7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации

^      7.3 Общие мероприятия по управлению информационной безопасностью
     
     Цель: предотвращение компрометации либо кражи инфы и средств обработки инфы.
     
     Информацию и средства обработки инфы нужно защищать от раскрытия, кражи либо модификации неавторизованными лицами; должны быть 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации внедрены меры, обеспечивающие сведение к минимуму риска их утраты либо повреждения.
     
     Процедуры обработки и хранения инфы рассматриваются в 8.6.3.
     
     7.3.1 Политика "незапятнанного стола" и "незапятнанного экрана"
     
     Организациям следует использовать политику "незапятнанного стола" в отношении картонных документов и 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации сменных носителей данных, также политику "незапятнанного экрана" в отношении средств обработки инфы с тем, чтоб уменьшить опасности неавторизованного доступа, утраты и повреждения инфы как во время рабочего денька, так 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации и при внеурочной работе. При применении этих политик следует учесть категории инфы исходя из убеждений безопасности (5.2) и надлежащие опасности, также корпоративную культуру организации.
     
     Носители инфы, оставленные на столах, также могут быть повреждены либо разрушены при 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации бедствии, к примеру, при пожаре, наводнении либо взрыве.
     
     Следует использовать последующие мероприятия по управлению информационной безопасностью:
     
     - чтоб исключить компрометацию инфы, целенаправлено бумажные и электрические носители инфы, когда они не употребляются 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации, хранить в соответствующих запирающихся шкафах и/либо в других защищенных предметах мебели, в особенности в нерабочее время;
     
     - носители с принципиальной либо критической служебной информацией, когда они не требуются, следует убирать и запирать (к примеру 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации, в несгораемом сейфе либо шкафу), в особенности когда помещение пустует;
     
     - индивидуальные компы, компьютерные терминалы и принтеры должны быть выключены по окончании работы; следует также использовать кодовые замки, пароли либо другие мероприятия 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации в отношении устройств, находящихся без присмотра;
     
     - нужно обеспечить защиту пт отправки/приема корреспонденции, также факсимильных и телексных аппаратов в случаях нахождения их без присмотра;
     
     - в нерабочее время фотокопировальные устройства следует запирать 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации на ключ (либо защищать от неавторизованного использования другим методом);
     
     - написанные документы с принципиальной либо секретной информацией нужно изымать из принтеров немедля.
     
     ^ 7.3.2 Вынос имущества
     
     Оборудование, информацию либо программное обеспечение можно выносить из помещений организации лишь 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации на основании соответственного разрешения. Там, где нужно и уместно, оборудование следует регистрировать при выносе и при вносе, также делать отметку, когда оно возвращено. С целью выявления неавторизованных перемещений активов и оборудования следует 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации проводить выборочную инвентаризацию. Сотрудники должны быть ознакомлены о том, что подобные проверки могут иметь место.
     
     
^      8 Управление передачей данных и операционной деятельностью
           8.1 Операционные процедуры и обязанности
     
     Цель: обеспечение убежденности в соответствующем и неопасном функционировании средств 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации обработки инфы.
     
     Должны быть установлены обязанности и процедуры по управлению и функционированию всех средств обработки инфы. Они должны включать разработку соответственных операционных инструкций и процедуры реагирования на инциденты.
     
     С 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации целью минимизации риска при неверном использовании систем вследствие небрежности либо злого умысла следует, по способности, реализовывать принцип разделения возможностей (8.1.4).
     
     8.1.1 Документальное оформление операционных процедур
     
     Операционные процедуры, определяемые политикой безопасности, должны рассматриваться как официальные документы, документироваться и строго 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации соблюдаться, а конфигурации к ним должны санкционироваться и утверждаться управлением.
     
     Процедуры содержат детализированную аннотацию выполнения определенного задания (работы) и включают:
     
     - обработку и управление информацией;
     
     - определение требований в отношении графика 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации выполнения заданий, включающих связи меж системами; время начала выполнения самого ранешнего задания и время окончания самого последнего задания;
     
     - обработку ошибок либо других исключительных ситуаций, которые могут появиться в течение выполнения заданий, включая ограничения 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации на внедрение системных утилит (9.5.5);
     
     - нужные контакты на случай внезапных операционных либо технических заморочек;
     
     - особые мероприятия по управлению выводом данных, к примеру, внедрение специальной бумаги для печатающих устройств либо особенных процедур применительно 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации к выводу секретной инфы, включая процедуры для неопасной утилизации выходных данных, не завершенных в процессе выполнения заданий;
     
     - перезапуск системы и процедуры восстановления в случае системных сбоев.
     
     Документированные процедуры должны быть также разработаны 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации в отношении обслуживания систем обработки и обмена информацией, а именно процедуры пуска и неопасного окончания работы компьютера(ов), процедуры резервирования, текущего обслуживания и ремонта оборудования, обеспечения соответствующей безопасности помещений с компьютерным и 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации коммуникационным оборудованием.
     
