Классификация ресурсов Все ресурсы должны быть классифицированы по степени важности. Для каждого класса должны быть регламентированы следующие действия: -копирование -хранение -передача почтой, факсом, электронной почтой -передача голосом, включая мобильные телефоны, голосовую почту -уничтожение Система обеспечения безопасности объектов контроля включает следующие организационные мероприятия: -контроль помещения и оборудования (охрана помещений, оборудования, контроль посетителей) -работа с персоналом (ознакомление с правилами защиты информации, стимулирование, проверка сотрудников) -организация работы с конфиденциальной информацией (порядок делопроизводства, контроль прохождения секретных документов, публикациями, рассекречиванием, уничтожением документов) -работа с конфиденциальной информацией, накопленной на компьютерах (защита от несанкционированного доступа и съема, контроль использования компьютеров) -защита коммерческих тайн фирмы в процессе заключения контрактов (контроль привлекаемых лиц, контроль оформления и перемещения документов). Возникает два вопроса: как быть, если приходится отдавать функции по управлению средствами защиты информации службе информатизации и как обеспечить эффективный независимый контроль состояния автоматизированной системы в части событий ИБ? В основе исходной концептуальной схемы аудита ИБ организаций лежит, с одной стороны, желание собственника доказать достижение организацией высокого уровня ИБ и таким образом повысить доверие к ней, с другой стороны — стремление аудиторов с помощью проведения независимой и компетентной оценки определить истинный (в пределах возможностей аудита ИБ) уровень организации работ в области ИБ и степень соответствия ИБ организации установленным требованиям (критериям аудита). Уровень ИБ организации соответствует высокому уровню ИБ, если процессы системы обеспечения ИБ проводятся осознанно на основе прогноза, мониторинга и анализа внутренней и внешней среды, развития и изменения целей бизнеса (деятельности) организации. Проверка (мониторинг и анализ) СМИБ Процессы мониторинга и анализа СМИБ организации должны быть интегрированы в систему внутреннего контроля организаций. Организации следует реализовать следующие процессы мониторинга и анализа СМИБ: а) мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ; б) анализ эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ; в) внутренний аудит СМИБ; г) анализ СМИБ со стороны высшего руководства; д) проведение периодического внешнего аудита СМИБ. Проверка и оценка информационной безопасности организации Проверка и оценка ИБ организации может быть произведена с помощью аудита, самооценки и мониторинга ИБ. Аудит ИБ организации может быть внутренним или внешним Цель, порядок и периодичность проведения аудитов ИБ организации в целом (или ее отдельных структурных подразделений) определяется руководством организации на основе потребностей в такой деятельности и фиксируется в программе аудита ИБ. Цель аудита ИБ организации состоит в проверке и оценке соответствия ИБ требованиям настоящего стандарта. Заключение по результатам проведения аудита ИБ организации должно показывать: - текущий уровень ИБ организации; - уровень зрелости процессов менеджмента ИБ организации; - уровень осознания ИБ организации. При проведении аудита ИБ организации должны использоваться стандартные процедуры документальной проверки, опрос и интервью с руководством и персоналом организации. При необходимости уточнения результатов документальной проверки, опросов и интервью в рамках внутреннего аудита ИБ в качестве дополнительного способа может применяться ``проверка на месте'', которая проводится для обеспечения уверенности в том, что конкретные защитные меры реализуются, правильно используются и проверяются с помощью тестирования. Обстоятельства, при которых требуется дополнительный способ в рамках внутреннего аудита ИБ, должны быть определены и согласованы в плане проведения аудита ИБ в организации. Мониторинг ИБ должен проводиться персоналом организации, ответственным за ИБ, с целью обнаружения и регистрации отклонений функционирования защитных мер от требований ИБ и оценки полноты реализации положений политики ИБ, инструкций и руководств обеспечения ИБ в организации. Основными целями мониторинга ИБ в организации являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные руководством цели. Такими целями анализа могут быть: - контроль за реализацией положений нормативных актов по обеспечению ИБ в организации; - выявление нештатных (или злоумышленных) действий в организации; - выявление инцидентов ИБ. Для целей оперативного и постоянного наблюдения объектов мониторинга могут использоваться как специализированные (например, программные) средства, так и штатные (входящие в коммерческие продукты и системы) средства регистрации действий пользователей, процессов и т.п. Аудиторский отчет должен храниться в организации в течение установленного времени. Доступ к аудиторскому отчету должен быть разрешен только руководству организации и руководителям подразделения (лицам), ответственным за ИБ в организации. Хорошей практикой подготовки к аудиту ИБ и проверки уровня ИБ организации БС РФ является проведение самооценки ИБ. Самооценка ИБ проводится собственными силами и по инициативе руководства организации. При проведении самооценки ИБ должны использоваться журналы регистрации инцидентов ИБ, ведущиеся службами безопасности организации и формируемые на основе данных мониторинга ИБ, проверяться эффективность реализованных защитных мер путем тестовых проверок (могут быть проверки на проникновение). Стандарт ISO 17799 требует классифицировать все ресурсы компании с точки зрения безопасности. Зачастую, часть, казалось бы, малозначительных ресурсов выпадает из поля зрения специалистов компании, что совершенно недопустимо - в безопасности не бывает мелочей. Например, наличие персональных модемов и потенциальная возможность их использования является одним из распространенных каналов утечки информации и требует особого контроля - такой ресурс обязан быть классифицирован как ресурс повышенной опасности, требующий специального разрешения на его применение.