Для обеспечения соответствующей защиты активов организации необходимо описать каждый актив, согласовать и обозначить его владельца и категорию конфиденциальности (см. раздел 5.2), а также указать его текущее местоположение (эта информация потребуется при восстановлении в случае утраты или повреждения).
К активам, связанным с информационными системам относятся:
- информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки (обслуживания), планы по обеспечению непрерывности функционирования информационного обеспечения, процедуры действий при сбоях, архивированная информация;
- активы программного обеспечения: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты;
- физические активы: компьютерное оборудование (процессоры, мониторы, переносные компьютеры, модемы), оборудование связи (маршрутизаторы, частные автоматические телефонные станции с выходом в сеть общего пользования, факсы, автоответчики), магнитные носители (ленты и диски), другое техническое оборудование (электропитание, кондиционеры), мебель, помещения;
- услуги (сервис): вычислительные услуги и услуги связи, основные коммунальные услуги, например, отопление, освещение, электроэнергия, кондиционирование.
С целью обеспечения уверенности в том, что информационные активы защищены на надлежащем уровне. Информацию следует классифицировать, чтобы определить ее приоритетность, необходимость и степень ее защиты.
При классификации и введении соответствующих мер защиты информации необходимо учитывать потребности организации в совместном использовании и ограничении доступа к информации, а также возможный ущерб, связанный с этими потребностями, например, в результате несанкционированного доступа или повреждения информации.
Классификация информации помогает быстро установить, как следует обращаться с определенной информацией и какие меры защиты необходимо к ней применять.
Необходимо определить требуемое количество категорий классификации и преимущества от их использования. Слишком высокая сложность схем может привести к тому, что классификация станет неудобной и неэкономичной или окажется неприменимой на практике.
Для каждой классификации следует определять процедуры маркировки для того, чтобы учесть типы обработки информации:
-копирование;
-хранение;
-передачу по почте, факсом и электронной почтой;
- передачу голосом, включая мобильный телефон, голосовую почту, автоответчики;
-уничтожение.
Следует быть внимательными при использовании документов поступающих из других организаций, поскольку в них классификационные метки на документах могут иметь другое значение.
Ответственность за определение категории информации (например, документа, записи базы данных, файла или дискеты) и за периодическую проверку этой категории должна лежать на создателе или назначенном владельце этой информации.
Вопросы безопасности, связанные с персоналом (Часть 6-я.)
Для минимизация рисков от ошибок, связанных с человеческим фактором, воровством, мошенничеством, кражей или неправильного использования средств обработки информации, следует осуществлять соответствующую проверку кандидатов при приеме на работу и оговаривать на этапе приема обязанности, связанные с безопасностью, которые обязательно должны быть включены в контракт.
Все сотрудники и сторонние пользователи средств обработки информации при необходимости должны подписать соглашение о конфиденциальности (неразглашении).
Проверка при приеме на постоянную работу должна включать следующее:
· наличие у кандидата удовлетворительных рекомендаций;
· проверка резюме кандидата (на предмет полноты и точности);
· подтверждение наличия заявленного профессионального образования;
· независимая проверка личности (с помощью паспорта или заменяющего его документа).
Если работа (при начальном приеме или при продвижении по службе) предполагает доступ сотрудника к средствам обработки информации, в частности, к тем, которые обрабатывают конфиденциальную информацию, например, финансовую информацию или сведения с высокой степенью конфиденциальности, необходимо проверить также и кредитную историю сотрудника. Для сотрудников, работающих на руководящих должностях, такую проверку необходимо периодически повторять.
Подобную процедуру отбора следует проводить для подрядчиков и временных работников.
Все сотрудники и подрядчики должны быть знакомы с процедурами уведомления о различных типах инцидентов (уязвимостях, атаках и сбоях), которые могут повлиять на безопасность ресурсов организации.
Для этого необходимо утвердить формальную процедуру уведомления, а также процедуру реакции на инциденты, включающую в себя действия, которые должны выполняться при поступлении сообщения об инциденте.
Необходимо создать механизмы, позволяющие оценивать и проводить мониторинг инцидентов или сбоев, их масштаб и связанные с ними затраты. Полученная информация позволит ввести новые средства управления безопасностью или усовершенствовать существующие, а следовательно сократить частоту, масштаб и ущерб от возникновения подобных инцидентов в будущем.
Необходимо формально утвердить дисциплинарные взыскания для сотрудников, нарушивших процедуры и политику безопасности, принятую в организации.