6.2 Вопросы системы менеджмента информационной безопасности организации и менеджмента непрерывности бизнеса
6.2.1 Положения настоящего стандарта дополняют требования ГОСТ Р ИСО/МЭК 27001 (приложение А, раздел А.14), определяющие следующие цели и меры ИБ организации в контексте обеспечения непрерывности бизнеса:
- включение ИБ в процесс менеджмента непрерывности бизнеса: следует разработать и поддерживать управляемый процесс для обеспечения непрерывности бизнеса во всей организации, который учитывает требования ИБ, необходимые для непрерывности бизнеса организации (см. ГОСТ Р ИСО/МЭК
27001, приложение А, пункт А.14.1.1);
- непрерывность бизнеса и оценка риска: события, которые могут стать причиной прерывания бизнес-процессов, следует идентифицировать наряду с вероятностью и воздействием таких прерываний, а
также с их последствиями для ИБ (см. ГОСТ Р ИСО/МЭК
27001, приложение А, пункт А.14.1.2);
- разработка и внедрение планов непрерывности, включая ИБ: следует разработать и внедрить планы для поддержания или восстановления работы и для обеспечения доступности информации на требуемом уровне и в требуемые сроки после прерывания или отказа критичных бизнес-процессов (см. ГОСТ Р ИСО/МЭК
27001, приложение А, пункт А.14.1.3);
- структура плана непрерывности бизнеса: следует поддерживать единую структуру планов непрерывности бизнеса для обеспечения непротиворечивости
всех планов, последовательного учета в них требований ИБ и идентификации приоритетов для тестирования и поддержки (см. ГОСТ Р ИСО/МЭК 27001 приложение А, пункт А.14.1.4);
- тестирование, поддержка и пересмотр планов непрерывности бизнеса: планы непрерывности бизнеса должны регулярно тестироваться и обновляться для того, чтобы обеспечить их актуальность и эффективность (см. ГОСТ Р ИСО/МЭК
27001, приложение А, пункт А.14.1.5).
6.2 2 Рекомендации по организации деятельности по обеспечению услуг по восстановлению ИКТ и ИТС после ЧС, приведенные в приложении А настоящего стандарта, включают рассмотрение следующих основных областей:
- факторы стабильности внешней среды;
- управление активами, включая информационные активы организации;
- близость площадки, задействованной в восстановлении деятельности организации;
- управление отношениями с поставщиками;
- соглашения о привлечении внешних дополнительных ресурсов;
- обеспечение ИБ;
- активизация и прекращение использования плана восстановления после ЧС;
- обучение и подготовка;
- тестирование систем ИКТ в соответствии с планами непрерывности бизнеса;
- планирование обеспечения непрерывности бизнеса для провайдеров услуг (привлекаемых организаций) по восстановлению ИКТ организации после ЧС;
- документирование задач восстановления ИКТ и ИТС после ЧС и периодический пересмотр документации.
6.2.3 Основные средства восстановления ИКТ и ИТС после ЧС, рассмотренные в приложении В настоящего стандарта, включают:
- площадки для восстановления и их размещение;
- средства физического контроля доступа;
- физическая безопасность помещений;
- специально выделенные зоны;
- средства контроля влияния внешней среды;
- телекоммуникации;
- энергоснабжение;
- управление кабельной системой;
- противопожарную защиту;
- центр работы в чрезвычайной ситуации;
- помещения с ограниченным доступом;
- санитарно-гигиенические нормы и услуги, обеспечивающие жизнедеятельность человека;
- физические мощности и жизненный цикл вспомогательного оборудования;
- тестирование.
Для планирования непрерывности бизнеса в части обеспечения ИБ необходимо рассмотреть факторы риска ИБ в деятельности организаций с учетом положений разделов 4 и 5. При выборе перечисленных и (или) иных средств восстановления ИКТ и ИТС после ЧС необходимо оценивать потребность в реконфигурации используемых или использовании дополнительных мер ИБ (функций и механизмов обеспечения ИБ ИТС организаций), определенных требованиями:
- национальных стандартов в области защиты информации;
- ГОСТ Р ИСО/МЭК 27001 (приложение А), ГОСТ Р ИСО/МЭК 17799 (приложение А), ГОСТ Р ИСО/МЭК
15408-1, ГОСТ Р ИСО/МЭК 15408-2, ГОСТ Р ИСО/МЭК 15408-3;
- стандартов организаций, включая стандарты Центрального банка России
[8], ОАО «РЖД», ОАО «Газпром», Ассоциации российских банков и других организаций;
- иных нормативных документов, содержащих своды правил (практик) и требования к мерам ИБ (функциям и механизмам обеспечения ИБ ИТС организаций).
