Сертифициране на “АИС” на фирма, за проектиране и разработка на софтуерни продукти, по ISO/IEC 27001

Сертифициране на “АИС” на фирма, за проектиране и разработка на софтуерни продукти, по ISO/IEC 27001

С навлизане във второто десетилетие на 21-и век светът се превръща в място, където съобщенията се разменят мигновено, новините се предават по световните медийни мрежи с едно натискане на клавиш.

Във все по-мрежовия свят, информацията държи ключа за конкурентното предимство. Въпреки това информацията може да е „нож” с две остриета, когато попадне в ръцете на неподходящи лица по случайност или по съзнателни методи. При тези обстоятелства, същата тази информация може да доведе до заплаха от критично ниво за организацията. В ерата на информацията, в която сме ние, технологията дава решение в отговор на много ситуации, но не може да предостави всички отговори, особено когато са намесени хора и процеси в тях. Това ни води до извода, че е налице необходимостта от решаване на аспекти свързани с осигуряването на информационните активи, като тук съвсем закономерно се явява нуждата от процес по създаване на модел за информационна сигурност[1].

Технологичните и организационни мерки за защита на данните в една организация са в основата за изграждане на добра концепция за ИТ сигурност. Всяка компания, която се стреми да осигури непрекъснатост на бизнес процесите, централизирано управление, оптимизиране на ресурсите, гарантиране на качествени продукти и услуги, се нуждае от изграждане на подобна концепция. Много често  и най-незначителната загуба на информация може да доведе до неблагоприятни финансови резултати и за това разглеждането на ИТ сигурността наравно с всички бизнес процеси трябва да бъде приоритет за всяка организация. Мерките за защита могат да бъдат насочени към защитата на информацията от голям брой заплахи с цел осигуряване непрекъснатостта на бизнеса, свеждане до минимум на възможните щети и максимално увеличаване на възвращаемостта на инвестициите и бизнес възможностите. Сигурността на информацията се изразява в съвкупността на физическа сигурност, документална сигурност, индустриална сигурност, персонална сигурност и сигурност на информационните системи и мрежи.

В този смисъл съвсем разбираем е стремежът за създаване на стандарти за информационна сигурност, които да въведат основни понятия и изисквания за сертифициране по тях. Първият стандарт в тази насока е публикуван през 1983 г. от “Министерство на отбраната” на САЩ. Неговото име е “Критерии за оценка на доверени компютърни системи”, но получава по- полярното си название “Оранжева Книга”, заради цвета на обложката на стандарта. Години по-късно, “Британски Институт за Стандарти”(BSI[2]), публикува своя пръв стандарт в тази област – BS 7799. В началото стандартът е бил недостатъчно гъвкав, но след като бива доразвит, чрез сътрудничеството на редица световно известни компании, успява да се утвърди и получава съответното признание. В него информацията се определя като актив, който трябва да бъде управляван и предпазван от вътрешни и външни заплахи. BS 7799 осигурява стратегическа и тактическа насока за оценяване, измерване и предотвратяване на заплахите чрез управление на риска.

За първи път е публикуван през 1995 година като система от правила за информационна сигурност. Първата част на стандарта е ревизирана през 1998 година, а през 2000 година се публикува от съвместният технически комитет, между ISO[3] и IEC[4], като ISO/IEC 17799 - "Практически кодекс по управление на информацията". По- късно, през 2005 година, тази част стандарта се преномерира на ISO/IEC 27002, като изцяло запазва оригиналното си съдържание.

Втората част на BS 7799 е публикувана през 1999 година под заглавието "Системи за управление на информационната сигурност – спецификация и насоки за приложение".  През 2002 е ревизирана, а през месец ноември 2005 година е одобрена и публикуван като ISO/IEC 27001. Стандартът е проектиран за пълна съвместимост с други популярни стандарти, като ISO 9001[5] и ISO 14001[6],  които често се прилагат в повечето авторитетни компании. В основата си той представлява модел, чрез който да се въведе, наблюдава, ревизира и подобрява “система за управление на информационната сигурност” (СУИС) в организациите. Тук ролята на стандарта ISO/IEC 27002 е да се използва като практически кодекс по управление на информацията, даващ информация за “добрите практики” и насоки за развитие в областта на информационната сигурност.