     ^ 8.1.2 Контроль конфигураций
     
     Изменения конфигурации в средствах и системах обработки инфы должны контролироваться соответствующим образом. Неадекватный контроль конфигураций средств и систем обработки инфы - всераспространенная причина системных сбоев и инцидентов нарушения информационной безопасности. С 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации целью обеспечения соответствующего контроля всех конфигураций в оборудовании, программном обеспечении либо процедурах должны быть определены и внедрены формализованные роли, ответственности и процедуры. При изменении программного обеспечения вся нужная информация должна фиксироваться и сохраняться 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации в системном журнальчике аудита. Конфигурации операционной среды могут влиять на работу приложений. Всюду, где это имеет практический смысл, процедуры управления переменами в операционной среде и в приложениях должны быть интегрированы (см 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации. также 10.5.1). А именно, нужно рассматривать последующие мероприятия:
     
     - определение и регистрация существенных конфигураций;
     
     - оценка вероятных последствий таких конфигураций;
     
     - формализованная процедура утверждения предлагаемых конфигураций;
     
     - подробное информирование об конфигурациях всех заинтересованных лиц;
     
     - процедуры, определяющие 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации обязанности по прерыванию и восстановлению работы средств и систем обработки инфы, в случае неудачных конфигураций программного обеспечения.
     
     ^ 8.1.3 Процедуры в отношении инцидентов нарушения информационной безопасности
     
     Обязанности и процедуры по управлению в отношении инцидентов должны 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации быть определены для обеспечения резвой, действенной и организованной реакции на эти нарушения информационной безопасности (6.3.1). При всем этом нужно разглядеть последующие мероприятия:
     
     а) должны быть определены процедуры в отношении всех вероятных типов 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации инцидентов нарушения информационной безопасности, в том числе:
     
     1) сбои информационных систем и утрата сервисов;
     
     2) отказ в обслуживании;
     
     3) ошибки вследствие неполных либо неточных данных;
     
     4) нарушения конфиденциальности;
     
     б) в дополнение к обыденным планам обеспечения непрерывности (созданных для скорого 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации восстановления систем либо услуг) должны существовать процедуры выполнения требований (6.3.4):
     
     1) анализа и идентификации предпосылки инцидента;
     
     2) планирования и внедрения средств, предотвращающих повторное проявление инцидентов, по мере надобности;
     
     3) использования журналов аудита и 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации подобных свидетельств;
     
     4) взаимодействия с лицами, на которых инцидент оказал воздействие либо участвующих в устранении последствий инцидента;
     
     5) информирования о действиях соответственных должностных лиц;
     
     в) журнальчики аудита и подобные свидетельства должны быть собраны (12.1.7) и защищены подходящим образом 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации с целью:
     
     1) внутреннего анализа трудности;
     
     2) использования как подтверждение в отношении вероятного нарушения критерий договора, нарушения требований законодательства либо, в случае штатских либо уголовных судебных разбирательств, касающихся, к примеру, защиты индивидуальных данных либо 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации неправомочного использования компов;
     
     3) ведения переговоров относительно компенсации вреда с поставщиками программного обеспечения и услуг;
     
     г) деяния по устранению сбоев систем и ликвидации последствий инцидентов нарушения информационной безопасности должны быть под кропотливым 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации и формализованным контролем. Нужно наличие процедур с целью обеспечения убежденности в том, что:
     
     1) только на сто процентов идентифицированному и авторизованному персоналу предоставлен доступ к системам и данным в среде промышленной эксплуатации (4.2.2 в 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации отношении доступа третьей стороны);
     
     2) все деяния, предпринятые при чрезвычайных обстоятельствах, тщательно документально оформлены;
     
     3) о действиях, предпринятых при чрезвычайных обстоятельствах, сообщено управлению организации, и они проанализированы в установленном порядке;
     
     4) целостность бизнес-систем и 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации систем контроля доказана в малые сроки.
     
     ^ 8.1.4 Разграничение обязательств
     
     Разграничение обязательств - это метод минимизации риска нештатного использования систем вследствие неверных либо злостных действий юзеров. Нужно рассматривать принцип разграничения обязательств в отношении функций управления, выполнения 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации определенных задач и областей ответственности как метод уменьшения неавторизованной модификации либо неверного использования инфы либо сервисов.
     
     Для маленьких организаций эти мероприятия труднодостижимы, но данный принцип должен быть использован как это может 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации быть. В случаях, когда разделение обязательств выполнить проблемно, следует рассматривать внедрение других мероприятий по управлению информационной безопасностью, таких как мониторинг деятельности, внедрение журналов аудита, также мер административного контроля. В то же время 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации принципиально, чтоб аудит безопасности оставался независящей функцией.
     
     Необходимо решать меры предосторожности, чтоб сотрудник не мог совершить злоупотребления в области собственной единоличной ответственности не будучи найденным. Инициирование действия должно быть отделено от его авторизации 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации. Нужно рассматривать последующие мероприятия по управлению информационной безопасностью:
     
     - разграничение возможностей в отношении видов деятельности, которые делают возможность сговора для воплощения мошенничества, к примеру, формирование заказов на закупку и доказательства получения продуктов 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации;
     
     - при наличии угрозы сговора мероприятия должны быть обмыслены так, чтоб в осуществлении операции участвовали два либо более лица для понижения способности сохранения потаенны сговора.
     