При принятии решения организацией по использованию в своей деятельности документированных профилей риска (см. 5.2) рекомендуется разделы профилей риска, содержащие описание существующих и дополнительных защитных мер, сопровождать комментарием по их соответствию стандартизированным требованиям.
6.2.4 При реализации процедур восстановления ИКТ и ИТС после ЧС необходимо рассмотреть факторы рисков, связанные с выбором резервных площадок для восстановления.
Общие требования к процессу выбора резервной площадки для восстановления изложены в приложении С настоящего стандарта.
6.3 Восстановление и обеспечение функционирования процессов системы менеджмента информационной безопасности организации и защитных мер информационной безопасности при чрезвычайных ситуациях
6.3.1 В целях обеспечения управления ИБ в случае возникновения ЧС в планах обеспечения непрерывности бизнеса организации должны быть предусмотрены мероприятия по восстановлению нарушенных операций, процессов менеджмента ИБ (мероприятия по восстановлению штатного функционирования системы менеджмента ИБ организации).
6.3.2 Разработка и принятие организацией критериев и уровней управляемого снижения эффективности СМИБ организации, означающих предельные возможности по обеспечению ИБ организации в данных условиях, может стать важным положительным фактором. Разработка и принятие организацией критериев и уровней управляемого снижения эффективности СМИБ организации может быть основой для эффективного восстановления процессов деятельности в рамках СМИБ организации (предопределение точек регламентированного возврата в штатное состояние).
Критерии управляемого снижения эффективности должны быть соотнесены с установленными в Российской Федерации категориями ЧС и категориями возможных последствий для организации.
6.3.3 Необходимо рассмотреть следующие мероприятия, связанные с восстановлением процессов
деятельности в рамках СМИБ организации:
- защита критичных информационных активов организации;
- эксплуатация защитных мер ИБ (функций и механизмов обеспечения ИБ ИТС организации);
- контроль (мониторинг) факторов рисков ИБ деятельности организации;
- менеджмент инцидентов ИБ организации;
- мониторинг ИБ критичных объектов эксплуатационной среды организации, а также используемых и подключаемых в режиме ЧС дополнительных мер ИБ организации;
- контроль соответствия установленным в организации нормам деятельности в рамках обеспечения ИБ организации в соответствии с требованиями планов по восстановлению штатного функционирования.
6.3.4 Основными задачами системы менеджмента ИБ организации в случае возникновения ЧС являются усиление контроля за соблюдением требований ИБ, установленных в стандартах и нормативных
правовых документах федеральных органов исполнительной власти и внутренних документах организации, и восстановление в кратчайшие сроки нарушенных процессов и механизмов обеспечения ИБ (средств защиты) организации.
Необходимо исключить возможность негативного влияния вторичных рисков деятельности организации, вследствие частичной или полной утраты функциональных возможностей обеспечения ИБ ИТС организации, на процессы восстановления основной деятельности организации. Данные задачи следует решать в плоскости контроля системы менеджмента ИБ организации.
На период восстановления нарушенных процессов и механизмов обеспечения ИБ (средств защиты) менеджмент ИБ организации должен быть направлен (сосредоточен) на усиление организационных мер по обеспечению ИБ.
6.3.5 При возникновении ЧС должны особо соблюдаться требования:
- контроля доступа к информационным активам организации (в особенности лиц сторонних организаций, доминирующие полномочия которых могут быть определены их отношением к государственной системе предупреждения и ликвидации ЧС);
- физической безопасности и сохранности информационных активов организации (защита от повреждений и выноса/хищения);
- обязательной регистрации в журналах действий с критически важными информационными активами организации и сервисами ИТС, осуществляемых персоналом организации и
представителями сторонних организаций.
Порядок реализации данных видов деятельности в условиях ЧС необходимо отражать во внутренних нормативных документах ИБ организации (политиках, положениях, регламентах, инструкциях для персонала). Должен быть установлен порядок проверки (проведения учений) готовности организации к выполнению данных требований в условиях ЧС.