Информацията е актив за всяка организация и е необходимо да бъде подходящо защитена. Тя може да бъде създавана, съхранена, преработена, предадена, използвана (правилно или не), унищожена, повредена или изгубена. Може да се съхранява на различни носители под различна форма – хартия, дискети, “твърди дискове”, видео, звук и т.н.. За да се защити информацията е необходимо да се осигури нейната конфиденциалност, интегритет и достъпност чрез комплекс от контролни средства. Под конфиденциалност се разбира уверението, че само упълномощени лица имат достъп до информацията.

Интегритета е уверението, че по време на съхранението, развитието и предаването информацията не е повредена или модифицирана без разрешение, както и че информацията е запазена вярна и пълна в продължение на целия процес. Достъпността се изразява в осигуряване на достъп до информацията за упълномощени лица, когато те я изискват. Осигуряването на защитата на информацията се осъществява чрез система за управление на информационната сигурност в организацията. По своята същност СУИС е част от цялостната система за управление в организацията, основава се на подхода за оценка на риска и има за цел да установява, прилага, оперира, наблюдава, преглежда, поддържа и подобрява информационната сигурност.

Изграждането на СУИС изисква ангажирането на допълнителни финансови и човешки ресурси, но нейното създаване води до следните преимущества за организацията:

-         защита на информационните активи чрез стабилно управление на риска

-         в случай на извънредни ситуации осигуряване на непрекъснатостта на бизнеса и защитата от загуба на информация

-         формиране на надеждни политики за защита

-  намаляване на броя на инцидентите свързани с информационната сигурност

-         повишаване доверието на клиентите и партньорите на организацията

-         отговаряне на сертификационни изисквания

Непрестанно нарастващият интерес към областта на информационните технологии и информационната сигурност от страна на големите бизнес организации и научните институти в света са причината много млади специалисти да насочат своите усилия за развитие и реализация в тази област.

Обект на разглеждане са стандартите за информационна сигурност, различните рискове[7] и заплахи[8] в АИС и мрежи, СУИС и защита на информацията, които са необходими на специалистите работещи в тази динамично развиваща се област.

Предмет на дипломната работа e процеса на документиране разработването на  политика за информационна сигурност и внедряване на СУИС във фирма “Ай Би Ес България” ООД.

В първа глава на настоящата дипломна работа ще се направи обзор на стандартa ISO/IEC 27001 – структура, съдържание, създаване и управление на СУИС, поддръжането и подобряването на системата, изисквания към документацията, отговорности на ръководството, вътрешни одити на СУИС, групиране на цели и средства на контролите и други. Ще се покажат световните тенденции в развитието и реализацията на стандарта по информационна сигурност.

Във втора глава ще се разгледат въпросите свързани с изследването, разкриването и предотвратяването на рискове свързани със сигурността на автоматизирани информационни системи (АИС) и мрежи, като се разгледа подробно етапите, през които минава една организация кандидатстваща за сертификат по информационна сигурност.

В трета глава ще се опише процеса на документиране, разработване на политика за информационна сигурност и внедряването на СУИС в компания „Ай Би Ес България” ООД, и необходимата последователност при подготовка на документите за сертификация по стандарт ISO/IEC 27001.

 

 


I ГЛАВА

Преглед на стандарта ISO/IEC 27001

 

1. Структура и съдържание на стандарта

Системата за управление на информационната сигурност има за цел да гарантира конфиденциалността и интегритета на информационните активи на Организацията-внедрител, да управляват надеждния достъп до тях и да оптимизират използваните ресурси по съхраняването им. Изискванията поставени в стандарта са проектирани за съвместимост със всички видове организации. Стандартът съдържа 8 глави, като приложението на последните четири, е абсолютно задължително и пропуск на една от тях води до пълно несъответствие с него.