     ^ 8.1.5 Разграничение сред разработки и промышленной эксплуатации
     
     При разделении 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации сред разработки, тестирования и промышленной эксплуатации нужно поделить роли и функции служащих. Правила перевода программного обеспечения из статуса разрабатываемого в статус принятого к эксплуатации должны быть определены и документально оформлены.
     
     Деятельность 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации, связанная с разработкой и тестированием, может быть предпосылкой суровых заморочек, к примеру ненужных конфигураций файлов либо системной среды, также системных сбоев. При всем этом следует обеспечивать нужный уровень разделения меж средами промышленной эксплуатации по отношению 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации к средам тестирования, также для предотвращения операционных сбоев. Аналогичное разделение следует также реализовывать меж функциями разработки и тестирования. В данном случае нужно поддерживать в рабочем состоянии отдельную среду, в какой следует делать 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации всеохватывающее тестирование с известной стабильностью и предотвращать несанкционированный доступ со стороны разработчиков.
     
     Там, где сотрудники, отвечающие за разработку и тестирование, имеют доступ к системе и данным среды промышленной эксплуатации, они имеют возможность 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации установить неавторизованную и непротестированную программку либо поменять данные в операционной среде. Применительно к ряду систем эта возможность могла бы быть применена с целью злоупотребления, а конкретно для совершения мошенничества либо установки 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации непротестированной либо вредной программки. Непротестированное либо вредное программное обеспечение может быть предпосылкой суровых заморочек в операционной среде. Разработчики и спецы, проводящие тестирование, могут также быть предпосылкой угроз для безопасности операционной инфы 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации и системы.
     
     Кроме того, если разработка и тестирование выполняются в одной компьютерной среде, это может стать предпосылкой ненамеренных конфигураций программного обеспечения и инфы. Разделение сред разработки, тестирования и эксплуатации является, как следует 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации, целесообразным для уменьшения риска случайного конфигурации либо неавторизованного доступа к программному обеспечению и бизнес-данным среды промышленной эксплуатации. Нужно рассматривать последующие мероприятия по управлению информационной безопасностью:
     
     - программное обеспечение для разработки и 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации эксплуатации, по способности, должно работать на разных компьютерных микропроцессорах либо в разных доменах либо директориях;
     
     - деяния по разработке и тестированию должны быть разбиты, как это может быть;
     
     - компиляторы, редакторы и другие системные утилиты не должны 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации быть доступны в операционной среде без последней необходимости;
     
     - чтоб уменьшить риск ошибок, для операционных и тестовых систем должны употребляться разные процедуры регистрации (входа в систему). Юзерам следует советовать применение разных 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации паролей для этих систем, а в их экранных меню должны показываться надлежащие идентификационные сообщения;
     
     - разработчики могут иметь доступ к паролям систем операционной среды исключительно в том случае, если внедрены особые мероприятия 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации по порядку предоставления паролей для поддержки среды промышленной эксплуатации. Эти меры должны обеспечивать смену паролей после использования.
     
     ^ 8.1.6 Управление средствами обработки инфы посторонними лицами и/либо организациями
     
     Использование посторониих подрядчиков для управления средствами обработки инфы является возможной 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации опасностью для безопасности, так как появляется возможность компрометации, повреждения либо утраты данных в организации подрядчика. Такие опасности должны быть идентифицированы заблаговременно, а надлежащие мероприятия по управлению информационной безопасностью согласованы с подрядчиком 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации и включены в договор (4.2.2 и 4.3 в отношении руководств по договорам с третьей стороной, предусматривающих доступ к средствам обработки инфы организации и в отношении договоров по аутсорсингу).
     
     В этих критериях требуется решение 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации особых вопросов:
     
     - идентификация принципиальных либо критичных бизнес-приложений, которые лучше бросить в организации;
     
     - получение одобрения хозяев коммерческих бизнес-приложений;
     
     - оценка воздействия на планы обеспечения непрерывности бизнеса;
     
     - определение списка эталонов безопасности, которые должны быть 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации включены в договоры, и процедур проверки выполнения их требований;
     
     - рассредотачивание определенных обязательств и процедур для действенного мониторинга всех используемых видов деятельности, связанных с информационной безопасностью;
     
     - определение обязательств и процедур в отношении информирования 7.3 Общие мероприятия по управлению информационной безопасностью - Национальный стандарт российской федерации и управления процессами ликвидации последствий инцидентов нарушения информационной безопасности (8.1.3).
     
     


77-sin-ribaka-i-devushka-zatvornica-zapis-tekstov-perevod-predislovie-i-primechaniya-g-a-dzagurova-gubadi.html
77-svedeniya-ob-uchastii-emitenta-v-sudebnih-processah-v-sluchae-esli-takoe-uchastie-mozhet-sushestvenno-otrazitsya-na-finansovo-hozyajstvennoj-deyatelnosti-emitenta.html
776-poryadok-provedeniya-tekushego-remonta-sistem-elektrosnabzheniya-i-osvesheniya.html