ èëè ïåðåäàííûõ äàííûõ (ïðîãðàììíîãî îáåñïå÷åíèÿ)
ìåæäó öåíòðàëüíûì (ãëàâíûì) è óäàëåííûìè êîìïüþòåðàìè (10.3.3);
ä) êîíòðîëüíûå ñóììû çàïèñåé è ôàéëîâ;
å) ïðîâåðêè äëÿ îáåñïå÷åíèÿ óâåðåííîñòè â òîì, ÷òî ïðèêëàäíûå ïðîãðàììû âûïîëíÿþòñÿ â
íóæíîå âðåìÿ;
æ) ïðîâåðêè äëÿ îáåñïå÷åíèÿ óâåðåííîñòè â òîì, ÷òî ïðîãðàììû âûïîëíÿþòñÿ â ïðàâèëüíîì
ïîðÿäêå è ïðåêðàùàþò ðàáîòó â ñëó÷àå îòêàçà, è ÷òî äàëüíåéøàÿ îáðàáîòêà ïðèîñòàíàâëèâàåòñÿ äî òåõ
ïîð, ïîêà ïðîáëåìà íå áóäåò ðàçðåøåíà.
10.2.3 Àóòåíòèôèêàöèÿ ñîîáùåíèé
Àóòåíòèôèêàöèÿ ñîîáùåíèé — ýòî ìåòîä, èñïîëüçóåìûé äëÿ îáíàðóæåíèÿ íåàâòîðèçîâàííûõ
èçìåíåíèé èëè ïîâðåæäåíèé ñîäåðæàíèÿ ïåðåäàííîãî ýëåêòðîííîãî ñîîáùåíèÿ. Àóòåíòèôèêàöèÿ ñîîáùåíèé ìîæåò áûòü ðåàëèçîâàíà êàê àïïàðàòíûì, òàê è ïðîãðàììíûì ïóòåì â ôèçè÷åñêîì óñòðîéñòâå
àóòåíòèôèêàöèè ñîîáùåíèé èëè â ïðîãðàììíîì àëãîðèòìå.
Àóòåíòèôèêàöèþ ñîîáùåíèé íåîáõîäèìî èñïîëüçîâàòü äëÿ áèçíåñ-ïðèëîæåíèé, ãäå äîëæíà áûòü
îáåñïå÷åíà çàùèòà öåëîñòíîñòè ñîäåðæàíèÿ ñîîáùåíèé, íàïðèìåð ïðè ýëåêòðîííûõ ïåðåâîäàõ äåíåæíûõ ñðåäñòâ, ïåðåñûëêå ñïåöèôèêàöèé, êîíòðàêòîâ, êîììåð÷åñêèõ ïðåäëîæåíèé è ïðî÷èõ äîêóìåíòîâ,
èìåþùèõ áîëüøóþ âàæíîñòü, èëè äðóãèõ ïîäîáíûõ ýëåêòðîííûõ îáìåíîâ äàííûìè. ×òîáû îïðåäåëèòü,
òðåáóåòñÿ ëè àóòåíòèôèêàöèÿ ñîîáùåíèé, íåîáõîäèìî âûïîëíÿòü îöåíêó ðèñêîâ áåçîïàñíîñòè è âûáèðàòü íàèáîëåå ïîäõîäÿùèé ìåòîä åå ðåàëèçàöèè.
Àóòåíòèôèêàöèÿ ñîîáùåíèé íå ïðåäíàçíà÷åíà äëÿ çàùèòû ñîäåðæàíèÿ ñîîáùåíèÿ îò íåïðàâîìî÷íîãî åãî ðàñêðûòèÿ. Äëÿ ýòîé öåëè ïðè àóòåíòèôèêàöèè ñîîáùåíèé ìîãóò èñïîëüçîâàòüñÿ êðèïòîãðàôè÷åñêèå ìåòîäû (10.3.2 è 10.3.3).
10.2.4 Ïîäòâåðæäåíèå êîððåêòíîñòè äàííûõ âûâîäà
Äàííûå, âûâîäèìûå èç ïðèêëàäíîé ñèñòåìû, íåîáõîäèìî ïðîâåðÿòü íà êîððåêòíîñòü, ÷òîáû îáåñïå÷èâàòü óâåðåííîñòü â òîì, ÷òî îáðàáîòêà èíôîðìàöèè âûïîëíåíà ïðàâèëüíî. Êàê ïðàâèëî, ñèñòåìû
ïîñòðîåíû íà ïðåäïîñûëêå, ÷òî ïðè íàëè÷èè ñîîòâåòñòâóþùèõ ïîäòâåðæäåíèé êîððåêòíîñòè, ïðîâåðîê è
òåñòèðîâàíèÿ âûâîäèìûå äàííûå áóäóò âñåãäà ïðàâèëüíû. Íî ýòî íå âñåãäà òàê. Ïîäòâåðæäåíèå êîððåêòíîñòè äàííûõ âûâîäà ìîæåò âêëþ÷àòü:
- ïðîâåðêè íà ïðàâäîïîäîáèå ñ öåëüþ îïðåäåëåíèÿ, ÿâëÿþòñÿ ëè âûõîäíûå äàííûå ïðèåìëåìûìè;
- ïðîâåðêè êîíòðîëüíûõ ñ÷åò÷èêîâ íà ïðåäìåò óäîñòîâåðåíèÿ, ÷òî âñå äàííûå áûëè îáðàáîòàíû;
- îáåñïå÷åíèå äîñòàòî÷íîé èíôîðìàöèè äëÿ ïîëó÷àòåëÿ ðåçóëüòàòîâ âûâîäà èëè ïîñëåäóþùåé
ñèñòåìû îáðàáîòêè, ÷òîáû îïðåäåëèòü êîððåêòíîñòü, çàêîí÷åííîñòü, òî÷íîñòü è êëàññèôèêàöèþ èíôîðìàöèè;
41
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
- ïðîöåäóðû ïî âûïîëíåíèþ òåñòîâ íà ïîäòâåðæäåíèå âûâîäèìûõ äàííûõ;
- îïðåäåëåíèå îáÿçàííîñòåé âñåõ ñîòðóäíèêîâ, âîâëå÷åííûõ â ïðîöåññ âûâîäà äàííûõ.
10.3 Ìåðû çàùèòû èíôîðìàöèè, ñâÿçàííûå ñ èñïîëüçîâàíèåì êðèïòîãðàôèè
Öåëü: çàùèòà êîíôèäåíöèàëüíîñòè, àóòåíòè÷íîñòè èëè öåëîñòíîñòè èíôîðìàöèè.
Êðèïòîãðàôè÷åñêèå ñèñòåìû è ìåòîäû ñëåäóåò èñïîëüçîâàòü äëÿ çàùèòû êîíôèäåíöèàëüíîé
èíôîðìàöèè, êîãäà äðóãèå ñðåäñòâà êîíòðîëÿ íå îáåñïå÷èâàþò àäåêâàòíîé çàùèòû.
10.3.1 Ïîëèòèêà â îòíîøåíèè èñïîëüçîâàíèÿ êðèïòîãðàôèè
Ðåøåíèÿ îòíîñèòåëüíî ïðèìåíåíèÿ êðèïòîãðàôè÷åñêèõ ìåð çàùèòû ñëåäóåò ðàññìàòðèâàòü â
ðàìêàõ áîëåå îáùåãî ïðîöåññà îöåíêè ðèñêîâ è âûáîðà ìåðîïðèÿòèé ïî îáåñïå÷åíèþ èíôîðìàöèîííîé
áåçîïàñíîñòè. Äëÿ îïðåäåëåíèÿ íåîáõîäèìîãî óðîâíÿ çàùèòû èíôîðìàöèè ñëåäóåò ïðîâîäèòü îöåíêó
ðèñêîâ, êîòîðàÿ äîëæíà èñïîëüçîâàòüñÿ äëÿ îïðåäåëåíèÿ òîãî, ÿâëÿåòñÿ ëè êðèïòîãðàôè÷åñêîå ñðåäñòâî ïîäõîäÿùèì, êàêîé òèï ñðåäñòâ íåîáõîäèì, ñ êàêîé öåëüþ è â îòíîøåíèè êàêèõ áèçíåñ-ïðîöåññîâ
åãî ñëåäóåò ïðèìåíÿòü.
 îðãàíèçàöèè ñëåäóåò ðàçðàáîòàòü ïîëèòèêó èñïîëüçîâàíèÿ êðèïòîãðàôè÷åñêèõ ñðåäñòâ çàùèòû
èíôîðìàöèè. Òàêàÿ ïîëèòèêà íåîáõîäèìà, ÷òîáû ìàêñèìèçèðîâàòü ïðåèìóùåñòâà è ìèíèìèçèðîâàòü
ðèñêè, ñâÿçàííûå ñ èñïîëüçîâàíèåì êðèïòîãðàôè÷åñêèõ ñðåäñòâ, à òàêæå èçáåæàòü íåàäåêâàòíîãî èëè
íåïðàâèëüíîãî èõ èñïîëüçîâàíèÿ. Ïðè ýòîì íåîáõîäèìî îïðåäåëèòü:
à) ìåòîäèêó èñïîëüçîâàíèÿ êðèïòîãðàôè÷åñêèõ ñðåäñòâ â îðãàíèçàöèè, âêëþ÷àÿ îáùèå ïðèíöèïû, â ñîîòâåòñòâèè ñ êîòîðûìè ñëåäóåò çàùèùàòü ñëóæåáíóþ èíôîðìàöèþ;
á) ïðèíöèïû óïðàâëåíèÿ êëþ÷àìè, âêëþ÷àÿ ìåòîäû âîññòàíîâëåíèÿ çàøèôðîâàííîé èíôîðìàöèè â ñëó÷àå ïîòåðè, êîìïðîìåòàöèè èëè ïîâðåæäåíèÿ êëþ÷åé;
â) ðîëè è îáÿçàííîñòè äîëæíîñòíûõ ëèö çà:
1) ðåàëèçàöèþ ïîëèòèêè;
2) óïðàâëåíèå êëþ÷àìè;
ã) ñîîòâåòñòâóþùèé óðîâåíü êðèïòîãðàôè÷åñêîé çàùèòû äëÿ ðàçëè÷íûõ äàííûõ;
ä) ïåðå÷åíü ìåðîïðèÿòèé, êîòîðûå äîëæíû îáåñïå÷èâàòü ýôôåêòèâíîñòü âíåäðåíèÿ ìåòîäîâ êðèïòîçàùèòû â îðãàíèçàöèè.
10.3.2 Øèôðîâàíèå
Øèôðîâàíèå — ýòî êðèïòîãðàôè÷åñêèé ìåòîä, êîòîðûé ìîæåò èñïîëüçîâàòüñÿ äëÿ îáåñïå÷åíèÿ
çàùèòû êîíôèäåíöèàëüíîé, âàæíîé èëè êðèòè÷íîé èíôîðìàöèè.
Íà îñíîâå îöåíêè ðèñêîâ íåîáõîäèìî îïðåäåëÿòü òðåáóåìûé óðîâåíü çàùèòû, ïðèíèìàÿ âî âíèìàíèå òèï è êà÷åñòâî èñïîëüçóåìîãî àëãîðèòìà øèôðîâàíèÿ, à òàêæå äëèíó êðèïòîãðàôè÷åñêèõ êëþ÷åé.
Ïðè ðàçðàáîòêå ïîëèòèêè èñïîëüçîâàíèÿ êðèïòîãðàôè÷åñêèõ ñðåäñòâ íåîáõîäèìî ó÷èòûâàòü òðåáîâàíèÿ çàêîíîäàòåëüñòâà è îãðàíè÷åíèÿ, êîòîðûå ìîãóò ïðèìåíÿòüñÿ â îòíîøåíèè èñïîëüçîâàíèÿ
êðèïòîãðàôè÷åñêèõ ìåòîäîâ â ðàçíûõ ñòðàíàõ, à òàêæå âîïðîñû, êàñàþùèåñÿ îáúåìà ïîòîêà çàøèôðîâàííîé èíôîðìàöèè, ïåðåäàâàåìîé ÷åðåç ãðàíèöû ãîñóäàðñòâ. Êðîìå òîãî, ñëåäóåò ó÷èòûâàòü òðåáîâàíèÿ çàêîíîäàòåëüñòâà â îòíîøåíèè ýêñïîðòà è èìïîðòà êðèïòîãðàôè÷åñêèõ òåõíîëîãèé (12.1.6).
Äëÿ îïðåäåëåíèÿ íåîáõîäèìîãî óðîâíÿ çàùèòû èíôîðìàöèè, âûáîðà ïîäõîäÿùèõ ñðåäñòâ è ìåòîäîâ çàùèòû, êîòîðûå äîëæíû îáåñïå÷èâàòü òðåáóåìûé óðîâåíü çàùèòû è ðåàëèçàöèè áåçîïàñíûõ ñïîñîáîâ óïðàâëåíèÿ êëþ÷àìè, öåëåñîîáðàçíî êîíñóëüòèðîâàòüñÿ ñî ñïåöèàëèñòàìè (10.3.5). Êðîìå òîãî,
ìîæåò ïîòðåáîâàòüñÿ êîíñóëüòàöèÿ þðèñòà îòíîñèòåëüíî çàêîíîâ è íîðìàòèâíûõ àêòîâ, êîòîðûå ìîãóò
áûòü ïðèìåíèìû â ñëó÷àå ïðåäïîëàãàåìîãî èñïîëüçîâàíèÿ îðãàíèçàöèåé ìåòîäîâ è ñðåäñòâ
øèôðîâàíèÿ.
10.3.3 Öèôðîâûå ïîäïèñè
Öèôðîâûå ïîäïèñè îáåñïå÷èâàþò çàùèòó àóòåíòèôèêàöèè è öåëîñòíîñòè ýëåêòðîííûõ äîêóìåíòîâ.
Íàïðèìåð, ýëåêòðîííûå ïîäïèñè ìîãóò èñïîëüçîâàòüñÿ ïðè ýëåêòðîííîé òîðãîâëå, ãäå åñòü íåîáõîäèìîñòü â êîíòðîëå ñ öåëüþ óäîñòîâåðèòüñÿ, êòî ïîäïèñàë ýëåêòðîííûé äîêóìåíò, à òàêæå ïðîâåðêå,
áûëî ëè ñîäåðæàíèå ïîäïèñàííîãî äîêóìåíòà èçìåíåíî.
Öèôðîâûå ïîäïèñè ìîãóò ïðèìåíÿòüñÿ äëÿ ëþáîé ôîðìû äîêóìåíòà, îáðàáàòûâàåìîãî ýëåêòðîííûì ñïîñîáîì, íàïðèìåð, ïðè ïîäïèñè ýëåêòðîííûõ ïëàòåæåé, äåíåæíûõ ïåðåâîäîâ, êîíòðàêòîâ è ñîãëàøåíèé. Öèôðîâûå ïîäïèñè ìîãóò áûòü ðåàëèçîâàíû ïðè èñïîëüçîâàíèè êðèïòîãðàôè÷åñêîãî ìåòîäà,
îñíîâûâàþùåãîñÿ íà îäíîçíà÷íî ñâÿçàííîé ïàðå êëþ÷åé, ãäå îäèí êëþ÷ èñïîëüçóåòñÿ äëÿ ñîçäàíèÿ ïîäïèñè (ñåêðåòíûé/ëè÷íûé êëþ÷), à äðóãîé — äëÿ ïðîâåðêè ïîäïèñè (îòêðûòûé êëþ÷).
Íåîáõîäèìî ñ îñîáîé òùàòåëüíîñòüþ îáåñïå÷èâàòü êîíôèäåíöèàëüíîñòü ëè÷íîãî êëþ÷à, êîòîðûé
ñëåäóåò õðàíèòü â ñåêðåòå, òàê êàê ëþáîé èìåþùèé ê íåìó äîñòóï ìîæåò ïîäïèñûâàòü äîêóìåíòû (ïëàòåæè, êîíòðàêòû), òåì ñàìûì ôàëüñèôèöèðóÿ ïîäïèñü âëàäåëüöà êëþ÷à. Êðîìå òîãî, î÷åíü âàæíà çàùèòà
42
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
öåëîñòíîñòè îòêðûòîãî êëþ÷à, êîòîðàÿ îáåñïå÷èâàåòñÿ ïðè èñïîëüçîâàíèè ñåðòèôèêàòà îòêðûòîãî
êëþ÷à (10.3.5).