Структурата на стандарта е следната:

  1. Въведение
  2. Обхват
  3. Нормативни справки
  4. Термини и дефиниции
  5. СУИС
  6. Отговорности на ръководството
  7. Вътрешен одит на СУИС
  8. Преглед на СУИС от страна на ръководството
  9. Усъвършенстване на СУИС

 

2. Обхват и приложение

Този международен стандарт е приложим за всички видове организации без значение размера, дейността или същността им. Изискванията поставени в него са абсолютно задължителни, а изключването на някои от контролите е възможно единствено след доказване на неприложимост или липса на вредно влияние върху СУИС, като рискът от изключването им остава в допустимите граници на приемливост.

Основно положение, описано във въведението на стандарта, е потребността от отговорност, като се подчертава, че възприемането на СУИС трябва да бъде стратегическо решение на организацията.

 

3. Управление на системата за информационна сигурност

За успешната реализация на стандарта, всички процеси в него се изпълняват чрез прилагането на Plan-Do-Check-Act”(Планиране-Изпълнение-Проверка-Действие) модела, познат още като цикъл на Деминг.



[1] информационна сигурност – защитеност на информационните инфраструктури и ресурси на организацията, проф.Цветан Семерджиев, “Управление на информационната сигурност”

[2] BSI – British Standards Institution

[3] ISO – International Organization for Standardization

[4] IEC – International Electrotechnical Commission

[5] ISO 9001 - стандарт за “Системи за управление на качеството”

6 ISO 14001 - стандарт за “Системи за управление на околната среда”

 

[7] риск – комбинация от вероятността за настъпване на нежелано събитие и неговите последици (възможни щети или нанесени загуби), проф.Цветан Семерджиев, “Управление на информационната сигурност”

[8] заплаха – потенциална причина за нежелан инцидент, който може да навреди на организацията, проф.Цветан Семерджиев, “Управление на информационната сигурност”

it1

Този модел включва следните етапи: Планиране (създаване на СУИС) -създаване на политика, цели, процеси и процедури на СУИС във връзка с управлението на риска и подобряването на сигурността на информацията за постигане на резултати в съответствие с общата политика и цели на организацията; Изпълнение (внедряване и функциониране на СУИС) -

внедряване и функциониране на политиката, механизмите за контрол, процесите и процедурите на СУИС; Проверка (наблюдение и преглед на СУИС) -

оценяване и, където е приложимо, измерване на изпълнението на процесите спрямо политиката по сигурността, целите и практическия опит, и докладване на резултатите на ръководството за преглед; Действие (поддържане и подобряване на СУИС) - предприемане на коригиращи и превантивни действия, основани на вътрешен одит на СУИС и прегледа от ръководството или друга свързана с въпроса информация, за да се постигне непрекъснато подобряване на СУИС.

От видяното до този момент, еднозначно се разбира, че това е един непрекъснат цикъл, в който съществува обратна връзка между процесите му и е основан на фундаменталния принцип за постоянно усъвършенстване. Върху PDCA модела са основани и стандартите за контрол на качеството(ISO 9001) и управление на околната среда(ISO 14001), което е предпоставка за добрата координация по съвместната им имплементация с ISO/IEC 27001.

 

4. Изисквания за създаване и управление на СУИС

Относно създаването и управлението на СУИС от организациите се изисква следното:

-         да се определи обхвата и границите на СУИС (дейности, локации, активи)

-         да се определи политиката за информационна сигурност, която трябва да съответства на дейността на организацията, да определя рамка за постигане на цели и да определи главната посока и принципи за действие на информационната сигурност, да вземе под внимание бизнес, правните и регулаторни изисквания, да установи критерии за оценка на рисковете и задължително да бъде утвърдена от ръководството на организацията

-         да се определи методика за оценка на риска

-         да се определи риска – съставяне на списък на всички активи, които са включени в обхвата на СУИС, за всеки актив се определят възможните заплахи, независимо от съществуващите контроли, да се определи уязвимостта, да се определят потенциалните загуби в случай на пробив

-         да се оцени риска – да се определят последиците за бизнеса при пробив в сигурността, като се вземат в предвид последствията от загуба на конфиденциалност, интегритет или достъпност на информацията. Оценяване на нивото на риска (висок, умерен, нисък или по друг подходящ метод), оценка за приемлив риск;

-         да се посочат и оценят възможностите за намаляване на риска – чрез избор на контроли; приемане на риска в допустими граници или прехвърлянето му към трети страни(застрахователи, доставчици и т.н.).

