Читать книги онлайн
Меню
назад Оглавление

В дополнение сотрудникам следует напоминать, что они не должны вести конфиденциальные разговоры в публичных местах или незащищенных офисах и местах встреч и по незащищенным каналам связи.

Передача информации может происходить с использованием разных типов средств коммуникаций, включая электронную почту, голос, факсимиле и видео.

Передача ПО может происходить с использованием разных типов носителей, включая загрузку из Интернета и покупку у разработчиков, продающих готовую продукцию.

Соглашения о передаче информации

Меры и средства

Соглашения должны обеспечить безопасную передачу бизнес-информации между организацией и сторонними организациями.

Рекомендация по реализации

Соглашения о передаче информации должны включать следующее:

– обязанности руководства по контролю и уведомлению о передаче, рассылке и получению информации;

– процедуры обеспечения отслеживаемости и неотказуемости;

– минимальные требования технических стандартов упаковки и передачи информации;

– эскроу соглашения (хранятся у третьего лица и вступают в силу только при выполнении определенного условия);

– стандарты идентификации курьера;

– обязанности и ответственности в случае инцидентов ИБ, таких как потери данных;

– использование согласованной системы маркировки чувствительной или критичной информации, обеспечивающей ее немедленное понимание и соответствующую защиту;

– технические стандарты записи и считывания информации и ПО;

– любые специальные меры защиты, требуемые для защиты чувствительных элементов, например, криптография;

– поддержка цепочки поставок транзитной информации;

– применимые уровни контроля доступа.

Следует установить и поддерживать политики, процедуры и стандарты по защите информации и физических носителей во время транзита, которые должны быть отражены в соглашениях о передаче информации.

Содержание ИБ в любом соглашении должно отражать чувствительность содержащейся бизнес-информации.

Соглашения могут быть электронными и ручными и иметь форму формальных контрактов. Специальный механизм передачи конфиденциальной информации должен быть совместимым со всеми организациями и типами соглашений.

Электронный обмен сообщениями

Меры и средства

Информация электронного сообщения должна иметь соответствующую защиту.

Рекомендации по реализации

Необходимо учитывать следующие рекомендации ИБ:

– защита сообщений от несанкционированного доступа, модификации или отказа сервиса, соизмеримая со схемой классификации;

– обеспечение правильной адресации и транспортировки;

– надежность и доступность сервиса;

– законодательные требования, например, по использованию ЭЦП;

– получение одобрения до использования внешних общедоступных услуг, таких как мгновенный обмен сообщениями, социальные сети или разделение файлов;

– строгие уровни аутентификации доступа со стороны общедоступных сетей.

Существует много типов электронного обмена сообщениями, такими как электронная почта, обмен данными и социальные сети, играющие роль в бизнес-коммуникациях.

Соглашение о неразглашении

Меры и средства

Требования к соглашениям о конфиденциальности или неразглашении, отражающие потребности организации в защите информации, следует определить, регулярно пересматривать и задокументировать.

Рекомендации по реализации

Соглашение о конфиденциальности или неразглашении (англ. Non-Disclosure Agreement, NDA) должно отражать требования защиты конфиденциальной информации с применением существующих правовых понятий. Организации следует заключать NDA как со своими сотрудниками, так и с представителями сторонних организаций. Его содержание должно учитывать тип сторонней организации и возможного доступа к конфиденциальной информации или ее обработки.

Чтобы определить требования NDA, необходимо учесть следующие факторы:

– определение информации, подлежащей защите (например, конфиденциальная информация);

– предполагаемый срок действия NDA, включая случаи, когда конфиденциальность потребуется на неопределенный срок;

– необходимые действия при окончании срока действия NDA;

– обязанности и действия подписавших NDA лиц по предотвращению несанкционированного разглашения информации;

– владение информацией, коммерческой тайной и интеллектуальной собственностью и как это касается защиты конфиденциальной информации;

– разрешенное использование конфиденциальной информации и права подписавших NDA лиц по ее использованию;

– право на аудит и мониторинг деятельности, связанной с конфиденциальной информацией;

– условия возврата или уничтожения информации в случае приостановления действия NDA;

– план действий на случай нарушения NDA.

NDA должно соответствовать действующему законодательству и нормативам.

Требования NDA следует пересматривать периодически и в случае изменений, вляющих на эти требования.

NDA защищает информацию организации и обозначает обязанности подписавших его лиц по защите, использованию и неиспользованию информации с учетом своих полномочий и ответственности.

10. Покупка, разработка и сопровождение ИС

Покупка, разработка и сопровождение ИС определяют следующие составляющие:

– требования безопасности ИС;

– ИБ при разработке ИС;

– тестовые данные.

10.1. Требования безопасности ИС

Цель: Обеспечить, что ИБ является неотъемлемой частью ИС в течение всего жизненного цикла. Это также включает требования к ИС, которые предоставляют сервисы в общедоступных сетях.

Требования безопасности ИС определяют следующие составляющие:

– анализ требований ИБ;

– ИБ сервисов в общедоступных сетях;

– ИБ транзакций прикладных сервисов.

Анализ требований ИБ

Меры и средства

Требования ИБ должны быть включены в требования для новых ИС или по усовершенствованию действующих ИС.

Рекомендации по реализации

Требования ИБ следует определять разными методами, такими как использование соответствующих требований политик и нормативов, моделирование угроз, анализ инцидентов или испоьзование порогов уязвимости. Результаты определения должны документироваться и анализироваться всеми заинтересованными сторонами.

Требования ИБ и меры защиты должны отражать деловую ценность информации и потенциальный ущерб бизнесу вследствие неадекватности ИБ.

Определение и управление требованиями ИБ и связанными с этим процессами следует включать на ранних стадиях в проекты ИС. Раннее рассмотрение требований ИБ, например, на стадии проектирования может привести к более эффективным и экономически выгодным решениям.

Требования ИБ должны также содержать:

– уровень доверия, предъявляемый заявленной личности пользователей, в соответствии с требованиями пользовательской аутентификации;

– процессы подготовки и полномочий доступа, как для бизнес-пользователей, так и для привилегированных или технических пользователей;

– информирование пользователей и операторов об их обязанностях и ответственностях;

– необходимости требуемой защиты активов, в частности, доступности, конфиденциальности, целостности;

– требования, вытекающие из бизнес-процессов, такие как протоколирование и мониторинг транзакций, требования неотказуемости;

– требования, предъявляемые средствами безопасности, такими как интерфейсы протоколирования и мониторинга или систем обнаружения утечки данных.

Для приложений, обеспечивающих сервисы в общедоступных сетях и транзакции, должны быть рассмотрены специальные средства защиты.

В случае приобретения готовых продуктов необходимо соблюдение формальной процедуры покупки и тестирования. В договорах с поставщиками также должны учитываться требования ИБ.

Размер шрифта

Шрифт

Цвет

Междустрочный интервал

Для сохранения изменений, зарегистрируйтесь !!!
goldenlib.com.ua

Сайт является официальным партнером Литрес. Все авторские права защищены

Несмотря на то, что в наши дни Интернет уверенно набирает позиции, все больше образованных и интеллигентных людей предпочитают проводить свободное время за чтением книг. Наш сайт предлагает совместить инновации «всемирной паутины» с «поглощением» литературных шедевров. Здесь Вы можете совершенно бесплатно и без регистрации читать онлайн как классические, так и современные тексты.

Связь с нами

goldenlib.com.ua 2020