Ñëåäóåò óäåëÿòü âíèìàíèå âûáîðó òèïà è êà÷åñòâó èñïîëüçóåìîãî àëãîðèòìà ïîäïèñè è äëèíå êëþ÷åé. Íåîáõîäèìî, ÷òîáû êðèïòîãðàôè÷åñêèå êëþ÷è, èñïîëüçóåìûå äëÿ öèôðîâûõ ïîäïèñåé, îòëè÷àëèñü
îò òåõ, êîòîðûå èñïîëüçóþòñÿ äëÿ øèôðîâàíèÿ (10.3.2).
Ïðè èñïîëüçîâàíèè öèôðîâûõ ïîäïèñåé, íåîáõîäèìî ó÷èòûâàòü òðåáîâàíèÿ âñåõ äåéñòâóþùèõ
çàêîíîäàòåëüñòâ, îïðåäåëÿþùèõ óñëîâèÿ, ïðè êîòîðûõ öèôðîâàÿ ïîäïèñü èìååò þðèäè÷åñêóþ ñèëó.
Íàïðèìåð, ïðè ýëåêòðîííîé òîðãîâëå âàæíî çíàòü þðèäè÷åñêèé ñòàòóñ öèôðîâûõ ïîäïèñåé. Ìîæåò
ïîòðåáîâàòüñÿ íàëè÷èå ñïåöèàëüíûõ êîíòðàêòîâ èëè äðóãèõ ñîãëàøåíèé, ÷òîáû ïîääåðæèâàòü èñïîëüçîâàíèå öèôðîâûõ ïîäïèñåé â ñëó÷àÿõ, êîãäà çàêîíîäàòåëüñòâî â îòíîøåíèè öèôðîâûõ ïîäïèñåé
íåäîñòàòî÷íî ðàçâèòî. Íåîáõîäèìî âîñïîëüçîâàòüñÿ êîíñóëüòàöèåé þðèñòà â îòíîøåíèè çàêîíîâ è íîðìàòèâíûõ àêòîâ, êîòîðûå ìîãóò áûòü ïðèìåíèìûìè â îòíîøåíèè ïðåäïîëàãàåìîãî èñïîëüçîâàíèÿ
îðãàíèçàöèåé öèôðîâûõ ïîäïèñåé.
10.3.4 Ñåðâèñû íåîñïîðèìîñòè
Ñåðâèñû íåîñïîðèìîñòè ñëåäóåò èñïîëüçîâàòü òàì, ãäå ìîæåò òðåáîâàòüñÿ ðåøàòü ñïîðû î íàëè÷èè èëè îòñóòñòâèè ñîáûòèÿ èëè äåéñòâèÿ, íàïðèìåð ñïîð ïî èñïîëüçîâàíèþ öèôðîâîé ïîäïèñè íà ýëåêòðîííîì êîíòðàêòå èëè ïëàòåæå. Äàííûå ñåðâèñû ìîãóò ïîìî÷ü äîêàçàòü, èìåë ëè ìåñòî êîíêðåòíûé
ñëó÷àé èëè äåéñòâèå, íàïðèìåð îòêàç â îòñûëêå èíñòðóêöèè, ïîäïèñàííîé öèôðîâîé ïîäïèñüþ, ïî ýëåêòðîííîé ïî÷òå. Ýòè ñåðâèñû îñíîâûâàþòñÿ íà èñïîëüçîâàíèè ìåòîäîâ øèôðîâàíèÿ è öèôðîâîé ïîäïèñè
(10.3.2 è 10.3.3).
10.3.5 Óïðàâëåíèå êëþ÷àìè
10.3.5.1 Çàùèòà êðèïòîãðàôè÷åñêèõ êëþ÷åé
Óïðàâëåíèå êðèïòîãðàôè÷åñêèìè êëþ÷àìè âàæíî äëÿ ýôôåêòèâíîãî èñïîëüçîâàíèÿ êðèïòîãðàôè÷åñêèõ ñðåäñòâ.
Ëþáàÿ êîìïðîìåòàöèÿ èëè ïîòåðÿ êðèïòîãðàôè÷åñêèõ êëþ÷åé ìîæåò ïðèâåñòè ê êîìïðîìåòàöèè
êîíôèäåíöèàëüíîñòè, ïîäëèííîñòè è/èëè öåëîñòíîñòè èíôîðìàöèè. Ñëåäóåò ïðèìåíÿòü ñèñòåìó çàùèòû äëÿ îáåñïå÷åíèÿ èñïîëüçîâàíèÿ îðãàíèçàöèåé ñëåäóþùèõ êðèïòîãðàôè÷åñêèõ ìåòîäîâ:
- ìåòîäû â îòíîøåíèè ñåêðåòíûõ êëþ÷åé, ãäå äâå èëè áîëåå ñòîðîíû ñîâìåñòíî èñïîëüçóþò îäèí è
òîò æå êëþ÷, è ýòîò êëþ÷ ïðèìåíÿåòñÿ êàê äëÿ øèôðîâàíèÿ, òàê è äåøèôðîâàíèÿ èíôîðìàöèè. Ýòîò êëþ÷
äîëæåí õðàíèòüñÿ â ñåêðåòå, òàê êàê ëþáîé, èìåþùèé äîñòóï ê ýòîìó êëþ÷ó, ìîæåò äåøèôðîâàòü âñþ
èíôîðìàöèþ, çàøèôðîâàííóþ ñ ïîìîùüþ ýòîãî êëþ÷à, èëè ââåñòè íåàâòîðèçîâàííóþ èíôîðìàöèþ;
- ìåòîäû â îòíîøåíèè îòêðûòûõ êëþ÷åé, ãäå êàæäûé ïîëüçîâàòåëü èìååò ïàðó êëþ÷åé, îòêðûòûé
êëþ÷ (êîòîðûé ìîæåò áûòü ïîêàçàí ëþáîìó) è ëè÷íûé êëþ÷ (êîòîðûé äîëæåí õðàíèòüñÿ â ñåêðåòå). Ìåòîäû ñ îòêðûòûìè êëþ÷àìè ìîãóò èñïîëüçîâàòüñÿ äëÿ øèôðîâàíèÿ (10.3.2) è äëÿ ãåíåðàöèè öèôðîâûõ
ïîäïèñåé (10.3.3).
Êëþ÷è íåîáõîäèìî çàùèùàòü îò èçìåíåíèÿ è ðàçðóøåíèÿ, à ñåêðåòíûì è ëè÷íûì êëþ÷àì íåîáõîäèìà çàùèòà îò íåàâòîðèçîâàííîãî ðàñêðûòèÿ. Êðèïòîãðàôè÷åñêèå ìåòîäû ìîãóò òàêæå èñïîëüçîâàòüñÿ
äëÿ ýòîé öåëè. Ôèçè÷åñêóþ çàùèòó ñëåäóåò ïðèìåíÿòü äëÿ çàùèòû îáîðóäîâàíèÿ, èñïîëüçóåìîãî äëÿ
èçãîòîâëåíèÿ, õðàíåíèÿ è àðõèâèðîâàíèÿ êëþ÷åé.
10.3.5.2 Ñïîñîáû, ïðîöåäóðû è ìåòîäû çàùèòû êðèïòîãðàôè÷åñêèõ êëþ÷åé
Íåîáõîäèìî, ÷òîáû ñèñòåìà îáåñïå÷åíèÿ áåçîïàñíîñòè èñïîëüçîâàíèÿ êëþ÷åé îñíîâûâàëàñü íà
ñîãëàñîâàíèè ñïîñîáîâ, ïðîöåäóð è áåçîïàñíûõ ìåòîäîâ äëÿ:
- ãåíåðàöèè êëþ÷åé ïðè èñïîëüçîâàíèè ðàçëè÷íûõ êðèïòîãðàôè÷åñêèõ ñèñòåì è ðàçëè÷íûõ ïðèëîæåíèé;
- ãåíåðàöèè è ïîëó÷åíèÿ ñåðòèôèêàòîâ îòêðûòûõ êëþ÷åé;
- ðàññûëêè êëþ÷åé ïðåäíàçíà÷åííûì ïîëüçîâàòåëÿì, âêëþ÷àÿ èíñòðóêöèè ïî èõ àêòèâàöèè ïðè
ïîëó÷åíèè;
- õðàíåíèÿ êëþ÷åé; ïðè ýòîì íåîáõîäèìî íàëè÷èå èíñòðóêöèè àâòîðèçîâàííûì ïîëüçîâàòåëÿì äëÿ
ïîëó÷åíèÿ äîñòóïà ê êëþ÷àì;
- ñìåíû èëè îáíîâëåíèÿ êëþ÷åé, âêëþ÷àÿ ïðàâèëà ïîðÿäêà è ñðîêîâ ñìåíû êëþ÷åé;
- ïîðÿäêà äåéñòâèé â îòíîøåíèè ñêîìïðîìåòèðîâàííûõ êëþ÷åé;
- àííóëèðîâàíèÿ êëþ÷åé, â òîì ÷èñëå ñïîñîáû àííóëèðîâàíèÿ èëè äåçàêòèâàöèè êëþ÷åé, åñëè êëþ÷è áûëè ñêîìïðîìåòèðîâàíû èëè ïîëüçîâàòåëü óâîëèëñÿ èç îðãàíèçàöèè (â ýòîì ñëó÷àå êëþ÷è íåîáõîäèìî àðõèâèðîâàòü);
- âîññòàíîâëåíèÿ êëþ÷åé, êîòîðûå áûëè óòåðÿíû èëè èñïîð÷åíû, äëÿ ðàññåêðå÷èâàíèÿ çàøèôðîâàííîé èíôîðìàöèè;
- àðõèâèðîâàíèÿ êëþ÷åé, íàïðèìåð äëÿ àðõèâèðîâàííîé èëè ðåçåðâíîé èíôîðìàöèè;
- ðàçðóøåíèÿ êëþ÷åé;
43
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
- ðåãèñòðàöèè è àóäèòà äåéñòâèé, ñâÿçàííûõ ñ óïðàâëåíèåì êëþ÷àìè.
Äëÿ óìåíüøåíèÿ âåðîÿòíîñòè êîìïðîìåòàöèè íåîáõîäèìî, ÷òîáû êëþ÷è èìåëè îïðåäåëåííûå
äàòû àêòèâèçàöèè è äåçàêòèâàöèè, ÷òîáû èõ ìîæíî áûëî áû èñïîëüçîâàòü â òå÷åíèå îãðàíè÷åííîãî ïåðèîäà âðåìåíè, êîòîðûé çàâèñèò îò îáñòîÿòåëüñòâ èñïîëüçîâàíèÿ êðèïòîãðàôè÷åñêèõ ñðåäñòâ, êîíòðîëÿ è
îò ñòåïåíè ðèñêà ðàñêðûòèÿ èíôîðìàöèè.
Ìîæåò ïîòðåáîâàòüñÿ íàëè÷èå ïðîöåäóð îáðàáîòêè þðèäè÷åñêèõ çàïðîñîâ, êàñàþùèõñÿ äîñòóïà ê
êðèïòîãðàôè÷åñêèì êëþ÷àì, íàïðèìåð, ÷òîáû çàøèôðîâàííàÿ èíôîðìàöèÿ ñòàëà äîñòóïíîé â íåçàøèôðîâàííîé ôîðìå äëÿ äîêàçàòåëüñòâ â ñóäå.
 äîïîëíåíèå ê âîïðîñó áåçîïàñíîñòè óïðàâëåíèÿ ñåêðåòíûìè è ëè÷íûìè êëþ÷àìè íåîáõîäèìî
ó÷èòûâàòü íåîáõîäèìîñòü îáåñïå÷åíèÿ çàùèòû îòêðûòûõ êëþ÷åé. Ñóùåñòâóåò óãðîçà ïîääåëûâàíèÿ
öèôðîâîé ïîäïèñè è çàìåíû îòêðûòîãî êëþ÷à ïîëüçîâàòåëÿ ñâîèì. Ýòà ïðîáëåìà ðåøàåòñÿ ñ ïîìîùüþ
ñåðòèôèêàòà îòêðûòûõ êëþ÷åé. Ñåðòèôèêàòû íåîáõîäèìî èçãîòîâëÿòü òàêèì ñïîñîáîì, êîòîðûé îäíîçíà÷íî ñâÿçûâàë áû èíôîðìàöèþ, îòíîñÿùóþñÿ ê âëàäåëüöó ïàðû îòêðûòîãî/ñåêðåòíîãî êëþ÷åé, ñ
îòêðûòûì êëþ÷îì. Ïîýòîìó âàæíî, ÷òîáû ïðîöåññó óïðàâëåíèÿ, â ðàìêàõ êîòîðîãî ôîðìèðóþòñÿ ýòè
ñåðòèôèêàòû, ìîæíî áûëî äîâåðÿòü. Ýòîò ïðîöåññ îáû÷íî âûïîëíÿåòñÿ îðãàíîì ñåðòèôèêàöèè, êîòîðûé äîëæåí áûòü ïðèçíàííîé îðãàíèçàöèåé, ðóêîâîäñòâóþùåéñÿ ñîîòâåòñòâóþùèìè ïðàâèëàìè è
ïðîöåäóðàìè èíôîðìàöèîííîé áåçîïàñíîñòè äëÿ îáåñïå÷åíèÿ òðåáóåìîé ñòåïåíè äîâåðèÿ ê íåìó.
Íåîáõîäèìî, ÷òîáû ñîäåðæàíèå ñîãëàøåíèé ñ âíåøíèìè ïîñòàâùèêàìè êðèïòîãðàôè÷åñêèõ
ñðåäñòâ, íàïðèìåð ñ îðãàíîì ñåðòèôèêàöèè, âêëþ÷àëî òðåáîâàíèÿ ïî îòâåòñòâåííîñòè, íàäåæíîñòè
ñðåäñòâ è âðåìåíè ðåàãèðîâàíèÿ íà çàïðîñû ïî èõ ïðåäîñòàâëåíèþ (4.2.2).
10.4 Áåçîïàñíîñòü ñèñòåìíûõ ôàéëîâ
Öåëü: îáåñïå÷åíèå ìîäåðíèçàöèè èíôîðìàöèîííûõ ñèñòåì è äåéñòâèé ïî èõ ïîääåðæêå áåçîïàñíûì ñïîñîáîì.
 ïðîöåññå ýêñïëóàòàöèè áèçíåñ-ïðèëîæåíèé íåîáõîäèìî êîíòðîëèðîâàòü äîñòóï ê ñèñòåìíûì
ôàéëàì.
Ïîëüçîâàòåëè èëè ðàçðàáîò÷èêè, êîòîðûì ïðèíàäëåæèò ïðèêëàäíàÿ ñèñòåìà èëè ïðîãðàììíîå
îáåñïå÷åíèå, äîëæíû áûòü îòâåòñòâåííûìè çà öåëîñòíîñòü ñèñòåìû.