-         да се посочат целите на контролите и самите контроли за манипулация на риска – тук се избира списък с контроли от Анекс А.

-         ръководството трябва да даде съгласието си за остатъчните рискове при създаване и управление на СУИС

-         ръководството трябва да даде съгласието за имплементиране и въвеждане в действие на СУИС

-         да се изготви доклад за приложимост – избраните и изключените контроли и тяхното управление трябва да бъдат документирани

За правилното и ефективно функциониране на СУИС организацията трябва да планира дейности за управление на риска, да внедрява плана за управление на риска, да внедри механизми за контрол, да провежда обучение на персонала, да управлява ресурсите и да внедри процедури за критични ситуации. Тук се указва задължението на организацията при чести инциденти да се осъществяват плановете за продължаване на дейността. Плановете се тестват и ревизират периодично.

Организацията трябва да наблюдава СУИС чрез:

-         наблюдение на дейностите, включително откриване на грешки и инциденти, според ефективността на внедрените мерки

-         преглед на ефективността на СУИС, като се взимат в предвид резултатите от проведените одити.

-         преглед на избраните контроли с цел да се определи дали изискванията по сигурността са спазени

-         преглед на рисковете и нивото на остатъчен риск при промени в организацията, технологиите, бизнес целите, заплахи и външни събития

-         плануване и провеждане на регулярни вътрешни одити

-         регулярен преглед на СУИС от ръководството, за да се гарантира, че приетите мерки са адекватни и отговарят на изискванията за информационна сигурност

-         съхранение на действията и събитията, които биха имали въздействие върху ефективността или действието на СУИС.

Организацията трябва да внедрява подобрения, основаващи се на коригиращи и превантивни действия, свързани със сигурността, добити от опита на самата нея или други подобни организации.

Документацията на СУИС трябва да включва записи на всички управленски решения, за да се гарантира правилното проследяване в хронологичната им последователност. От съществена важност е да се покаже ефективността на имплементираните контроли, връзката им с оценката на риска и процеса по обработка на риска.

Основни изисквания към документацията на СУИС са:

-         политика и цели по сигурността

-         обхват на СУИС и документиране на процедурите изисквани от стандарта

-         доклад от оценка на риска

-         план за управление на риска

-         документация изисквана от самата организация за осигуряване на ефективно планиране, управление и контрол на процесите, касаещи информационната сигурност

-         записи изисквани от стандарта

-         доклад за приложимост

Важно е да се уточни, че изискваните документи могат да бъдат различни по обем и сложност за различните организации и могат да бъдат съхранявани на всякакъв тип медии. Контролът на документите изисква те да бъдат одобрявани преди издаване, при необходимост да се актуализират, да се следи за промените и версиите, да са четливи, да се осигурява наличност на актуалните версии по местата за ползване и да се предпазват от непреднамерена употреба на стари документи (ако са запазени по някаква причина). От организацията се изисква създаването и поддръжката на записи с цел доказателство за съответствие с изискванията и внедряването и функционирането на СУИС. Тези записи трябва да бъдат четливи, лесни за разпознаване и достъпни. Трябва да се създаде, внедри и поддържа процедура за управление на идентификацията, съхранението, достъпността, периода на съхранение и достъпа до записите за информационна сигурност.

 

5. Отговорности на ръководството

Ръководството на организацията трябва да предостави доказателства за своята ангажираност към създаването, внедряването, прегледа, поддръжката и подобрението на СУИС чрез:

-         дефиниране на политика и цели за сигурност;

-         осигуряване на плановете за постигане на целите;

-         определяне на ролите, правата и отговорностите;

-         обявяване на значението от постигане на целите по информационна сигурност;

-         да представят пред организацията значението  на целите за постигане на информационна сигурност и политиките за поддържането й;

-         осигуряване на ресурси;

-         определяне нивото на приемливия риск за организацията (праг на риска);

-         да гарантира изпълнението на регулярните вътрешни одити.