6.3.6 В случае повреждения (в результате ЧС) механизмов системы контроля (удаленного) доступа менеджментом ИБ организации должны быть приняты меры по приостановке/запрету (на период восстановления) удаленного доступа к информационным активам организации. В этом случае может быть временно прекращен (запрещен) выход в Интернет, а также ограничен или запрещен для определенных компонентов ИТС обмен по телекоммуникационной сети организации.
6.3.7 При повреждении механизмов криптографической защиты и (или) их ключевой системы на период их восстановления необходимо рассмотреть меры по работе в особых условиях. Менеджмент организации должен рассмотреть риски и принять решение об исключении из режима работы в особых условиях механизмов криптографической защиты информации либо приостановить эксплуатацию компонентов ИТС организации, использующих поврежденные средства криптографии.
6.3.8 Должны быть установлены обязанности персонала для проведения комплекса мероприятий по восстановлению штатного функционирования СМИБ организации исходя из потребностей организации, в обязательном порядке включенные в должностные инструкции персонала организации, привлекаемого к восстановлению СМИБ организации и (или) отвечающего за него.
Должны быть назначены дублеры для основных исполнителей, привлекаемых и (или) отвечающих за восстановление СМИБ организации.
Вопросы привлечения персонала организации или иных лиц к мероприятиям, связанным с восстановлением штатного функционирования системы менеджмента ИБ организации, необходимо планировать в порядке первоочередности с учетом следующих условий:
- наличие персонала для работы в условиях ЧС и восстановление деятельности организации в границах основной или резервной площадки;
- необходимость участия персонала в восстановлении критически важной деятельности (основной, управленческой и т. д.) организации;
- компетенция и навыки персонала;
- предельный срок участия в деятельности по восстановлению штатного функционирования СМИБ организации.
Действия исполнителей ролей по восстановлению СМИБ организации и механизмов обеспечения ИБ (технических средств защиты) должны документироваться (например, в регистрационном журнале, закрепленном за каждым рабочим местом ИТС организации и критичным компонентом ИТС).
6.3.9 В организации должен быть определен и документирован порядок восстановления средств защиты компонентов ИБ ИТС организации, определяющий процедуры и последовательность восстановления.
Восстановление функций и механизмов обеспечения ИБ (средств защиты), нарушенных при аварии и (или) ЧС, необходимо начать с компонентов ИТС, обеспечивающих функционирование критичных (значимых для деятельности организации) бизнес-процессов.
Степень критичности бизнес-процессов и поддерживающих их компонентов ИТС следует устанавливать исходя из особенностей бизнеса организации и приемлемых рисков прерывания ее деятельности, связанных с нарушением ИБ.
6.3.10 Последовательность (приоритетность) восстановления средств защиты конфиденциальности, доступности, целостности и других свойств безопасности для критичных компонентов ИТС каждого бизнес-процесса организации должна быть определена исходя из рисков прерывания деятельности организации, связанных с нарушением данных свойств ИБ.
6.3.11 Последовательность (приоритетность) восстановления средств защиты может быть определена установленной в организации приоритетностью обеспечения защиты свойств ИБ применительно к восстанавливаемым критичным компонентам ИТС каждого бизнес-процесса организации.
6.3.12 Время восстановления всех нарушенных функций и (или) механизмов обеспечения ИБ (средств защиты), необходимых для безопасного функционирования компонентов ИТС бизнес-процесса, не должно превышать допустимой для бизнеса организации продолжительности нарушения непрерывности ИТС
бизнес-процесса.
При невозможности выполнения данного условия в организации может быть рассмотрен вопрос о временном прекращении использования защитных мер.
6.3.13 Процесс восстановления нарушенной функции и (или) механизмов обеспечения ИБ (средств
защиты) в организации должен быть обеспечен соответствующими ресурсами.
Резервные (запасные) части аппаратного обеспечения и копии инсталляционных носителей программ, необходимые для восстановления элементов аппаратного и программного обеспечения для средств защиты соответственно, должны быть доступны в требуемые для восстановления сроки и защищены от повреждения одновременно с восстанавливаемым средством защиты.
6.3.14 Особенности восстановления средства защиты сервисов ИТ, предоставляемых сторонними
организациями (приоритетность восстановления средств защиты и сроки восстановления, непрерывность
сервисов ИТ на период восстановления и др.), должны быть отражены в соответствующих соглашениях с
конкретными организациями.
|
|
|