10.4.1 Êîíòðîëü ïðîãðàììíîãî îáåñïå÷åíèÿ, íàõîäÿùåãîñÿ â ïðîìûøëåííîé ýêñïëóàòàöèè
Íåîáõîäèìî îáåñïå÷èâàòü êîíòðîëü çà ïðîöåññîì âíåäðåíèÿ ïðîãðàììíîãî îáåñïå÷åíèÿ â ïðîìûøëåííóþ ýêñïëóàòàöèþ. ×òîáû ñâåñòè ê ìèíèìóìó ðèñê ïîâðåæäåíèÿ ñèñòåì, íàõîäÿùèõñÿ â ïðîìûøëåííîé ýêñïëóàòàöèè, öåëåñîîáðàçíî èñïîëüçîâàòü ñëåäóþùèå ìåðîïðèÿòèÿ ïî îáåñïå÷åíèþ
èíôîðìàöèîííîé áåçîïàñíîñòè:
- îáíîâëåíèå áèáëèîòåê ïðîãðàìì ñëåäóåò âûïîëíÿòü òîëüêî íàçíà÷åííîìó ñïåöèàëèñòó — áèáëèîòåêàðþ ïðè ñîîòâåòñòâóþùåé àâòîðèçàöèè åãî îáÿçàííîñòåé ðóêîâîäñòâîì (10.4.3);
- ïî âîçìîæíîñòè, ñèñòåìû, íàõîäÿùèåñÿ â ïðîìûøëåííîé ýêñïëóàòàöèè, äîëæíû ñîñòîÿòü òîëüêî
èç èñïîëíèìûõ ïðîãðàììíûõ êîäîâ;
- èñïîëíÿåìóþ ïðîãðàììó íå ñëåäóåò âíåäðÿòü â ïðîìûøëåííóþ ýêñïëóàòàöèþ äî òåõ ïîð, ïîêà íå
ïîëó÷åíû ïîäòâåðæäåíèÿ åå óñïåøíîãî òåñòèðîâàíèÿ è ïðèíÿòèÿ ïîëüçîâàòåëÿìè, à òàêæå íå îáíîâëåíû ñîîòâåòñòâóþùèå áèáëèîòåêè èñõîäíûõ òåêñòîâ ïðîãðàìì;
- íåîáõîäèìî, ÷òîáû æóðíàë àóäèòà ðåãèñòðèðîâàë âñå îáíîâëåíèÿ áèáëèîòåê ïðîãðàìì, íàõîäÿùèõñÿ â ïðîìûøëåííîé ýêñïëóàòàöèè;
- ïðåäûäóùèå âåðñèè ïðîãðàììíîãî îáåñïå÷åíèÿ ñëåäóåò ñîõðàíÿòü äëÿ âîññòàíîâëåíèÿ ñèñòåìû
â ñëó÷àå íåïðåäâèäåííûõ îáñòîÿòåëüñòâ.
Íåîáõîäèìî, ÷òîáû ïðîãðàììíîå îáåñïå÷åíèå, èñïîëüçóåìîå â ïðîìûøëåííîé ýêñïëóàòàöèè,
ïîääåðæèâàëîñü íà óðîâíå, çàäàííîì ðàçðàáîò÷èêîì. Ïðè ëþáîì ðåøåíèè ïðîâåñòè îáíîâëåíèå äî
óðîâíÿ íîâîé âåðñèè ñëåäóåò ïðèíèìàòü âî âíèìàíèå áåçîïàñíîñòü äàííîé âåðñèè: êàêèå íîâûå ôóíêöèîíàëüíûå âîçìîæíîñòè îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè îíà èìååò èëè èìåþòñÿ ëè ñåðüåçíûå ïðîáëåìû îáåñïå÷åíèÿ áåçîïàñíîñòè, ñâÿçàííûå ñ ýòîé âåðñèåé. Öåëåñîîáðàçíî èñïîëüçîâàòü
ïðîãðàììíûå ìîäèôèêàöèè (ïàò÷è), åñëè îíè ìîãóò çàêðûòü èëè ñíèçèòü óãðîçû áåçîïàñíîñòè.
Ôèçè÷åñêèé èëè ëîãè÷åñêèé äîñòóï ïðåäîñòàâëÿåòñÿ ïîñòàâùèêàì (ðàçðàáîò÷èêàì), ïî ìåðå íåîáõîäèìîñòè, òîëüêî äëÿ ïîääåðæêè ïðîãðàììíîãî îáåñïå÷åíèÿ ïðè íàëè÷èè ðàçðåøåíèÿ ðóêîâîäñòâà.
Ïðè ýòîì äåéñòâèÿ ïîñòàâùèêà (ðàçðàáîò÷èêà) äîëæíû êîíòðîëèðîâàòüñÿ.
10.4.2 Çàùèòà òåñòîâûõ äàííûõ
Äàííûå òåñòèðîâàíèÿ ñëåäóåò çàùèùàòü è êîíòðîëèðîâàòü. Äëÿ îñóùåñòâëåíèÿ ñèñòåìíîãî è ïðèåìî÷íîãî òåñòèðîâàíèÿ òðåáóþòñÿ ñóùåñòâåííûå îáúåìû òåñòîâûõ äàííûõ, êîòîðûå ìàêñèìàëüíî ïðèáëèæåíû ê îïåðàöèîííûì äàííûì. Ñëåäóåò èçáåãàòü èñïîëüçîâàíèÿ áàç äàííûõ, íàõîäÿùèõñÿ â
ïðîìûøëåííîé ýêñïëóàòàöèè è ñîäåðæàùèõ ëè÷íóþ èíôîðìàöèþ. Åñëè òàêàÿ èíôîðìàöèÿ òðåáóåòñÿ
44
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
äëÿ òåñòèðîâàíèÿ, òî ïåðåä èñïîëüçîâàíèåì ñëåäóåò óäàëèòü ëè÷íóþ èíôîðìàöèþ (äåïåðñîíèôèöèðîâàòü åå). Äëÿ çàùèòû îïåðàöèîííûõ äàííûõ, êîãäà îíè èñïîëüçóþòñÿ äëÿ öåëåé òåñòèðîâàíèÿ, íåîáõîäèìî ïðèìåíÿòü ñëåäóþùèå ìåðîïðèÿòèÿ ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè:
- ïðîöåäóðû êîíòðîëÿ äîñòóïà, ïðèìåíÿåìûå äëÿ ïðèêëàäíûõ ñèñòåì, íàõîäÿùèõñÿ â ïðîìûøëåííîé ýêñïëóàòàöèè, ñëåäóåò òàêæå ïðèìåíÿòü è ê ïðèêëàäíûì ñèñòåìàì â ñðåäå òåñòèðîâàíèÿ;
- ïðè êàæäîì êîïèðîâàíèè îïåðàöèîííîé èíôîðìàöèè äëÿ ïðèêëàäíîé ñèñòåìû òåñòèðîâàíèÿ
ïðåäóñìàòðèâàòü àâòîðèçàöèþ ýòèõ äåéñòâèé;
- ïîñëå òîãî, êàê òåñòèðîâàíèå çàâåðøåíî, îïåðàöèîííóþ èíôîðìàöèþ ñëåäóåò íåìåäëåííî óäàëèòü èç ïðèêëàäíîé ñèñòåìû ñðåäû òåñòèðîâàíèÿ;
- êîïèðîâàíèå è èñïîëüçîâàíèå îïåðàöèîííîé èíôîðìàöèè íåîáõîäèìî ðåãèñòðèðîâàòü â æóðíàëå àóäèòà.
10.4.3 Êîíòðîëü äîñòóïà ê áèáëèîòåêàì èñõîäíûõ òåêñòîâ ïðîãðàìì
Äëÿ ñíèæåíèÿ ðèñêà èñêàæåíèÿ êîìïüþòåðíûõ ïðîãðàìì íåîáõîäèìî îáåñïå÷èâàòü ñòðîãèé êîíòðîëü äîñòóïà ê áèáëèîòåêàì èñõîäíûõ òåêñòîâ ïðîãðàìì, äëÿ ÷åãî:
- ïî âîçìîæíîñòè, èñõîäíûå áèáëèîòåêè ïðîãðàìì ñëåäóåò õðàíèòü îòäåëüíî îò áèçíåñ-ïðèëîæåíèé, íàõîäÿùèõñÿ â ïðîìûøëåííîé ýêñïëóàòàöèè;
- íàçíà÷àòü ñïåöèàëèñòà — áèáëèîòåêàðÿ ïðîãðàìì äëÿ êàæäîãî áèçíåñ-ïðèëîæåíèÿ;
- ïåðñîíàëó ïîääåðæêè èíôîðìàöèîííûõ òåõíîëîãèé íå ñëåäóåò ïðåäîñòàâëÿòü íåîãðàíè÷åííûé
äîñòóï ê èñõîäíûì áèáëèîòåêàì ïðîãðàìì;
- ïðîãðàììû, íàõîäÿùèåñÿ â ïðîöåññå ðàçðàáîòêè èëè òåêóùåãî îáñëóæèâàíèÿ, íå ñëåäóåò õðàíèòü â áèáëèîòåêàõ ñ èñõîäíûìè òåêñòàìè ïðîãðàìì, íàõîäÿùèõñÿ â ïðîìûøëåííîé ýêñïëóàòàöèè;
- îáíîâëåíèå áèáëèîòåê è îáåñïå÷åíèå ïðîãðàììèñòîâ èñõîäíûìè òåêñòàìè ñëåäóåò îñóùåñòâëÿòü òîëüêî íàçíà÷åííîìó ñïåöèàëèñòó — áèáëèîòåêàðþ ïîñëå àâòîðèçàöèè, ïîëó÷åííîé îò ìåíåäæåðà, îòâå÷àþùåãî çà ïîääåðæêó êîíêðåòíîãî áèçíåñ-ïðèëîæåíèÿ;
- ëèñòèíãè ïðîãðàìì ñëåäóåò õðàíèòü â áåçîïàñíîì ìåñòå (8.6.4);
- ñëåäóåò âåñòè æóðíàë àóäèòà äëÿ âñåõ äîñòóïîâ ê èñõîäíûì áèáëèîòåêàì;
- ñòàðûå âåðñèè èñõîäíûõ òåêñòîâ íåîáõîäèìî àðõèâèðîâàòü ñ óêàçàíèåì òî÷íûõ äàò è âðåìåíè,
êîãäà îíè íàõîäèëèñü â ïðîìûøëåííîé ýêñïëóàòàöèè, âìåñòå ñî âñåì ïðîãðàììíûì îáåñïå÷åíèåì ïîääåðæêè, óïðàâëåíèÿ çàäàíèÿìè, îïðåäåëåíèÿìè äàííûõ è ïðîöåäóðàìè;
- ïîääåðæêó è êîïèðîâàíèå èñõîäíûõ áèáëèîòåê ñëåäóåò ïðîâîäèòü ïîä ñòðîãèì êîíòðîëåì ñ
öåëüþ ïðåäîòâðàùåíèÿ âíåñåíèÿ íåàâòîðèçîâàííûõ èçìåíåíèé (10.4.1).
10.5 Áåçîïàñíîñòü â ïðîöåññàõ ðàçðàáîòêè è ïîääåðæêè
Öåëü: ïîääåðæàíèå áåçîïàñíîñòè ïðèêëàäíûõ ñèñòåì è èíôîðìàöèè.
Ìåíåäæåðû, îòâåòñòâåííûå çà ïðèêëàäíûå ñèñòåìû, äîëæíû áûòü îòâåòñòâåííûìè è çà áåçîïàñíîñòü ñðåäû ïðîåêòèðîâàíèÿ èëè ïîääåðæêè. Îíè äîëæíû ïðîâîäèòü àíàëèç âñåõ ïðåäëîæåííûõ èçìåíåíèé ñèñòåìû è èñêëþ÷àòü âîçìîæíîñòü êîìïðîìåòàöèè áåçîïàñíîñòè êàê ñèñòåìû, òàê è ñðåäû
ïðîìûøëåííîé ýêñïëóàòàöèè.
10.5.1 Ïðîöåäóðû êîíòðîëÿ èçìåíåíèé
×òîáû ñâåñòè ê ìèíèìóìó ïîâðåæäåíèÿ èíôîðìàöèîííûõ ñèñòåì, ñëåäóåò ñòðîãî êîíòðîëèðîâàòü
âíåäðåíèå èçìåíåíèé — ñòðîãî ïðèäåðæèâàòüñÿ ôîðìàëèçîâàííûõ ïðîöåäóð îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè; îñóùåñòâëÿòü êîíòðîëü çà âîçìîæíîé êîìïðîìåòàöèåé ñàìèõ ïðîöåäóð; ïðîãðàììèñòàì, îòâå÷àþùèì çà ïîääåðæêó, ïðåäîñòàâëÿòü äîñòóï òîëüêî ê òåì ÷àñòÿì ñèñòåìû, êîòîðûå
íåîáõîäèìû äëÿ èõ ðàáîòû; îáåñïå÷èâàòü ôîðìàëèçàöèþ è îäîáðåíèå ñîîòâåòñòâóþùèì ðóêîâîäñòâîì
âñåõ èçìåíåíèé. Èçìåíåíèÿ â ïðèêëàäíîì ïðîãðàììíîì îáåñïå÷åíèè ìîãóò ïîâëèÿòü íà èíôîðìàöèîííóþ áåçîïàñíîñòü èñïîëüçóåìûõ áèçíåñ-ïðèëîæåíèé. Òàì, ãäå ýòî âîçìîæíî, ñëåäóåò îáúåäèíÿòü ìåðû
ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè èñïîëüçóåìûõ áèçíåñ-ïðèëîæåíèé è èçìåíåíèé â
ïðèêëàäíûõ ïðîãðàììàõ (3.1.2). Íåîáõîäèìî, ÷òîáû ýòîò ïðîöåññ âêëþ÷àë:
- îáåñïå÷åíèå ïðîòîêîëèðîâàíèÿ ñîãëàñîâàííûõ óðîâíåé àâòîðèçàöèè;
- îáåñïå÷åíèå óâåðåííîñòè â òîì, ÷òî çàïðîñû íà èçìåíåíèÿ èñõîäÿò îò àâòîðèçîâàííûõ ñîîòâåòñòâóþùèì îáðàçîì ïîëüçîâàòåëåé;
- àíàëèç ìåð èíôîðìàöèîííîé áåçîïàñíîñòè è ïðîöåäóð, îáåñïå÷èâàþùèõ öåëîñòíîñòü èñïîëüçóåìûõ ñèñòåì;
- èäåíòèôèêàöèþ âñåãî ïðîãðàììíîãî îáåñïå÷åíèÿ, èíôîðìàöèè, îáúåêòîâ, áàç äàííûõ è àïïàðàòíûõ ñðåäñòâ, òðåáóþùèõ èçìåíåíèé;
- ïîëó÷åíèå ôîðìàëèçîâàííîãî îäîáðåíèÿ äåòàëüíûõ çàïðîñîâ/ïðåäëîæåíèé íà èçìåíåíèÿ ïåðåä
íà÷àëîì ðàáîòû;
45
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
- ðàçðåøåíèå âíåñåíèÿ èçìåíåíèé â ïðèêëàäíûå ïðîãðàììû àâòîðèçîâàííûì ïîëüçîâàòåëåì äî
èõ íåïîñðåäñòâåííîé ðåàëèçàöèè;
- îñóùåñòâëåíèå ïðîöåññà âíåäðåíèÿ èçìåíåíèé â ïðèêëàäíûå ïðîãðàììû ñ ìèíèìàëüíûìè îòðèöàòåëüíûìè ïîñëåäñòâèÿìè äëÿ áèçíåñà;
- îáåñïå÷åíèå îáíîâëåíèÿ êîìïëåêòà ñèñòåìíîé äîêóìåíòàöèè ïîñëå çàâåðøåíèÿ êàæäîãî èçìåíåíèÿ è àðõèâèðîâàíèå èëè óòèëèçàöèÿ ñòàðîé äîêóìåíòàöèè;
- ïîääåðæêó êîíòðîëÿ âåðñèé äëÿ âñåõ îáíîâëåíèé ïðîãðàììíîãî îáåñïå÷åíèÿ;
- ðåãèñòðàöèþ â æóðíàëàõ àóäèòà âñåõ çàïðîñîâ íà èçìåíåíèå;
- êîððåêöèþ ýêñïëóàòàöèîííîé äîêóìåíòàöèè (8.1.1) è ïîëüçîâàòåëüñêèõ ïðîöåäóð â ñîîòâåòñòâèè
ñ âíåñåííûìè èçìåíåíèÿìè;
- îñóùåñòâëåíèå ïðîöåññà âíåäðåíèÿ èçìåíåíèé â ñîãëàñîâàííîå âðåìÿ áåç íàðóøåíèÿ çàòðàãèâàåìûõ áèçíåñ-ïðîöåññîâ.
Âî ìíîãèõ îðãàíèçàöèÿõ èñïîëüçóåòñÿ ñðåäà, â êîòîðîé ïîëüçîâàòåëè òåñòèðóþò íîâîå ïðîãðàììíîå îáåñïå÷åíèå è êîòîðàÿ îòäåëåíà îò ñðåäû ðàçðàáîòêè è ñðåäû ïðîìûøëåííîé ýêñïëóàòàöèè. Ïðè
ýòîì îáåñïå÷èâàåòñÿ âîçìîæíîñòü êîíòðîëÿ íîâîãî ïðîãðàììíîãî îáåñïå÷åíèÿ è äîïîëíèòåëüíàÿ
çàùèòà îïåðàöèîííîé èíôîðìàöèè, èñïîëüçóåìîé â ïðîöåññå òåñòèðîâàíèÿ.