Ръководството следва да определи и осигури необходимите ресурси за създаване, внедряване, прегледа, поддръжка и подобряване на СУИС. Организацията трябва да е уверена, че персонала, на който са преписани отговорности, определени в СУИС, е способен да изпълнява поставените му задачи, притежавайки необходимата компетентност. Организацията трябва да осигуряване обучения за  персонала, както и да оценява ефективността на предприетите от него действия. Необходимо е да се поддържа запис с обученията, образованието, уменията и опита на човешките ресурси.

Всички записи, свързани с обучения, придобиване на умения и опит трябва да бъдат налични при проверка на СУИС.

 

6. Вътрешноорганизационен  одит на СУИС

Организацията е длъжна да води регулярни вътрешни одити, с цел да се установи дали контролите, целите, процесите и процедурите на нейната СУИС:

-  отговарят на изискванията на стандарта;

-  отговарят на определените изискванията за информационна сигурност;

-  се прилагат и поддържат ефективно;

-  покриват очакванията.

Програмата на одита трябва да бъде планувана съобразно резултатите от предишни одити. Вътрешните одитори трябва да демонстрират обективност и безпристрастност към процеса. Процедурата по плануване и изпълнение на тези одити, трябва да бъде документирана. Ръководството, към което принадлежи областта, представляваща обект на одита, трябва да гарантира, че всички действия по елиминирането на открити несъответствия, както и причините за тях, се отстраняват в подходящите за това срокове.

 

7. Преглед на СУИС

Прегледът се извършва от ръководството на планирани интервали от време за да се оцени пригодността, адекватността и ефективността на системата, възможностите за подобрения и нуждата за промяна на системата, включително политиката и целите. Прегледът се извършва поне веднъж годишно, като резултатите от него се документират. Входните данни включват:

-         резултати от одити

-         обратна връзка с контрагенти и заинтересовани лица

-         представянето на процеси свързани със сигурността

-         състоянието на коригиращите и превантивните действия

-         неадекватно оценени заплахи, рискове и уязвимости

-         проверка на резултатите по решенията от предишни прегледи

-         промени, които могат да влияят върху СУИС

-         препоръки за подобрение

Като резултат от прегледа на ръководството са решения или действия целящи:

-         подобряване на ефективността на СУИС

-         модификация на процедурите, които имат значение за информационната сигурност, включително промени на бизнес изисквания, изисквания по сигурността, правна или регулаторна рамка, нива на риск и/или нива на приемане на риск;

-         осигуряване на ресурси;

-         подобрения към метода за оценяване на ефективността на контролите.

 

8. Подобряването на ефективността на СУИС

За целта се използват анализи на наблюдаваните събития, коригиращите действия, превантивните действия, прегледа на ръководството, политиката и целите на сигурността. Действията, определени с цел елиминиране на причините за потенциални несъответствия се наричат превантивни действия. Те трябва да бъдат адекватни на степента на въздействие на потенциалните заплахи. В процедура е необходимо да се дефинират изискванията за:

-         определяне на потенциалните несъответствия и причините за тях

-         оценяване на необходимостта от превантивни действия

-         определяне и внедряване на необходимите действия

-         документиране на резултатите от предприетите действия

-         преглед на действията

 

9. Приложения към стандарта

Стандартът включва в себе си следните анекси:

-         Анекс А[1] (задължителен) – отразява целите на контролите и контролните средства избрани за включване в СУИС;

-         Анекс В[2] (информационен) – OECD[3] принципи заложени в стандарта;

-         Анекс С[4] (информационен) – отразява корелацията между ISO/IEC 27001, стандартите ISO/IEC 9001 и ISO/IEC 14001. Този анекс ще бъде умишлено пропуснат, тъй като е извън обхвата на настоящата дипломна работа.