10.5.2 Òåõíè÷åñêèé àíàëèç èçìåíåíèé â îïåðàöèîííûõ ñèñòåìàõ
Ïåðèîäè÷åñêè âîçíèêàåò íåîáõîäèìîñòü âíåñòè èçìåíåíèÿ â îïåðàöèîííûå ñèñòåìû, íàïðèìåð,
óñòàíîâèòü ïîñëåäíþþ ïîääåðæèâàåìóþ âåðñèþ ïðîãðàììíîãî îáåñïå÷åíèÿ.  ýòèõ ñëó÷àÿõ íåîáõîäèìî ïðîâåñòè àíàëèç è ïðîòåñòèðîâàòü ïðèêëàäíûå ñèñòåìû ñ öåëüþ îáåñïå÷åíèÿ óâåðåííîñòè â òîì, ÷òî
íå îêàçûâàåòñÿ íèêàêîãî íåáëàãîïðèÿòíîãî âîçäåéñòâèÿ íà èõ ôóíêöèîíèðîâàíèå è áåçîïàñíîñòü. Íåîáõîäèìî, ÷òîáû ýòîò ïðîöåññ ó÷èòûâàë:
- àíàëèç ñðåäñòâ êîíòðîëÿ áèçíåñ-ïðèëîæåíèé è ïðîöåäóð öåëîñòíîñòè, ÷òîáû îáåñïå÷èâàòü óâåðåííîñòü â òîì, ÷òî îíè íå áûëè ñêîìïðîìåòèðîâàíû èçìåíåíèÿìè â îïåðàöèîííîé ñèñòåìå;
- îáåñïå÷åíèå óâåðåííîñòè â òîì, ÷òî åæåãîäíûé ïëàí ïîääåðæêè è áþäæåò ïðåäóñìàòðèâàåò àíàëèç
è òåñòèðîâàíèå ñèñòåì, êîòîðûå íåîáõîäèìî îñóùåñòâëÿòü ïðè èçìåíåíèÿõ â îïåðàöèîííîé ñèñòåìå;
- îáåñïå÷åíèå ñâîåâðåìåííîãî ïîñòóïëåíèÿ óâåäîìëåíèé îá èçìåíåíèÿõ â îïåðàöèîííîé ñèñòåìå
äëÿ âîçìîæíîñòè ïðîâåäåíèÿ ñîîòâåòñòâóþùåãî àíàëèçà èõ âëèÿíèÿ íà èíôîðìàöèîííóþ áåçîïàñíîñòü
ïåðåä óñòàíîâêîé èçìåíåíèé â îïåðàöèîííóþ ñèñòåìó;
- êîíòðîëü äîêóìåíòèðîâàíèÿ ñîîòâåòñòâóþùèõ èçìåíåíèé â ïëàíàõ îáåñïå÷åíèÿ íåïðåðûâíîñòè
áèçíåñà (ðàçäåë 11).
10.5.3 Îãðàíè÷åíèÿ íà âíåñåíèå èçìåíåíèé â ïàêåòû ïðîãðàìì
Ìîäèôèêàöèé ïàêåòîâ ïðîãðàìì ñëåäóåò èçáåãàòü. Íàñêîëüêî ýòî âîçìîæíî è äîïóñòèìî ñ ïðàêòè÷åñêîé òî÷êè çðåíèÿ, ïîñòàâëÿåìûå ïîñòàâùèêîì ïàêåòû ïðîãðàìì ñëåäóåò èñïîëüçîâàòü áåç âíåñåíèÿ
èçìåíåíèé. Òàì, ãäå âñå-òàêè íåîáõîäèìî âíîñèòü èçìåíåíèÿ â ïàêåò ïðîãðàìì, ñëåäóåò ó÷èòûâàòü:
- ðèñê êîìïðîìåòàöèè âñòðîåííûõ ñðåäñòâ êîíòðîëÿ è ïðîöåññà îáåñïå÷åíèÿ öåëîñòíîñòè;
- íåîáõîäèìîñòü ïîëó÷åíèÿ ñîãëàñèÿ ïîñòàâùèêà;
- âîçìîæíîñòü ïîëó÷åíèÿ òðåáóåìûõ èçìåíåíèé îò ïîñòàâùèêà â âèäå ñòàíäàðòíîãî îáíîâëåíèÿ
ïðîãðàìì;
- íåîáõîäèìîñòü ðàçðàáîòêè äîïîëíèòåëüíûõ ìåð ïîääåðæêè ïðîãðàììíîãî îáåñïå÷åíèÿ, åñëè
îðãàíèçàöèÿ â ðåçóëüòàòå âíåñåííûõ èçìåíåíèé ñòàíåò îòâåòñòâåííîé çà áóäóùåå ñîïðîâîæäåíèå ïðîãðàììíîãî îáåñïå÷åíèÿ.
 ñëó÷àå ñóùåñòâåííûõ èçìåíåíèé îðèãèíàëüíîå ïðîãðàììíîå îáåñïå÷åíèå ñëåäóåò ñîõðàíÿòü, à
èçìåíåíèÿ ñëåäóåò âíîñèòü â ÷åòêî èäåíòèôèöèðîâàííóþ êîïèþ. Âñå èçìåíåíèÿ íåîáõîäèìî ïîëíîñòüþ
òåñòèðîâàòü è äîêóìåíòèðîâàòü òàêèì îáðàçîì, ÷òîáû èõ ìîæíî áûëî ïîâòîðíî èñïîëüçîâàòü, ïðè íåîáõîäèìîñòè, äëÿ áóäóùèõ îáíîâëåíèé ïðîãðàììíîãî îáåñïå÷åíèÿ.
10.5.4 Ñêðûòûå êàíàëû óòå÷êè äàííûõ è «òðîÿíñêèå» ïðîãðàììû
Ðàñêðûòèå èíôîðìàöèè ÷åðåç ñêðûòûå êàíàëû ìîæåò ïðîèñõîäèòü êîñâåííûìè è íåàâòîðèçîâàííûìè ñïîñîáàìè. Ýòîò ïðîöåññ ìîæåò áûòü ðåçóëüòàòîì àêòèâàöèè èçìåíåíèé ïàðàìåòðîâ äîñòóïà êàê ê
çàùèùåííûì, òàê è ê íåçàùèùåííûì ýëåìåíòàì èíôîðìàöèîííîé ñèñòåìû, èëè ïîñðåäñòâîì âëîæåíèÿ
èíôîðìàöèè â ïîòîê äàííûõ. «Òðîÿíñêèå» ïðîãðàììû ïðåäíàçíà÷åíû äëÿ òîãî, ÷òîáû âîçäåéñòâîâàòü
íà ñèñòåìó íåàâòîðèçîâàííûì è íåçàìåòíûì ñïîñîáîì, ïðè ýòîì äàííîå âîçäåéñòâèå îñóùåñòâëÿåòñÿ
êàê íà ïîëó÷àòåëÿ äàííûõ, òàê è íà ïîëüçîâàòåëÿ ïðîãðàììû. Ñêðûòûå êàíàëû óòå÷êè è «òðîÿíñêèå» ïðîãðàììû ðåäêî âîçíèêàþò ñëó÷àéíî. Òàì, ãäå ñêðûòûå êàíàëû èëè «òðîÿíñêèå» ïðîãðàììû ÿâëÿþòñÿ ïðîáëåìîé, íåîáõîäèìî ïðèìåíÿòü ñëåäóþùèå ìåðîïðèÿòèÿ ïî îáåñïå÷åíèþ èíôîðìàöèîííîé
áåçîïàñíîñòè:
- çàêóïêó ïðîãðàììíîãî îáåñïå÷åíèÿ îñóùåñòâëÿòü òîëüêî ó äîâåðåííîãî èñòî÷íèêà;
- ïî âîçìîæíîñòè çàêóïàòü ïðîãðàììû â âèäå èñõîäíûõ òåêñòîâ ñ öåëüþ èõ ïðîâåðêè;
46
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
- èñïîëüçîâàòü ïðîãðàììíîå îáåñïå÷åíèå, ïðîøåäøåå îöåíêó íà ñîîòâåòñòâèå òðåáîâàíèÿì
èíôîðìàöèîííîé áåçîïàñíîñòè;
- îñóùåñòâëÿòü ïðîâåðêó èñõîäíûõ òåêñòîâ ïðîãðàìì ïåðåä èõ ýêñïëóàòàöèîííûì ïðèìåíåíèåì;
- îñóùåñòâëÿòü êîíòðîëü äîñòóïà ê óñòàíîâëåííûì ïðîãðàììàì è èõ ìîäèôèêàöèÿì;
- èñïîëüçîâàíèå ïðîâåðåííûõ ñîòðóäíèêîâ äëÿ ðàáîòû ñ êëþ÷åâûìè ñèñòåìàìè.
10.5.5 Ðàçðàáîòêà ïðîãðàììíîãî îáåñïå÷åíèÿ ñ ïðèâëå÷åíèåì ñòîðîííèõ îðãàíèçàöèé
 ñëó÷àÿõ, êîãäà äëÿ ðàçðàáîòêè ïðîãðàììíîãî îáåñïå÷åíèÿ ïðèâëåêàåòñÿ ñòîðîííÿÿ îðãàíèçàöèÿ,
íåîáõîäèìî ïðèìåíÿòü ñëåäóþùèå ìåðû îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè:
- êîíòðîëü íàëè÷èÿ ëèöåíçèîííûõ ñîãëàøåíèé è îïðåäåëåííîñòè â âîïðîñàõ ñîáñòâåííîñòè íà
ïðîãðàììû è ñîáëþäåíèÿ ïðàâ èíòåëëåêòóàëüíîé ñîáñòâåííîñòè (12.1.2);
- ñåðòèôèêàöèþ êà÷åñòâà è ïðàâèëüíîñòè âûïîëíåííûõ ðàáîò;
- çàêëþ÷åíèå «escrow» ñîãëàøåíèÿ, ïðåäóñìàòðèâàþùèõ äåïîíèðîâàíèå èñõîäíîãî òåêñòà íà ñëó÷àé íåâîçìîæíîñòè òðåòüåé ñòîðîíû âûïîëíÿòü ñâîè îáÿçàòåëüñòâà;
- îáåñïå÷åíèå ïðàâ äîñòóïà äëÿ àóäèòà ñ öåëüþ ïðîâåðêè êà÷åñòâà è òî÷íîñòè âûïîëíåííîé ðàáîòû;
- äîêóìåíòèðîâàíèå òðåáîâàíèé ê êà÷åñòâó ïðîãðàìì â äîãîâîðíîé ôîðìå;
- òåñòèðîâàíèå ïåðåä óñòàíîâêîé ïðîãðàìì íà ïðåäìåò îáíàðóæåíèÿ «Òðîÿíñêîãî êîíÿ».
11 Óïðàâëåíèå íåïðåðûâíîñòüþ áèçíåñà
11.1 Âîïðîñû óïðàâëåíèÿ íåïðåðûâíîñòüþ áèçíåñà
Öåëü: ïðîòèâîäåéñòâèå ïðåðûâàíèÿì áèçíåñà è çàùèòà êðèòè÷åñêèõ áèçíåñ-ïðîöåññîâ îò ïîñëåäñòâèé ïðè çíà÷èòåëüíûõ ñáîÿõ èëè áåäñòâèÿõ.
Íåîáõîäèìî îáåñïå÷èâàòü óïðàâëåíèå íåïðåðûâíîñòüþ áèçíåñà ñ öåëüþ ìèíèìèçàöèè îòðèöàòåëüíûõ ïîñëåäñòâèé, âûçâàííûõ áåäñòâèÿìè è íàðóøåíèÿìè áåçîïàñíîñòè (êîòîðûå ìîãóò áûòü
ðåçóëüòàòîì ïðèðîäíûõ áåäñòâèé, íåñ÷àñòíûõ ñëó÷àåâ, îòêàçîâ îáîðóäîâàíèÿ è ïðåäíàìåðåííûõ
äåéñòâèé), äî ïðèåìëåìîãî óðîâíÿ ñ ïîìîùüþ êîìáèíèðîâàíèÿ ïðîôèëàêòè÷åñêèõ è âîññòàíîâèòåëüíûõ ìåðîïðèÿòèé ïî óïðàâëåíèþ èíôîðìàöèîííîé áåçîïàñíîñòüþ.
Ïîñëåäñòâèÿ îò áåäñòâèé, íàðóøåíèé áåçîïàñíîñòè è îòêàçîâ â îáñëóæèâàíèè íåîáõîäèìî àíàëèçèðîâàòü. Íåîáõîäèìî ðàçðàáàòûâàòü è âíåäðÿòü ïëàíû îáåñïå÷åíèÿ íåïðåðûâíîñòè áèçíåñà ñ öåëüþ
âîññòàíîâëåíèÿ áèçíåñ-ïðîöåññîâ â òå÷åíèå òðåáóåìîãî âðåìåíè ïðè èõ íàðóøåíèè. Òàêèå ïëàíû ñëåäóåò ïîääåðæèâàòü è ïðèìåíÿòü íà ïðàêòèêå, ÷òîáû îíè ñòàëè ñîñòàâíîé ÷àñòüþ âñåõ ïðîöåññîâ
óïðàâëåíèÿ.
Íåîáõîäèìî, ÷òîáû óïðàâëåíèå íåïðåðûâíîñòüþ áèçíåñà âêëþ÷àëî ìåðîïðèÿòèÿ ïî óïðàâëåíèþ
èíôîðìàöèîííîé áåçîïàñíîñòüþ äëÿ èäåíòèôèêàöèè è óìåíüøåíèÿ ðèñêîâ, îãðàíè÷åíèÿ ïîñëåäñòâèé
ðàçðóøèòåëüíûõ èíöèäåíòîâ è îáåñïå÷åíèÿ ñâîåâðåìåííîãî âîçîáíîâëåíèÿ íàèáîëåå ñóùåñòâåííûõ
áèçíåñ-îïåðàöèé.
11.1.1 Ïðîöåññ óïðàâëåíèÿ íåïðåðûâíîñòüþ áèçíåñà
Íåîáõîäèìî, ÷òîáû ñóùåñòâîâàë óïðàâëÿåìûé ïðîöåññ ðàçâèòèÿ è ïîääåðæàíèÿ íåïðåðûâíîñòè
áèçíåñà äëÿ âñåé îðãàíèçàöèè. Ýòîò ïðîöåññ äîëæåí îáúåäèíÿòü êëþ÷åâûå ýëåìåíòû óïðàâëåíèÿ
íåïðåðûâíîñòüþ áèçíåñà:
- ïîíèìàíèå ðèñêîâ, ñ êîòîðûìè ñòàëêèâàåòñÿ îðãàíèçàöèÿ, ñ òî÷êè çðåíèÿ âåðîÿòíîñòè âîçíèêíîâåíèÿ è ïîñëåäñòâèé, âêëþ÷àÿ èäåíòèôèêàöèþ è îïðåäåëåíèå ïðèîðèòåòîâ êðèòè÷åñêèõ áèçíåñ-ïðîöåññîâ;
- ïîíèìàíèå âîçìîæíûõ ïîñëåäñòâèé íàðóøåíèÿ áèçíåñ-ïðîöåññîâ â ñëó÷àå íåçíà÷èòåëüíûõ èëè
ñóùåñòâåííûõ èíöèäåíòîâ, ïîòåíöèàëüíî óãðîæàþùèõ æèçíåäåÿòåëüíîñòè îðãàíèçàöèè, à òàêæå âûáîðà ñðåäñòâ è ñïîñîáîâ îáðàáîòêè èíôîðìàöèè, êîòîðûå ñîîòâåòñòâîâàëè áû öåëÿì áèçíåñà;
- îðãàíèçàöèþ îïòèìàëüíîãî ñòðàõîâàíèÿ ðåçóëüòàòîâ îáðàáîòêè èíôîðìàöèè, êîòîðîå äîëæíî
áûòü ÷àñòüþ ïðîöåññà îáåñïå÷åíèÿ íåïðåðûâíîñòè áèçíåñà;
- ôîðìóëèðîâàíèå è äîêóìåíòèðîâàíèå ñòðàòåãèè íåïðåðûâíîñòè áèçíåñà â ñîîòâåòñòâèè ñ ñîãëàñîâàííûìè áèçíåñ-öåëÿìè è ïðèîðèòåòàìè;
- ôîðìóëèðîâàíèå è äîêóìåíòèðîâàíèå ïëàíîâ îáåñïå÷åíèÿ íåïðåðûâíîñòè áèçíåñà â ñîîòâåòñòâèè ñ ñîãëàñîâàííîé ñòðàòåãèåé;
- ðåãóëÿðíîå òåñòèðîâàíèå è îáíîâëåíèå ïëàíîâ ðàçâèòèÿ èíôîðìàöèîííûõ òåõíîëîãèé è ñóùåñòâóþùèõ ïðîöåññîâ;
- îáåñïå÷åíèå îðãàíè÷íîãî âêëþ÷åíèÿ â ïðîöåññû è ñòðóêòóðó îðãàíèçàöèè ïëàíîâ óïðàâëåíèÿ
íåïðåðûâíîñòüþ áèçíåñà. Îòâåòñòâåííîñòü çà êîîðäèíàöèþ ïðîöåññà óïðàâëåíèÿ íåïðåðûâíîñòüþ
47
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
áèçíåñà ñëåäóåò âîçëàãàòü íà îðãàí, îáëàäàþùèé ñîîòâåòñòâóþùèìè ïîëíîìî÷èÿìè â îðãàíèçàöèè,
íàïðèìåð íà óïðàâëÿþùèé ñîâåò ïî èíôîðìàöèîííîé áåçîïàñíîñòè (4.1.1).