 

Съгласно Анекс А на стандарта целите и средствата на контрола са групирани в единадесет точки:

Име

А.5 Политика за сигурност
А.6 Организационна сигурност
А.7 Класификация  и контрол на активите
А.8 Сигурност на персонала
А.9 Физическа сигурност и сигурност на средата
А.10 Управление на комуникациите и операциите
А.11 Контрол на достъпа
А.12 Развой и поддръжка на системата
А.13 Управление на инциденти
А.14 Непрекъснатост на бизнеса
А.15 Съответствия

Цели на контрола

А.5 Политика за сигурност

Наименование

Цел на контрола

А.5.1 Политика за информационна сигурност Да осигури посока на управление и подкрепа за информационната сигурност

Средства за контрол

А.5.1.1 Запис за политиката за информационна сигурност

Политиката трябва да включва:

а) определение за информационна сигурност

b) Задължения на управлението

c) Идентификации на съответствията

d) Общо определяне на отговорностите

e) Препратки към други документиА.5.1.2Преглед и оценка

Организацията трябва да преразглежда политиката на планирани интервали, с цел да оцени нейната ефективност по отношение на инцидентите в сигурността, влиянието върху бизнеса и промените в технологията.

 

 

А.6 Организационна сигурност

Наименование

Цел на контрола

А.6.1 Организационна сигурност Да управлява информационната сигурност в организацията

Средства за контрол

А.6.1.1 Форум по информационна сигурност

а) Преглежда и одобрява на политиките за сигурност

b) Наблюдава промените в заплахите за сигурността

с) Наблюдава инцидентите и пробиви в сигурността

d) Одобрява базисните мерки за сигурностА.6.1.2Координиране на информационната сигурност

Когато е необходимо, големите организации трябва да установят форум за сигурност, съставен от представители от цялата организация. Този форум ще координира внедряването на средствата за контрол на сигурността в цялата организация.А.6.1.3Разпределяне на отговорностите за информационната сигурност

Отговорностите и правомощията на персонала, който се занимава с подсигуряване на активите, трябва да са дефинирани Това включва номиниране на офицер по сигурността и идентифициране на притежателите на подсигурявани активи.А.6.1.4Процес на оторизация за средствата, обработващи информация

Мениджмънта трябва да одобри нови единици за обработка на информациятаА.6.1.5Съвет от специалист по информационна сигурност

Трябва да се изисква съвет за ИС/15 от вътрешен или външен специалист.А.6.1.6Коопериране между организациите

Организациите трябва да поддържат подходящи контакти с външни страни Външни страни са: изпълнителна власт, регулаторни органи, доставчици на информационни услуги и Телеком оператори Такива контакти трябва да бъдат потърсени за съдействие в случай на инцидент в сигурносттаА.6.1.7Независим преглед на информационната сигурност

Организацията трябва да преглежда внедряването на системата за информационна сигурност безпристрастно Този преглед може да бъде направен от вътрешни и/или външни независими одитори.

 

Наименование

Цел на контрола

А.6.2 Сигурност на достъп на външни лица Да поддържа сигурността на средствата за обработка на информация и информационните активи, които са достъпни на външни страни.

Средства за контрол

А.6.2.1 Определяне на рисковете при достъп на външни страни

Организациите трябва да определят рисковете за техните активи, които са достъпни за външни страниА.6.2.2Договори за изискванията за сигурност с външни страни

Достъпът на външни страни до средствата на организацията трябва да бъде уточнен във формален договор, описващ изискванията за сигурност.

 

А.7 Класификация и контрол на активите

Наименование Цел на контрола
А.7.1 Отговорност за активите Да поддържа подходяща защита на активите на организацията

Средства за контрол

А.7.1.1 Опис на активите

Организациите трябва да установят и поддържат опис на всички важни активи.А.7.1.2Притежание на активите

Всички информационни активи асоциирани с обработката на информация трябва да имат ясно дефиниран „собственик” в организацията.А.7.1.3Допустимо използване на активи

Правилата за приемливо ползване на информацията и активите асоциирани с обработката и трябва да са идентифицирани, документирани и имплементирани.

 

Наименование Цел на контрола
А.7.2 Класификация на информацията Да се обезпечи получаването на подходящо ниво на защита за активите

Средства за контрол

А.7.2.1 Насоки за класификация

Класификацията на информационната сигурност трябва да взема по внимание бизнес нуждите и влиянието върху бизнеса.А.7.2.2Класификация и боравене с информацията

Трябва да се установят процедури за дефиниране на идентификация и боравенето с информация, във връзка с нейното класифициране.