11.1.2 Íåïðåðûâíîñòü áèçíåñà è àíàëèç ïîñëåäñòâèé
Íåîáõîäèìî, ÷òîáû ïëàíèðîâàíèå íåïðåðûâíîñòè áèçíåñà íà÷èíàëîñü ñ èäåíòèôèêàöèè ñîáûòèé,
êîòîðûå ìîãóò áûòü ïðè÷èíîé ïðåðûâàíèÿ áèçíåñ-ïðîöåññîâ, íàïðèìåð îòêàç îáîðóäîâàíèÿ, íàâîäíåíèå èëè ïîæàð. Ïëàíèðîâàíèå äîëæíî ñîïðîâîæäàòüñÿ îöåíêîé ðèñêîâ ñ öåëüþ îïðåäåëåíèÿ ïîñëåäñòâèé ýòèõ ïðåðûâàíèé (êàê ñ òî÷êè çðåíèÿ ìàñøòàáà ïîâðåæäåíèÿ, òàê è ïåðèîäà âîññòàíîâëåíèÿ).
Îöåíêó ðèñêîâ íåîáõîäèìî îñóùåñòâëÿòü ïðè íåïîñðåäñòâåííîì ó÷àñòèè âëàäåëüöåâ áèçíåñ-ðåñóðñîâ
è ó÷àñòíèêîâ áèçíåñ-ïðîöåññîâ. Îöåíêà ðèñêà äîëæíà ðàñïðîñòðàíÿòüñÿ íà âñå áèçíåñ-ïðîöåññû è íå
îãðàíè÷èâàòüñÿ òîëüêî ñðåäñòâàìè îáðàáîòêè èíôîðìàöèè.
 çàâèñèìîñòè îò ðåçóëüòàòîâ îöåíêè ðèñêîâ íåîáõîäèìî ðàçðàáîòàòü ñòðàòåãèþ äëÿ îïðåäåëåíèÿ
îáùåãî ïîäõîäà ê îáåñïå÷åíèþ íåïðåðûâíîñòè áèçíåñà. Ðàçðàáîòàííûé ïëàí äîëæåí áûòü óòâåðæäåí
ðóêîâîäñòâîì îðãàíèçàöèè.
11.1.3 Ðàçðàáîòêà è âíåäðåíèå ïëàíîâ îáåñïå÷åíèÿ íåïðåðûâíîñòè áèçíåñà
Ñëåäóåò ðàçðàáàòûâàòü ïëàíû ïî ïîääåðæêå èëè âîññòàíîâëåíèþ áèçíåñ-îïåðàöèé â òðåáóåìûå
ïåðèîäû âðåìåíè ïîñëå ïðåðûâàíèÿ èëè îòêàçà êðèòè÷åñêèõ áèçíåñ-ïðîöåññîâ. Íåîáõîäèìî, ÷òîáû
ïëàí îáåñïå÷åíèÿ íåïðåðûâíîñòè áèçíåñà ïðåäóñìàòðèâàë ñëåäóþùèå ìåðîïðèÿòèÿ ïî îáåñïå÷åíèþ
èíôîðìàöèîííîé áåçîïàñíîñòè:
- îïðåäåëåíèå è ñîãëàñîâàíèå âñåõ îáÿçàííîñòåé äîëæíîñòíûõ ëèö è ïðîöåäóð íà ñëó÷àé ÷ðåçâû÷àéíûõ ñèòóàöèé;
- âíåäðåíèå â ñëó÷àå ÷ðåçâû÷àéíûõ ñèòóàöèé ïðîöåäóð, îáåñïå÷èâàþùèõ âîçìîæíîñòü âîññòàíîâëåíèÿ áèçíåñ-ïðîöåññîâ â òå÷åíèå òðåáóåìîãî âðåìåíè. Îñîáîå âíèìàíèå ñëåäóåò óäåëÿòü îöåíêå
çàâèñèìîñòè áèçíåñà îò âíåøíèõ ôàêòîðîâ è ñóùåñòâóþùèõ êîíòðàêòîâ;
- äîêóìåíòèðîâàíèå ñîãëàñîâàííûõ ïðîöåäóð è ïðîöåññîâ;
- ñîîòâåòñòâóþùåå îáó÷åíèå ñîòðóäíèêîâ äåéñòâèÿì ïðè âîçíèêíîâåíèè ÷ðåçâû÷àéíûõ ñèòóàöèé,
âêëþ÷àÿ êðèçèñíîå óïðàâëåíèå;
- òåñòèðîâàíèå è îáíîâëåíèå ïëàíîâ îáåñïå÷åíèÿ íåïðåðûâíîñòè áèçíåñà.
Íåîáõîäèìî, ÷òîáû ïëàí îáåñïå÷åíèÿ íåïðåðûâíîñòè áèçíåñà ñîîòâåòñòâîâàë òðåáóåìûì öåëÿì
áèçíåñà, íàïðèìåð âîññòàíîâëåíèþ îïðåäåëåííûõ ñåðâèñîâ äëÿ êëèåíòîâ çà ïðèåìëåìûé ïðîìåæóòîê
âðåìåíè. Ñëåäóåò ó÷èòûâàòü ïîòðåáíîñòè â íåîáõîäèìûõ äëÿ ýòîãî ñåðâèñà ðåñóðñîâ, âêëþ÷àÿ óêîìïëåêòîâàíèå ïåðñîíàëîì, àëüòåðíàòèâíûìè ðåñóðñàìè äëÿ ñðåäñòâ îáðàáîòêè èíôîðìàöèè, à òàêæå
ìåðû ïî ïåðåõîäó íà àâàðèéíûé ðåæèì ðàáîòû äëÿ ýòèõ ñðåäñòâ .
11.1.4 Ñòðóêòóðà ïëàíîâ îáåñïå÷åíèÿ íåïðåðûâíîñòè áèçíåñà
Ñëåäóåò ïîääåðæèâàòü åäèíóþ ñòðóêòóðó ïëàíîâ îáåñïå÷åíèÿ íåïðåðûâíîñòè áèçíåñà â öåëÿõ
îáåñïå÷åíèÿ íåïðîòèâîðå÷èâîñòè âñåõ ïëàíîâ è îïðåäåëåíèÿ ïðèîðèòåòîâ äëÿ òåñòèðîâàíèÿ è îáñëóæèâàíèÿ ñðåäñòâ è ñèñòåì îáðàáîòêè èíôîðìàöèè. Íåîáõîäèìî, ÷òîáû êàæäûé ïëàí îáåñïå÷åíèÿ
íåïðåðûâíîñòè áèçíåñà ÷åòêî îïðåäåëÿë óñëîâèÿ åãî ðåàëèçàöèè, à òàêæå äîëæíîñòíûõ ëèö, îòâåòñòâåííûõ çà âûïîëíåíèå êàæäîãî åãî ïóíêòà. Ïðè âûÿâëåíèè íîâûõ òðåáîâàíèé íåîáõîäèìî âíîñèòü
ñîîòâåòñòâóþùèå êîððåêòèðîâêè â ïðîöåäóðû íà ñëó÷àé ÷ðåçâû÷àéíûõ ñèòóàöèé, íàïðèìåð â ïëàíû
ýâàêóàöèè èëè â ëþáûå ñóùåñòâóþùèå ïëàíû ïî ïåðåõîäó íà àâàðèéíûé ðåæèì ðàáîòû.
Íåîáõîäèìî, ÷òîáû â ñòðóêòóðå ïëàíîâ îáåñïå÷åíèÿ íåïðåðûâíîñòè áèçíåñà ïðåäóñìàòðèâàëîñü
ñëåäóþùåå:
- óñëîâèÿ ðåàëèçàöèè ïëàíîâ, êîòîðûå îïðåäåëÿþò ïîðÿäîê äåéñòâèé äîëæíîñòíûõ ëèö, êîòîðîìó
íåîáõîäèìî ñëåäîâàòü (êàê îöåíèâàòü ñèòóàöèþ, êòî äîëæåí ïðèíèìàòü ó÷àñòèå, è ò. ä.) ïåðåä ââåäåíèåì â äåéñòâèå êàæäîãî ïóíêòà ïëàíà;
- ïðîöåäóðû íà ñëó÷àé ÷ðåçâû÷àéíûõ ñèòóàöèé, êîòîðûå äîëæíû áûòü ïðåäïðèíÿòû ïîñëå èíöèäåíòà, ïîäâåðãàþùåãî îïàñíîñòè áèçíåñ-îïåðàöèè è/èëè ÷åëîâå÷åñêóþ æèçíü. Íåîáõîäèìî, ÷òîáû îíè
âêëþ÷àëè òàêæå ìåðû ïî óïðàâëåíèþ ñâÿçÿìè ñ îáùåñòâåííîñòüþ è ýôôåêòèâíîå âçàèìîäåéñòâèå ñ
ñîîòâåòñòâóþùèìè ãîñóäàðñòâåííûìè îðãàíàìè, íàïðèìåð ñ ìèëèöèåé, ïîæàðíîé îõðàíîé è ìåñòíûìè
îðãàíàìè âëàñòè;
- ïðîöåäóðû ïåðåõîäà íà àâàðèéíûé ðåæèì ðàáîòû, êîòîðûå îïèñûâàþò íåîáõîäèìûå äåéñòâèÿ ïî
ïåðåíîñó âàæíûõ áèçíåñ-îïåðàöèé èëè ñåðâèñîâ-ïîääåðæêè â àëüòåðíàòèâíîå âðåìåííîå ìåñòî ðàçìåùåíèÿ è ïî âîññòàíîâëåíèþ áèçíåñ-ïðîöåññîâ â òðåáóåìûå ïåðèîäû âðåìåíè;
- ïðîöåäóðû âîçîáíîâëåíèÿ ðàáîòû, êîòîðûå îïèñûâàþò íåîáõîäèìûå äåéñòâèÿ äëÿ âîçâðàùåíèÿ
ê íîðìàëüíîìó ðåæèìó âåäåíèÿ áèçíåñà;
- ãðàôèê ïîääåðæêè ïëàíà, êîòîðûé îïðåäåëÿåò ñðîêè è ìåòîäû òåñòèðîâàíèÿ, à òàêæå îïèñàíèå
ïðîöåññà ïîääåðæêè ïëàíà;
48
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
- ìåðîïðèÿòèÿ ïî îáó÷åíèþ ïåðñîíàëà, êîòîðûå íàïðàâëåíû íà ïîíèìàíèå ïðîöåññîâ îáåñïå÷åíèÿ íåïðåðûâíîñòè áèçíåñà ñîòðóäíèêàìè, è ïîääåðæàíèå ïîñòîÿííîé ýôôåêòèâíîñòè ýòèõ ïðîöåññîâ;
- îáÿçàííîñòè äîëæíîñòíûõ ëèö, îòâåòñòâåííûõ çà âûïîëíåíèå êàæäîãî ïóíêòà ïëàíà. Ïðè íåîáõîäèìîñòè äîëæíû áûòü óêàçàíû àëüòåðíàòèâíûå îòâåòñòâåííûå.
Íåîáõîäèìî, ÷òîáû çà êàæäûé ïëàí îòâå÷àë êîíêðåòíûé ðóêîâîäèòåëü (ñîòðóäíèê). ×ðåçâû÷àéíûå
ìåðû, ïëàíû ïî ïåðåõîäó íà àâàðèéíûé ðåæèì ðó÷íîé îáðàáîòêè, ïëàíû ïî âîçîáíîâëåíèþ ðàáîòû ñëåäóåò âêëþ÷àòü â ñôåðó îòâåòñòâåííîñòè âëàäåëüöåâ ñîîòâåòñòâóþùèõ áèçíåñ-ðåñóðñîâ èëè ó÷àñòíèêîâ
çàòðàãèâàåìûõ ïðîöåññîâ. Çà ìåðû ïî ïåðåõîäó íà àâàðèéíûé ðåæèì ðàáîòû ñ èñïîëüçîâàíèåì àëüòåðíàòèâíûõ òåõíè÷åñêèõ ñðåäñòâ, òàêèõ êàê ñðåäñòâà îáðàáîòêè èíôîðìàöèè è ñâÿçè, îòâåòñòâåííîñòü
íåñóò ïîñòàâùèêè óñëóã.
11.1.5 Òåñòèðîâàíèå, ïîääåðæêà è ïåðåñìîòð ïëàíîâ ïî îáåñïå÷åíèþ íåïðåðûâíîñòè áèçíåñà
11.1.5.1 Òåñòèðîâàíèå ïëàíîâ
Ïëàíû ïî îáåñïå÷åíèþ íåïðåðûâíîñòè áèçíåñà ìîãóò îêàçàòüñÿ íåñîñòîÿòåëüíûìè ïðè òåñòèðîâàíèè èç-çà íåïðàâèëüíûõ ïðåäïîñûëîê ðàçðàáîòêè, íåäîñìîòðó èëè âñëåäñòâèå èçìåíåíèé, ñâÿçàííûõ
ñ çàìåíîé îáîðóäîâàíèÿ èëè ïåðñîíàëà. Ïîýòîìó ïëàíû íåîáõîäèìî ðåãóëÿðíî òåñòèðîâàòü äëÿ îáåñïå÷åíèÿ óâåðåííîñòè â èõ àêòóàëüíîñòè è ýôôåêòèâíîñòè. Òàêèå òåñòû íåîáõîäèìû òàêæå äëÿ îáåñïå÷åíèÿ çíàíèÿ ñâîèõ îáÿçàííîñòåé âñåìè ÷ëåíàìè êîìàíäû âîññòàíîâëåíèÿ è äðóãèì ïåðñîíàëîì,
èìåþùèì ê ýòîìó îòíîøåíèå.
Íåîáõîäèìî, ÷òîáû â ãðàôèêå òåñòèðîâàíèÿ ïëàíà ïî îáåñïå÷åíèþ íåïðåðûâíîñòè áèçíåñà óêàçûâàëîñü, êàê è êîãäà ñëåäóåò ïðîâåðÿòü êàæäûé ïóíêò ïëàíà. Ïåðèîäè÷íîñòü è ìåòîäû òåñòèðîâàíèÿ
îòäåëüíûõ ïóíêòîâ ïëàíà ìîãóò áûòü ðàçëè÷íûìè. Ïðè ýòîì ìîãóò èñïîëüçîâàòüñÿ ñëåäóþùèå ìåòîäû:
- òåñòèðîâàíèå («èìèòàöèÿ ïðîãîíà») ðàçëè÷íûõ ñöåíàðèåâ (îáñóæäåíèå ìåð ïî âîññòàíîâëåíèþ
áèçíåñà íà ðàçëè÷íûõ ïðèìåðàõ ïðåðûâàíèé);
- ìîäåëèðîâàíèå (îñîáåííî äëÿ òðåíèðîâêè ïåðñîíàëà ïî âûïîëíåíèþ ñâîèõ ôóíêöèé ïîñëå èíöèäåíòà è ïåðåõîäà ê êðèçèñíîìó óïðàâëåíèþ);
- òåñòèðîâàíèå òåõíè÷åñêîãî âîññòàíîâëåíèÿ (îáåñïå÷åíèå óâåðåííîñòè â ýôôåêòèâíîì âîññòàíîâëåíèè èíôîðìàöèîííûõ ñèñòåì);
- ïðîâåðêà âîññòàíîâëåíèÿ â àëüòåðíàòèâíîì ìåñòå (áèçíåñ-ïðîöåññû îñóùåñòâëÿþòñÿ ïàðàëëåëüíî ñ îïåðàöèÿìè ïî âîññòàíîâëåíèþ â óäàëåííîì àëüòåðíàòèâíîì ìåñòå);
- òåñòèðîâàíèå ñðåäñòâ è ñåðâèñîâ-ïîñòàâùèêîâ (îáåñïå÷åíèå óâåðåííîñòè â òîì, ÷òî ïðåäîñòàâëåííûå ñòîðîííèìè îðãàíèçàöèÿìè ñåðâèñû è ïðîãðàììíûå ïðîäóêòû óäîâëåòâîðÿþò êîíòðàêòíûì îáÿçàòåëüñòâàì);
- «ãåíåðàëüíûå ðåïåòèöèè» (òåñòèðîâàíèå òîãî, ÷òî îðãàíèçàöèÿ, ïåðñîíàë, îáîðóäîâàíèå, ñðåäñòâà è ïðîöåññû ìîãóò ñïðàâëÿòüñÿ ñ ïðåðûâàíèÿìè).
Ìåòîäû òåñòèðîâàíèÿ ìîãóò èñïîëüçîâàòüñÿ ëþáîé îðãàíèçàöèåé è íåîáõîäèìî, ÷òîáû îíè îòðàæàëè ñïåöèôèêó êîíêðåòíîãî ïëàíà ïî âîññòàíîâëåíèþ.
11.1.5.2 Ïîääåðæêà è ïåðåñìîòð ïëàíîâ
Ïëàíû ïî îáåñïå÷åíèþ íåïðåðûâíîñòè áèçíåñà íåîáõîäèìî ïîääåðæèâàòü â àêòóàëüíîì ñîñòîÿíèè ïóòåì ïðîâåäåíèÿ ðåãóëÿðíûõ ïåðåñìîòðîâ è îáíîâëåíèé ñ öåëüþ îáåñïå÷åíèÿ óâåðåííîñòè â èõ
ïîñòîÿííîé ýôôåêòèâíîñòè (11.1.5.1).  ðàìêàõ ïðîãðàììû ðàçâèòèÿ îðãàíèçàöèè íåîáõîäèìî ïðåäóñìàòðèâàòü ñîîòâåòñòâóþùèå ïðîöåäóðû, îáåñïå÷èâàþùèå íåïðåðûâíîñòü áèçíåñà.
Íåîáõîäèìî íàçíà÷àòü îòâåòñòâåííûõ çà ïðîâåäåíèå ðåãóëÿðíûõ ïåðåñìîòðîâ ïëàíà ïî îáåñïå÷åíèþ íåïðåðûâíîñòè áèçíåñà; èäåíòèôèöèðîâàííûå èçìåíåíèÿ â áèçíåñ-ïðîöåññàõ, åùå íå îòðàæåííûå â ïëàíàõ ïî îáåñïå÷åíèþ íåïðåðûâíîñòè áèçíåñà, äîëæíû áûòü ó÷òåíû ïóòåì ñîîòâåòñòâóþùèõ
îáíîâëåíèé ïëàíîâ. Ôîðìàëèçîâàííûé ïðîöåññ óïðàâëåíèÿ èçìåíåíèÿìè äîëæåí îáåñïå÷èâàòü ðàññûëêó è ââîä â äåéñòâèå îáíîâëåííûõ ïëàíîâ â ðàìêàõ èõ ðåãóëÿðíûõ ïåðåñìîòðîâ.
Ïðèìåðû ñèòóàöèé, êîòîðûå ìîãëè áû ïîòðåáîâàòü îáíîâëåíèÿ ïëàíîâ, âêëþ÷àþò ïðèîáðåòåíèå
íîâîãî îáîðóäîâàíèÿ èëè îáíîâëåíèå îïåðàöèîííûõ ñèñòåì, à òàêæå èçìåíåíèÿ, ñâÿçàííûå ñ:
- ïåðñîíàëîì;
- àäðåñàìè èëè íîìåðàìè òåëåôîíîâ;
- ñòðàòåãèåé áèçíåñà;
- ìåñòîïîëîæåíèåì, ñðåäñòâàìè è ðåñóðñàìè;
- çàêîíîäàòåëüñòâîì;
- ïîäðÿä÷èêàìè, ïîñòàâùèêàìè è îñíîâíûìè êëèåíòàìè;
- ïðîöåññàìè (êàê íîâûìè, òàê è èçúÿòûìè);
- ðèñêàìè (îïåðàöèîííûìè è ôèíàíñîâûìè).
49
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
12 Ñîîòâåòñòâèå òðåáîâàíèÿì
12.1 Ñîîòâåòñòâèå òðåáîâàíèÿì çàêîíîäàòåëüñòâà
Öåëü: ïðåäîòâðàùåíèå ëþáûõ íàðóøåíèé íîðì óãîëîâíîãî è ãðàæäàíñêîãî ïðàâà, îáÿçàòåëüíûõ
ïðåäïèñàíèé è ðåãóëèðóþùèõ òðåáîâàíèé èëè äîãîâîðíûõ îáÿçàòåëüñòâ, à òàêæå òðåáîâàíèé áåçîïàñíîñòè.
Ïðîåêòèðîâàíèå è ôóíêöèîíèðîâàíèå èíôîðìàöèîííûõ ñèñòåì, èõ èñïîëüçîâàíèå è óïðàâëåíèå
èìè ìîãóò áûòü ïðåäìåòîì îáÿçàòåëüíûõ ïðåäïèñàíèé, ðåãóëèðóþùèõ òðåáîâàíèé, à òàêæå òðåáîâàíèé
áåçîïàñíîñòè â äîãîâîðíûõ îáÿçàòåëüñòâàõ.
Ñëåäóåò êîíñóëüòèðîâàòüñÿ ñ þðèñòàìè îðãàíèçàöèè èëè ñ ïðàêòèêóþùèìè þðèñòàìè, èìåþùèìè
ñîîòâåòñòâóþùóþ êâàëèôèêàöèþ, â îòíîøåíèè êîíêðåòíûõ þðèäè÷åñêèõ âîïðîñîâ. Ñëåäóåò èìåòü â
âèäó, ÷òî çàêîíîäàòåëüíûå òðåáîâàíèÿ â îòíîøåíèè èíôîðìàöèè, ñîçäàííîé â îäíîé ñòðàíå è ïåðåäàííîé â äðóãóþ ñòðàíó (íàïðèìåð, èíôîðìàöèîííûé ïîòîê, ïåðåäàâàåìûé çà ãðàíèöó ãîñóäàðñòâà), ðàçëè÷àþòñÿ â ðàçíûõ ñòðàíàõ.
12.1.1 Îïðåäåëåíèå ïðèìåíèìîãî çàêîíîäàòåëüñòâà
Âñå ïðèìåíÿåìûå íîðìû çàêîíîäàòåëüñòâà, îáÿçàòåëüíûå ïðåäïèñàíèÿ, ðåãóëèðóþùèå òðåáîâàíèÿ è äîãîâîðíûå îáÿçàòåëüñòâà, ñëåäóåò ÷åòêî îïðåäåëÿòü è äîêóìåíòèðîâàòü äëÿ êàæäîé èíôîðìàöèîííîé ñèñòåìû. Êîíêðåòíûå ìåðîïðèÿòèÿ ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè è
èíäèâèäóàëüíûå îáÿçàííîñòè äîëæíîñòíûõ ëèö ïî âûïîëíåíèþ ýòèõ òðåáîâàíèé íåîáõîäèìî ñîîòâåòñòâóþùèì îáðàçîì îïðåäåëÿòü è äîêóìåíòèðîâàòü.
12.1.2 Ïðàâà èíòåëëåêòóàëüíîé ñîáñòâåííîñòè
12.1.2.1 Àâòîðñêîå ïðàâî
Íåîáõîäèìî âíåäðÿòü ïðîöåäóðû, îáåñïå÷èâàþùèå ñîîòâåòñòâèå çàêîíîäàòåëüíûì îãðàíè÷åíèÿì íà èñïîëüçîâàíèå ìàòåðèàëà, â îòíîøåíèè êîòîðîãî ìîãóò ñóùåñòâîâàòü ïðàâà íà èíòåëëåêòóàëüíóþ
ñîáñòâåííîñòü, òàêèå êàê àâòîðñêîå ïðàâî, ïðàâà íà ïðîåêò, òîðãîâûå ìàðêè. Íàðóøåíèå àâòîðñêîãî ïðàâà ìîæåò ïðèâåñòè ê ñóäåáíûì ïðîöåññàì, ïðåäïîëàãàþùèì âîçìîæíîñòü óãîëîâíîé îòâåòñòâåííîñòè.
Çàêîíîäàòåëüíûå, ðåãóëèðóþùèå è äîãîâîðíûå òðåáîâàíèÿ ìîãóò ââîäèòü îãðàíè÷åíèÿ íà êîïèðîâàíèå ìàòåðèàëîâ, ÿâëÿþùèõñÿ ïðåäìåòîì ñîáñòâåííîñòè.  ÷àñòíîñòè, ýòè îãðàíè÷åíèÿ ìîãóò ñîäåðæàòü òðåáîâàíèÿ ê èñïîëüçîâàíèþ òîëüêî òåõ ìàòåðèàëîâ, êîòîðûå èëè ðàçðàáîòàíû îðãàíèçàöèåé, èëè
ëèöåíçèðîâàíû, èëè ïðåäîñòàâëÿþòñÿ ðàçðàáîò÷èêîì äëÿ îðãàíèçàöèè.
12.1.2.2 Àâòîðñêîå ïðàâî íà ïðîãðàììíîå îáåñïå÷åíèå
Ïðîãðàììíûå ïðîäóêòû, ÿâëÿþùèåñÿ ïðåäìåòîì ÷üåé-òî ñîáñòâåííîñòè, îáû÷íî ïîñòàâëÿþòñÿ â
ðàìêàõ ëèöåíçèîííîãî ñîãëàøåíèÿ, êîòîðîå îãðàíè÷èâàåò èñïîëüçîâàíèå ïðîäóêòîâ îïðåäåëåííûìè
êîìïüþòåðàìè, à òàêæå ìîæåò îãðàíè÷èâàòü êîïèðîâàíèå èõ ñ öåëüþ ñîçäàíèÿ ðåçåðâíûõ êîïèé.  ýòèõ
ñëó÷àÿõ äëÿ îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ñëåäóåò ïðåäóñìàòðèâàòü ïðèìåíåíèå ñëåäóþùèõ ìåðîïðèÿòèé:
- ñòðîãîå ñëåäîâàíèå òðåáîâàíèÿì àâòîðñêîãî ïðàâà íà ïðîãðàììíîå îáåñïå÷åíèå, êîòîðîå îïðåäåëÿåò çàêîííîå èñïîëüçîâàíèå ïðîãðàììíûõ è èíôîðìàöèîííûõ ïðîäóêòîâ;
- îïðåäåëåíèå ïîðÿäêà è ïðàâèë ïðèîáðåòåíèÿ ïðîãðàììíûõ ïðîäóêòîâ;
- îáåñïå÷åíèå îñâåäîìëåííîñòè ñîòðóäíèêîâ ïî âîïðîñàì àâòîðñêîãî ïðàâà íà ïðîãðàììíîå îáåñïå÷åíèå ïðèíÿòûõ ïðàâèë â îòíîøåíèè çàêóïîê, à òàêæå óâåäîìëåíèå î ïðèìåíåíèè äèñöèïëèíàðíûõ
ñàíêöèé ê íàðóøèòåëÿì;
- âåäåíèå ñîîòâåòñòâóþùèõ ðåãèñòðîâ àêòèâîâ;
- âåäåíèå ïîäòâåðæäåíèé è äîêàçàòåëüñòâ ñîáñòâåííîñòè íà ëèöåíçèè, äèñòðèáóòèâíûå äèñêè,
ðóêîâîäñòâà è ò.ä.;
- êîíòðîëü çà ñîáëþäåíèåì îãðàíè÷åíèé ìàêñèìàëüíîãî ÷èñëà ðàçðåøåííûõ ïîëüçîâàòåëåé ïðîãðàììíûìè ïðîäóêòàìè;
- ðåãóëÿðíûå ïðîâåðêè ïðèìåíåíèÿ òîëüêî àâòîðèçîâàííîãî ïðîãðàììíîãî îáåñïå÷åíèÿ è ëèöåíçèðîâàííûõ ïðîäóêòîâ;
- ðåàëèçàöèÿ ïîëèòèêè ïî îáåñïå÷åíèþ âûïîëíåíèÿ óñëîâèé ñîîòâåòñòâóþùèõ ëèöåíçèîííûõ
ñîãëàøåíèé;
- âûïîëíåíèå ïðàâèë óòèëèçàöèè èëè ïåðåäà÷è ïðîãðàììíîãî îáåñïå÷åíèÿ â äðóãèå îðãàíèçàöèè;
- îðãàíèçàöèÿ ðåãóëÿðíîãî àóäèòà;
- ñîáëþäåíèå óñëîâèé ïîëó÷åíèÿ èç îáùåäîñòóïíûõ ñåòåé ïðîãðàììíîãî îáåñïå÷åíèÿ è èíôîðìàöèè (8.7.6).
50
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
12.1.3 Çàùèòà ó÷åòíûõ çàïèñåé îðãàíèçàöèè
Âàæíûå äàííûå îðãàíèçàöèè íåîáõîäèìî çàùèùàòü îò óòðàòû, ðàçðóøåíèÿ è ôàëüñèôèêàöèè. Â
îòíîøåíèè íåêîòîðûõ äàííûõ ìîæåò ïîòðåáîâàòüñÿ îáåñïå÷åíèå áåçîïàñíîñòè õðàíåíèÿ ñ öåëüþ
âûïîëíåíèÿ çàêîíîäàòåëüíûõ èëè ðåãóëèðóþùèõ òðåáîâàíèé, à òàêæå ïîääåðæêè âàæíûõ áèçíåñ-ïðèëîæåíèé.  êà÷åñòâå ïðèìåðîâ ìîæíî ïðèâåñòè äàííûå, êîòîðûå ìîãóò ïîòðåáîâàòüñÿ äëÿ äîêàçàòåëüñòâà
òîãî, ÷òî îðãàíèçàöèÿ ðàáîòàåò â ðàìêàõ óñòàíîâëåííûõ çàêîíîì íîðì èëè ðåãóëèðóþùèõ òðåáîâàíèé,
èëè ñ öåëüþ àäåêâàòíîé çàùèòû îò ãðàæäàíñêîãî èëè óãîëîâíîãî ïðåñëåäîâàíèÿ, à òàêæå ïîäòâåðæäåíèÿ
ôèíàíñîâîãî ñîñòîÿíèÿ îðãàíèçàöèè äëÿ àêöèîíåðîâ, ïàðòíåðîâ è àóäèòîðîâ. Ïåðèîä âðåìåíè õðàíåíèÿ è ñîäåðæàíèå äàííûõ ìîãóò áûòü óñòàíîâëåíû â ñîîòâåòñòâèè ñ ãîñóäàðñòâåííûìè çàêîíàìè èëè
ðåãóëèðóþùèìè òðåáîâàíèÿìè.
Äàííûå íåîáõîäèìî êëàññèôèöèðîâàòü ïî òèïàì, íàïðèìåð, áóõãàëòåðñêèå çàïèñè, çàïèñè áàç
äàííûõ, æóðíàëû òðàíçàêöèé, æóðíàëû àóäèòà è îïåðàöèîííûõ ïðîöåäóð, êàæäûé ñ óêàçàíèåì ïåðèîäîâ
õðàíåíèÿ è òèïîâ íîñèòåëåé õðàíèìûõ äàííûõ (áóìàãà, ìèêðîôèëüì, ìàãíèòíûå èëè îïòè÷åñêèå íîñèòåëè). Ëþáûå êðèïòîãðàôè÷åñêèå êëþ÷è, ñâÿçàííûå ñ çàøèôðîâàííûìè àðõèâàìè èëè öèôðîâûìè ïîäïèñÿìè (10.3.2 è 10.3.3), ñëåäóåò õðàíèòü áåçîïàñíûì ñïîñîáîì è ïðåäîñòàâëÿòü ê íèì, ïðè
íåîáõîäèìîñòè, äîñòóï òîëüêî àâòîðèçîâàííûì ëèöàì.
Ñëåäóåò ó÷èòûâàòü âîçìîæíîñòü ñíèæåíèÿ êà÷åñòâà íîñèòåëåé, èñïîëüçóåìûõ äëÿ õðàíåíèÿ äàííûõ, îñóùåñòâëÿòü ïðîöåäóðû ïî õðàíåíèþ è óõîäó çà íîñèòåëÿìè äàííûõ â ñîîòâåòñòâèè ñ ðåêîìåíäàöèÿìè èçãîòîâèòåëÿ.
Ïðè èñïîëüçîâàíèè ýëåêòðîííûõ íîñèòåëåé äàííûõ ñëåäóåò ïðèìåíÿòü ïðîöåäóðû ïðîâåðêè âîçìîæíîñòè äîñòóïà ê äàííûì (íàïðèìåð, ÷èòàåìîñòü êàê ñàìèõ íîñèòåëåé, òàê è ôîðìàòà äàííûõ) â òå÷åíèå ïåðèîäà èõ õðàíåíèÿ ñ öåëüþ çàùèòû îò ïîòåðè âñëåäñòâèå áóäóùèõ èçìåíåíèé â èíôîðìàöèîííûõ
òåõíîëîãèÿõ.
Ñèñòåìû õðàíåíèÿ äàííûõ ñëåäóåò âûáèðàòü òàêèì îáðàçîì, ÷òîáû òðåáóåìûå äàííûå ìîãëè áûòü
èçâëå÷åíû ñïîñîáîì, ïðèåìëåìûì äëÿ ñóäà, äåéñòâóþùåãî ïî íîðìàì ãðàæäàíñêîãî èëè îáùåãî ïðàâà,
íàïðèìåð, âîçìîæíîñòü âûâîäà âñåõ íåîáõîäèìûõ çàïèñåé â ïðèåìëåìûé ïåðèîä âðåìåíè è â ïðèåìëåìîì ôîðìàòå.
Íåîáõîäèìî, ÷òîáû ñèñòåìà õðàíåíèÿ îáåñïå÷èâàëà ÷åòêóþ èäåíòèôèêàöèþ äàííûõ, à òàêæå
ïåðèîä èõ õðàíåíèÿ, óñòàíîâëåííûõ çàêîíîì èëè ðåãóëèðóþùèìè òðåáîâàíèÿìè. Ýòà ñèñòåìà äîëæíà
ïðåäîñòàâëÿòü âîçìîæíîñòè ïî óíè÷òîæåíèþ äàííûõ ïîñëå òîãî ïåðèîäà, êîãäà ó îðãàíèçàöèè îòïàäåò
ïîòðåáíîñòü â èõ õðàíåíèè.
Ñ öåëüþ âûïîëíåíèÿ äàííûõ îáÿçàòåëüñòâ îðãàíèçàöèè ñëåäóåò:
- ðàçðàáîòàòü ðóêîâîäñòâî â îòíîøåíèè ñðîêîâ, ïîðÿäêà õðàíåíèÿ è óòèëèçàöèè èíôîðìàöèè;
- ñîñòàâèòü ãðàôèê õðàíåíèÿ íàèáîëåå âàæíûõ äàííûõ;
- âåñòè îïèñü èñòî÷íèêîâ êëþ÷åâîé èíôîðìàöèè;
- âíåäðèòü ñîîòâåòñòâóþùèå ìåðû äëÿ çàùèòû âàæíîé èíôîðìàöèè îò ïîòåðè, ðàçðóøåíèÿ è
ôàëüñèôèêàöèè.
12.1.4 Çàùèòà äàííûõ è êîíôèäåíöèàëüíîñòü ïåðñîíàëüíîé èíôîðìàöèè
 ðÿäå ñòðàí ââåäåíû íîðìû çàêîíîäàòåëüñòâà, â êîòîðûõ óñòàíîâëåíû îãðàíè÷åíèÿ â îòíîøåíèè
îáðàáîòêè è ïåðåäà÷è ïåðñîíàëüíûõ äàííûõ (â îñíîâíîì, ýòî êàñàåòñÿ èíôîðìàöèè î æèâóùèõ ëþäÿõ,
êîòîðûå ìîãóò áûòü èäåíòèôèöèðîâàíû ïî ýòîé èíôîðìàöèè). Òàêèå îãðàíè÷åíèÿ ìîãóò íàëàãàòü îáÿçàííîñòè íà òåõ, êòî îñóùåñòâëÿåò ñáîð, îáðàáîòêó è ðàñïðîñòðàíåíèå ëè÷íîé èíôîðìàöèè, à òàêæå
ìîãóò îãðàíè÷èâàòü âîçìîæíîñòü ïåðåäà÷è ýòèõ äàííûõ â äðóãèå ñòðàíû.
Ñîîòâåòñòâèå çàêîíîäàòåëüñòâó ïî çàùèòå äàííûõ òðåáóåò ñîîòâåòñòâóþùåé ñòðóêòóðû óïðàâëåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòüþ. Ëó÷øå âñåãî ýòî äîñòèãàåòñÿ ïðè íàçíà÷åíèè äîëæíîñòíîãî ëèöà,
îòâå÷àþùåãî çà çàùèòó äàííûõ ïóòåì ñîîòâåòñòâóþùåãî ðàçúÿñíåíèÿ ìåíåäæåðàì, ïîëüçîâàòåëÿì è
ïîñòàâùèêàì óñëóã îá èõ èíäèâèäóàëüíîé îòâåòñòâåííîñòè, à òàêæå îáÿçàòåëüíîñòè âûïîëíåíèÿ ñîîòâåòñòâóþùèõ ìåðîïðèÿòèé ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè. Âëàäåëüöû äàííûõ îáÿçàíû èíôîðìèðîâàòü ýòî äîëæíîñòíîå ëèöî î ëþáûõ ïðåäëîæåíèÿõ î ñïîñîáàõ õðàíåíèÿ ïåðñîíàëüíîé
èíôîðìàöèè â ñòðóêòóðå ôàéëà äàííûõ, à òàêæå çíàòü ïðèìåíÿåìûå íîðìû çàêîíîäàòåëüñòâà â
îòíîøåíèè çàùèòû ëè÷íûõ äàííûõ.
12.1.5 Ïðåäîòâðàùåíèå íåöåëåâîãî èñïîëüçîâàíèÿ ñðåäñòâ îáðàáîòêè èíôîðìàöèè
Ñðåäñòâà îáðàáîòêè èíôîðìàöèè îðãàíèçàöèè ïðåäíàçíà÷åíû äëÿ îáåñïå÷åíèÿ ïîòðåáíîñòåé
áèçíåñà.
Ðóêîâîäñòâî äîëæíî îïðåäåëèòü óðîâíè ïîëíîìî÷èé ïîëüçîâàòåëåé â îòíîøåíèè èñïîëüçîâàíèÿ
ñðåäñòâ îáðàáîòêè èíôîðìàöèè. Ëþáîå èñïîëüçîâàíèå ýòèõ ñðåäñòâ äëÿ íåïðîèçâîäñòâåííûõ èëè íåàâòîðèçîâàííûõ öåëåé, áåç îäîáðåíèÿ ðóêîâîäñòâà, ñëåäóåò ðàñöåíèâàòü êàê íåöåëåâîå. Åñëè òàêàÿ äåÿòåëüíîñòü âûÿâëåíà ìîíèòîðèíãîì èëè äðóãèìè ñïîñîáàìè, òî íà ýòî ñëåäóåò îáðàòèòü âíèìàíèå
51
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
íåïîñðåäñòâåííîãî ðóêîâîäèòåëÿ ñîòðóäíèêà äëÿ ïðèíÿòèÿ ñîîòâåòñòâóþùèõ ìåð äèñöèïëèíàðíîãî
âîçäåéñòâèÿ.
Çàêîííîñòü èñïîëüçîâàíèÿ ìîíèòîðèíãà çàâèñèò îò äåéñòâóþùåãî â ñòðàíå çàêîíîäàòåëüñòâà è
ìîæåò ïîòðåáîâàòüñÿ, ÷òîáû ñîòðóäíèêè áûëè îñâåäîìëåíû è äàëè äîêóìåíòèðîâàííîå ñîãëàñèå íà
ïðîâåäåíèå ìîíèòîðèíãà. Ïåðåä îñóùåñòâëåíèåì ìîíèòîðèíãà íåîáõîäèìî ïîëó÷èòü êîíñóëüòàöèþ
þðèñòà.
Ìíîãèå ñòðàíû èìåþò èëè íàõîäÿòñÿ â ïðîöåññå ââåäåíèÿ çàêîíîäàòåëüñòâà ïî çàùèòå îò íåïðàâèëüíîãî èñïîëüçîâàíèÿ êîìïüþòåðîâ. Âîçìîæíû ñëó÷àè èñïîëüçîâàíèÿ êîìïüþòåðà äëÿ íåàâòîðèçîâàííûõ öåëåé ñ ïðåñòóïíûì óìûñëîì. Ïîýòîìó âàæíî, ÷òîáû âñå ïîëüçîâàòåëè áûëè îñâåäîìëåíû î
÷åòêèõ ðàìêàõ ðàçðåøåííîãî èì äîñòóïà. Ýòî ìîæåò áûòü äîñòèãíóòî, íàïðèìåð, ïóòåì îçíàêîìëåíèÿ
ïîëüçîâàòåëåé ñ ïðåäîñòàâëåííîé èì àâòîðèçàöèåé â ïèñüìåííîé ôîðìå ïîä ðîñïèñü, à îðãàíèçàöèè
ñëåäóåò áåçîïàñíûì ñïîñîáîì õðàíèòü êîïèþ ýòîãî äîêóìåíòà. Íåîáõîäèìî, ÷òîáû ñîòðóäíèêè îðãàíèçàöèè è ïîëüçîâàòåëè òðåòüåé ñòîðîíû áûëè îñâåäîìëåíû î òîì, ÷òî âî âñåõ ñëó÷àÿõ îíè èìåþò ïðàâî
äîñòóïà òîëüêî ê òåì äàííûì, èñïîëüçîâàíèå êîòîðûõ èì ðàçðåøåíî.
Íåîáõîäèìî, ÷òîáû ïðè ðåãèñòðàöèè äîñòóïà ê ñèñòåìå íà ýêðàíå êîìïüþòåðà áûëî îòðàæåíî
ïðåäóïðåæäàþùåå ñîîáùåíèå, óêàçûâàþùåå, ÷òî ñèñòåìà, âõîä â êîòîðóþ ïîëüçîâàòåëè ïûòàþòñÿ îñóùåñòâèòü, ÿâëÿåòñÿ ñèñòåìîé ñ îãðàíè÷åííûì äîñòóïîì, è ÷òî íåàâòîðèçîâàííûé äîñòóï ê íåé çàïðåùåí. Ïîëüçîâàòåëü äîëæåí ïîäòâåðäèòü ýòî ïðî÷òåíèå è ðåàãèðîâàòü ñîîòâåòñòâóþùèì îáðàçîì íà
íåãî, ÷òîáû ïðîäîëæèòü ïðîöåññ ðåãèñòðàöèè.
12.1.6 Ðåãóëèðîâàíèå èñïîëüçîâàíèÿ ñðåäñòâ êðèïòîãðàôèè
 íåêîòîðûõ ñòðàíàõ ïðèíÿòû ñîãëàøåíèÿ, çàêîíû, ðåãóëèðóþùèå òðåáîâàíèÿ èëè äðóãèå èíñòðóìåíòû, îïðåäåëÿþùèå ìåðîïðèÿòèÿ ïî îáåñïå÷åíèþ áåçîïàñíîñòè äîñòóïà ê êðèïòîãðàôè÷åñêèì ñðåäñòâàì è èõ èñïîëüçîâàíèþ. Òàêèå ìåðîïðèÿòèÿ îáû÷íî âêëþ÷àþò:
- îãðàíè÷åíèÿ èìïîðòà è/èëè ýêñïîðòà àïïàðàòíûõ è ïðîãðàììíûõ ñðåäñòâ äëÿ âûïîëíåíèÿ êðèïòîãðàôè÷åñêèõ ôóíêöèé;
- îãðàíè÷åíèÿ èìïîðòà è/èëè ýêñïîðòà àïïàðàòíûõ è ïðîãðàììíûõ ñðåäñòâ, êîòîðûå ðàçðàáîòàíû
òàêèì îáðàçîì, ÷òî èìåþò, êàê äîïîëíåíèå, êðèïòîãðàôè÷åñêèå ôóíêöèè;
- îáÿçàòåëüíûå èëè äèñêðåöèîííûå ìåòîäû äîñòóïà ñî ñòîðîíû ãîñóäàðñòâà ê èíôîðìàöèè,
çàøèôðîâàííîé ñ ïîìîùüþ àïïàðàòíûõ èëè ïðîãðàììíûõ ñðåäñòâ äëÿ îáåñïå÷åíèÿ êîíôèäåíöèàëüíîñòè åå ñîäåðæàíèÿ.
Äëÿ îáåñïå÷åíèÿ óâåðåííîñòè â ñîîòâåòñòâèè ïîëèòèêè èñïîëüçîâàíèÿ êðèïòîãðàôè÷åñêèõ
ñðåäñòâ â îðãàíèçàöèè íàöèîíàëüíîìó çàêîíîäàòåëüñòâó íåîáõîäèìà êîíñóëüòàöèÿ þðèñòà. Ïðåæäå
÷åì çàøèôðîâàííàÿ èíôîðìàöèÿ èëè êðèïòîãðàôè÷åñêîå ñðåäñòâî áóäóò ïåðåäàíû â äðóãóþ ñòðàíó,
íåîáõîäèìî òàêæå ïîëó÷èòü êîíñóëüòàöèþ þðèñòà.
12.1.7 Ñáîð äîêàçàòåëüñòâ
12.1.7.1 Ïðàâèëà èñïîëüçîâàíèÿ è ñáîðà äîêàçàòåëüñòâ
Íåîáõîäèìî èìåòü àäåêâàòíûå ñâèäåòåëüñòâà, ÷òîáû ïîääåðæèâàòü èñêè èëè ìåðû âîçäåéñòâèÿ,
íàïðàâëåííûå ïðîòèâ ôèçè÷åñêîãî ëèöà èëè îðãàíèçàöèè, êîòîðûå íàðóøèëè ïðàâèëà óïðàâëåíèÿ
èíôîðìàöèîííîé áåçîïàñíîñòüþ.
Âñÿêèé ðàç, êîãäà ýòè ìåðû âîçäåéñòâèÿ ÿâëÿþòñÿ ïðåäìåòîì âíóòðåííåãî äèñöèïëèíàðíîãî ïðîöåññà, ñâèäåòåëüñòâà äîëæíû áûòü îïèñàíû â ñîîòâåòñòâèè ñ âíóòðåííèìè ïðîöåäóðàìè.
Êîãäà ìåðû âîçäåéñòâèÿ/èñêè çàòðàãèâàþò âîïðîñû êàê ãðàæäàíñêîãî, òàê è óãîëîâíîãî ïðàâà,
íåîáõîäèìî, ÷òîáû ïðåäñòàâëåííûå ñâèäåòåëüñòâà ñîîòâåòñòâîâàëè òðåáîâàíèÿì ê ñáîðó ñâèäåòåëüñòâ, èçëîæåííûìè â ñîîòâåòñòâóþùèõ ïðàâîâûõ íîðìàõ èëè òðåáîâàíèÿì êîíêðåòíîãî ñóäà, â êîòîðîì áóäåò ðàññìàòðèâàòüñÿ äàííûé âîïðîñ.  îáùåì ñëó÷àå, ýòè ïðàâèëà ïðåäóñìàòðèâàþò:
- äîïóñòèìîñòü ñâèäåòåëüñòâ: äåéñòâèòåëüíî ëè ñâèäåòåëüñòâà ìîãóò èñïîëüçîâàòüñÿ â ñóäå èëè
íåò;
- âåñîìîñòü ñâèäåòåëüñòâ: êà÷åñòâî è ïîëíîòà ñâèäåòåëüñòâ;
- àäåêâàòíîå ñâèäåòåëüñòâî òîãî, ÷òî ýòè ìåðû êîíòðîëÿ (ïðîöåññ ñáîðà ñâèäåòåëüñòâ) îñóùåñòâëÿëèñü êîððåêòíî è ïîñëåäîâàòåëüíî â òå÷åíèå âñåãî ïåðèîäà, êîãäà óñòàíîâëåííîå ñâèäåòåëüñòâî
èíöèäåíòà íàðóøåíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè áûëî ñîõðàíåíî è îáðàáîòàíî ñèñòåìîé.
12.1.7.2 Äîïóñòèìîñòü äîêàçàòåëüñòâ
×òîáû äîñòè÷ü ïðèçíàíèÿ äîïóñòèìîñòè ñâèäåòåëüñòâ, îðãàíèçàöèÿì íåîáõîäèìî îáåñïå÷èòü óâåðåííîñòü â òîì, ÷òî èõ èíôîðìàöèîííûå ñèñòåìû ñîîòâåòñòâóþò âñåì þðèäè÷åñêèì òðåáîâàíèÿì è ïðàâèëàì â îòíîøåíèè äîïóñòèìûõ ñâèäåòåëüñòâ.
52
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
12.1.7.3 Êà÷åñòâî è ïîëíîòà äîêàçàòåëüñòâ
×òîáû äîñòè÷ü êà÷åñòâà è ïîëíîòû ñâèäåòåëüñòâ, íåîáõîäèìî íàëè÷èå óáåäèòåëüíûõ ïîäòâåðæäåíèé ñâèäåòåëüñòâ.  îáùåì ñëó÷àå, òàêèå óáåäèòåëüíûå ïîäòâåðæäåíèÿ ìîãóò áûòü äîñòèãíóòû ñëåäóþùèì îáðàçîì:
- äëÿ áóìàæíûõ äîêóìåíòîâ: îðèãèíàë õðàíèòñÿ áåçîïàñíûì ñïîñîáîì è ôèêñèðóåòñÿ, êòî íàøåë
åãî, ãäå îí áûë íàéäåí, êîãäà îí áûë íàéäåí è êòî çàñâèäåòåëüñòâîâàë îáíàðóæåíèå. Íåîáõîäèìî, ÷òîáû
ëþáîå èññëåäîâàíèå ïîäòâåðäèëî, ÷òî îðèãèíàëû íèêòî íå ïûòàëñÿ èñêàçèòü;
- äëÿ èíôîðìàöèè íà êîìïüþòåðíûõ íîñèòåëÿõ: êîïèè èíôîðìàöèè, äëÿ ëþáûõ ñìåííûõ íîñèòåëåé èíôîðìàöèè, äëÿ æåñòêèõ äèñêîâ èëè èç îñíîâíîé ïàìÿòè êîìïüþòåðà, ñëåäóåò âûïîëíÿòü òàêèì
îáðàçîì, ÷òîáû îáåñïå÷èòü èõ äîñòóïíîñòü. Æóðíàë âñåõ äåéñòâèé, âûïîëíåííûõ â òå÷åíèå ïðîöåññà
êîïèðîâàíèÿ, íåîáõîäèìî ñîõðàíÿòü, à ñàì ïðîöåññ êîïèðîâàíèÿ íåîáõîäèìî äîêóìåíòèðîâàòü. Îäíó
êîïèþ íîñèòåëåé èíôîðìàöèè è æóðíàë ñëåäóåò õðàíèòü áåçîïàñíûì ñïîñîáîì.
Êîãäà èíöèäåíò îáíàðóæèâàåòñÿ âïåðâûå, íå î÷åâèäíî, ÷òî îí ìîæåò ïðèâåñòè ê âîçìîæíûì ñóäåáíûì ðàçáèðàòåëüñòâàì. Ïîýòîìó, ñóùåñòâóåò îïàñíîñòü, ÷òî íåîáõîäèìîå ïîêàçàíèå áóäåò ñëó÷àéíî
ðàçðóøåíî ïðåæäå, ÷åì îñîçíàíà ñåðüåçíîñòü èíöèäåíòà. Öåëåñîîáðàçíî íà ñàìîì ðàííåì ýòàïå ïðèâëåêàòü þðèñòà èëè ìèëèöèþ â ëþáîì ñëó÷àå ïðåäïîëàãàåìûõ ñóäåáíûõ ðàçáèðàòåëüñòâ è ïîëó÷àòü
êîíñóëüòàöèþ îòíîñèòåëüíî òðåáóåìûõ ñâèäåòåëüñòâ.
12.2 Ïåðåñìîòð ïîëèòèêè áåçîïàñíîñòè è òåõíè÷åñêîå ñîîòâåòñòâèå òðåáîâàíèÿì áåçîïàñíîñòè
Öåëü: îáåñïå÷åíèå ñîîòâåòñòâèÿ ñèñòåì ïîëèòèêå áåçîïàñíîñòè îðãàíèçàöèè è ñòàíäàðòàì.
Áåçîïàñíîñòü èíôîðìàöèîííûõ ñèñòåì íåîáõîäèìî ðåãóëÿðíî àíàëèçèðîâàòü è îöåíèâàòü.
Òàêîé àíàëèç (ïåðåñìîòð) íåîáõîäèìî îñóùåñòâëÿòü â îòíîøåíèè ñîîòâåòñòâóþùèõ ïîëèòèê áåçîïàñíîñòè, à ïðîãðàììíûå ñðåäñòâà è èíôîðìàöèîííûå ñèñòåìû äîëæíû ïîäâåðãàòüñÿ àóäèòó íà ïðåäìåò ñîîòâåòñòâèÿ ýòèì ïîëèòèêàì.
12.2.1 Ñîîòâåòñòâèå ïîëèòèêå áåçîïàñíîñòè
Ðóêîâîäèòåëè äîëæíû îáåñïå÷èâàòü ïðàâèëüíîå âûïîëíåíèå âñåõ ïðîöåäóð áåçîïàñíîñòè â ïðåäåëàõ èõ çîíû îòâåòñòâåííîñòè. Êðîìå òîãî, âñå ñôåðû äåÿòåëüíîñòè îðãàíèçàöèè íåîáõîäèìî ïîäâåðãàòü ðåãóëÿðíîìó ïåðåñìîòðó äëÿ îáåñïå÷åíèÿ òðåáîâàíèé ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè. Ïðè ýòîì, êðîìå ôóíêöèîíèðîâàíèÿ èíôîðìàöèîííûõ ñèñòåì, àíàëèçó äîëæíà ïîäâåðãàòüñÿ
òàêæå äåÿòåëüíîñòü:
- ïîñòàâùèêîâ ñèñòåì;
- âëàäåëüöåâ èíôîðìàöèè è èíôîðìàöèîííûõ àêòèâîâ;
- ïîëüçîâàòåëåé;
- ðóêîâîäñòâà.
Âëàäåëüöàì èíôîðìàöèîííûõ ñèñòåì (5.1) ñëåäóåò ïðîâîäèòü ðåãóëÿðíûå ìîíèòîðèíãè èõ ñèñòåì
íà ñîîòâåòñòâèå ïðèíÿòûì ïîëèòèêàì áåçîïàñíîñòè è ëþáûì äðóãèì òðåáîâàíèÿì áåçîïàñíîñòè.
Âîïðîñû ìîíèòîðèíãà èñïîëüçîâàíèÿ ñèñòåì ðàññìîòðåíû â 9.7.
12.2.2 Ïðîâåðêà òåõíè÷åñêîãî ñîîòâåòñòâèÿ òðåáîâàíèÿì áåçîïàñíîñòè
Ïðîâåðêà òåõíè÷åñêîãî ñîîòâåòñòâèÿ âêëþ÷àåò èñïûòàíèÿ îïåðàöèîííûõ ñèñòåì äëÿ îáåñïå÷åíèÿ
óâåðåííîñòè â òîì, ÷òî ìåðîïðèÿòèÿ ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè ôóíêöèîíèðîâàíèÿ àïïàðàòíûõ è ïðîãðàììíûõ ñðåäñòâ áûëè âíåäðåíû ïðàâèëüíî. Ýòîò òèï ïðîâåðêè ñîîòâåòñòâèÿ òðåáóåò òåõíè÷åñêîé ïîìîùè ñïåöèàëèñòà. Äàííóþ ïðîâåðêó ñëåäóåò îñóùåñòâëÿòü âðó÷íóþ (ïðè ïîìîùè
ñîîòâåòñòâóþùèõ èíñòðóìåíòàëüíûõ è ïðîãðàììíûõ ñðåäñòâ, ïðè íåîáõîäèìîñòè) îïûòíîìó ñèñòåìíîìó èíæåíåðó èëè ñ ïîìîùüþ àâòîìàòèçèðîâàííîãî ïàêåòà ïðîãðàìì, êîòîðûé ãåíåðèðóåò òåõíè÷åñêèé
îò÷åò äëÿ ïîñëåäóþùåãî àíàëèçà òåõíè÷åñêèì ñïåöèàëèñòîì.
Ïðîâåðêà ñîîòâåòñòâèÿ òàêæå âêëþ÷àåò òåñòèðîâàíèå íà íàëè÷èå ïîïûòîê íåñàíêöèîíèðîâàííîãî
äîñòóïà ê ñèñòåìå (ïðîíèêíîâåíèå), êîòîðîå ìîæåò áûòü âûïîëíåíî íåçàâèñèìûìè ýêñïåðòàìè, ñïåöèàëüíî ïðèãëàøåííûìè ïî êîíòðàêòó äëÿ ýòîãî. Äàííîå òåñòèðîâàíèå ìîæåò áûòü ïîëåçíûì äëÿ îáíàðóæåíèÿ óÿçâèìîñòåé â ñèñòåìå è äëÿ ïðîâåðêè ýôôåêòèâíîñòè ìåð áåçîïàñíîñòè ïðè ïðåäîòâðàùåíèè
íåàâòîðèçîâàííîãî äîñòóïà âñëåäñòâèå ýòèõ óÿçâèìîñòåé. Îñîáóþ îñòîðîæíîñòü ñëåäóåò ïðîÿâëÿòü â
ñëó÷àÿõ, êîãäà òåñò íà ïðîíèêíîâåíèå ìîæåò ïðèâåñòè ê êîìïðîìåòàöèè áåçîïàñíîñòè ñèñòåìû è íåïðåäíàìåðåííîìó èñïîëüçîâàíèþ äðóãèõ óÿçâèìîñòåé.
Ëþáàÿ ïðîâåðêà òåõíè÷åñêîãî ñîîòâåòñòâèÿ äîëæíà âûïîëíÿòüñÿ òîëüêî êîìïåòåíòíûìè, àâòîðèçîâàííûìè ëèöàìè ëèáî ïîä èõ íàáëþäåíèåì.
53
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
12.3 Ìåðû áåçîïàñíîñòè ïðè ïðîâåäåíèè àóäèòà
Öåëü: ìàêñèìèçàöèÿ ýôôåêòèâíîñòè è ìèíèìèçàöèÿ âëèÿíèÿ íà èíôîðìàöèîííóþ áåçîïàñíîñòü
â ïðîöåññå àóäèòà ñèñòåìû.
Íåîáõîäèìî ïðåäóñìàòðèâàòü ìåðîïðèÿòèÿ ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè îïåðàöèîííîé ñðåäû è èíñòðóìåíòàëüíûõ ñðåäñòâ àóäèòà â ïðîöåññå ïðîâåäåíèÿ àóäèòà ñèñòåì.
Çàùèòà òàêæå òðåáóåòñÿ äëÿ ïîääåðæàíèÿ öåëîñòíîñòè èíôîðìàöèîííîé ñèñòåìû è ïðåäîòâðàùåíèÿ íåïðàâèëüíîãî èñïîëüçîâàíèÿ èíñòðóìåíòàëüíûõ ñðåäñòâ àóäèòà.
12.3.1 Ìåðîïðèÿòèÿ ïî îáåñïå÷åíèþ èíôîðìàöèîííîé áåçîïàñíîñòè ïðè ïðîâåäåíèè àóäèòà ñèñòåì
Òðåáîâàíèÿ è äåéñòâèÿ àóäèòà, âêëþ÷àþùèå ïðîâåðêó îïåðàöèîííûõ ñèñòåì, íåîáõîäèìî òùàòåëüíî ïëàíèðîâàòü è ñîãëàñîâûâàòü, ÷òîáû ñâåñòè ê ìèíèìóìó ðèñê äëÿ áèçíåñ-ïðîöåññîâ. Íåîáõîäèìî ó÷èòûâàòü ñëåäóþùåå:
- òðåáîâàíèÿ àóäèòà íåîáõîäèìî ñîãëàñîâàòü ñ ñîîòâåòñòâóþùèì ðóêîâîäñòâîì;
- îáúåì ðàáîò ïî ïðîâåðêàì ñëåäóåò ñîãëàñîâûâàòü è êîíòðîëèðîâàòü;
- ïðè ïðîâåäåíèè ïðîâåðîê íåîáõîäèìî èñïîëüçîâàòü äîñòóï òîëüêî äëÿ ÷òåíèÿ ê ïðîãðàììíîìó
îáåñïå÷åíèþ è äàííûì;
- äðóãèå âèäû äîñòóïà ìîãóò áûòü ðàçðåøåíû òîëüêî â îòíîøåíèè èçîëèðîâàííûõ êîïèé ôàéëîâ
ñèñòåìû, êîòîðûå íåîáõîäèìî óäàëÿòü ïî çàâåðøåíèþ àóäèòà;
- íåîáõîäèìî ÷åòêî èäåíòèôèöèðîâàòü è îáåñïå÷èâàòü äîñòóïíîñòü íåîáõîäèìûõ ðåñóðñîâ
èíôîðìàöèîííûõ ñèñòåì äëÿ âûïîëíåíèÿ ïðîâåðîê;
- òðåáîâàíèÿ â îòíîøåíèè ñïåöèàëüíîé èëè äîïîëíèòåëüíîé îáðàáîòêè äàííûõ ñëåäóåò èäåíòèôèöèðîâàòü è ñîãëàñîâûâàòü;
- âåñü äîñòóï äîëæåí ïîäâåðãàòüñÿ ìîíèòîðèíãó è ðåãèñòðèðîâàòüñÿ ñ öåëüþ îáåñïå÷åíèÿ ïðîòîêîëèðîâàíèÿ äëÿ ïîñëåäóþùèõ ññûëîê;
- âñå ïðîöåäóðû, òðåáîâàíèÿ è îáÿçàííîñòè àóäèòà ñëåäóåò äîêóìåíòèðîâàòü.
12.3.2 Çàùèòà èíñòðóìåíòàëüíûõ ñðåäñòâ àóäèòà ñèñòåì
Äîñòóï ê èíñòðóìåíòàëüíûì ñðåäñòâàì àóäèòà ñèñòåì, òî åñòü ïðîãðàììíîìó îáåñïå÷åíèþ èëè
ôàéëàì äàííûõ, íåîáõîäèìî çàùèùàòü, ÷òîáû ïðåäîòâðàòèòü ëþáîå âîçìîæíîå èõ íåïðàâèëüíîå
èñïîëüçîâàíèå èëè êîìïðîìåòàöèþ. Òàêèå èíñòðóìåíòàëüíûå ñðåäñòâà íåîáõîäèìî îòäåëÿòü îò ñèñòåì
ðàçðàáîòêè è ñèñòåì îïåðàöèîííîé ñðåäû, à òàêæå íå õðàíèòü ýòè ñðåäñòâà â áèáëèîòåêàõ ìàãíèòíûõ
ëåíò èëè ïîëüçîâàòåëüñêèõ îáëàñòÿõ, åñëè íå îáåñïå÷åí ñîîòâåòñòâóþùèé óðîâåíü äîïîëíèòåëüíîé
çàùèòû.
54
ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 17799—2005
ÓÄÊ 001.4:025.4:006.354
ÎÊÑ 01.040.01
Ò00
Êëþ÷åâûå ñëîâà: èíôîðìàöèîííàÿ òåõíîëîãèÿ, èíôîðìàöèîííàÿ áåçîïàñíîñòü, ðèñêè, àêòèâû, îõðàíÿåìàÿ çîíà, êîíòðîëü äîñòóïà, àóäèò
55