А.8 Сигурност на персонала

Наименование

Цел на контрола

А.8.1 Правила и контроли към кандидатите преди наемане Да се гарантира, че кандидатите са добре запознати с техните бъдещи отговорности, да се намали вероятноста от измама и кражба, да се гарантира, че кандидатите са подходящи за длъжността.

Средства за контрол

А.8.1.1 Описание на ролите и отговорностите в длъжностните характеристики

Ролите, правата и отговорностите, свързани със сигурността, трябва да са описани в длъжностните характеристики.А.8.1.2Политика и щателна проверка на персонала

При кандидатстване за работа трябва да се правят проверки за сигурност на кандидатите. Проверките включват - задоволителни препоръки - достоверност на автобиографията - проверка на самоличносттаА.8.1.3Срокове и условия за наемане

При започване на работа всички служители трябва да подпишат договор съдържащ условията на наемане, в които да се  опише организационната декларацията за информационна сигурност.

 

 

Наименование

Цел на контрола

А.8.2 Правила и контроли към служителите на организацията Да се гарантира, че всички настоящи служители и партньори са запознати със заплахите в информационната сигурност.

Средства за контрол

А.8.2.1 Отговорност на ръководството

Ръководството трябва да изисква от всички служители и партньори да прилагат мерките за сигурност в съответствие с установените политики и процедури на организацията.А.8.2.2Обучение по информационна сигурност

Всички служители и партньори трябва да са обучени за политиките и процедурите на компанията, касаещи информационната сигурност в тяхната пряка работа.А.8.2.3Дисциплинарен процес

Трябва да има ясно дефиниран десциплинарен процес за служителите извършили нарушение в сигурността.

Наименование Цел на контрола
А.8.3 Правила при напускане на работа Да се гарантира, че служителите напускат организацията по определен ред.

Средства за контрол

А.8.3.1 Отговорностите при прекратяване на работа

Отговорностите по прекратяване на договора трябва да са изяснени за всички страни.А.8.3.2Връщане на активи

Всички служители на организацията са длъжни да възтановят активите, които са им били предоставени от организацията по време на работа.А.8.3.3Изтриване на правата за достъп

Всички права за достъп на служител, който напуска работа е нужно да бъдат преустановени.

 

 

А.9 Физическа сигурност на работната среда

Наименование

Цел на контрола

А.9.1 Зони на сигурност Да се защитят от неоторизиран достъп, щети и вмешателство всички чувствителни зони (работни помещения) и намиращата се там информация.

Средства за контрол

А.9.1.1

Периметър на физическата сигурност

Трябва да се определят зони за сигурност с ограничен достъп.А.9.1.2

Контрол на физическия достъп

Трябва да са прилагат контроли за физически достъп, за да се гарантира, че единствено служителите имат достъп до зоните за сигурност.А.9.1.3

Сигурност на работните помещения

Трябва да е налице контрол на достъпа до работните помещения.А.9.1.4

Защита срещу външни заплахи

Да се предвиди защита срещу земетресения, наводнение, пожар и вандализъм.А.9.1.5

Работа в защитени зони

Защитените зони трябва да са физически защитени и да се осигурят правила за контрола на достъпа.А.9.1.6Публичен достъп, зони за доставки и зареждане

Зоните за публичен достъп трябва да са наблюдавани и изолирани от работните помещения.

Наименование

Цел на контрола

А.9.2 Сигурност на оборудването Работните дейности да се предпазят от загуби, щети, нарушаване и прекъсване.

Средства за контрол

А.9.2.1 Разположение и защита на оборудването

Оборудването трябва да бъде защитено от повреди, неблагоприятна околна среда, кражба и неоторизиран достъп.А.9.2.2Енергийно захранване

Организацията трябва да осигури непрекъснато захранване на оборудването.А.9.2.3Сигурност на кабелите

Организацията трябва да осигури подходяща защита на кабелите, през които преминава информация.А.9.2.4Поддръжка на оборудването

Оборудването трябва да се поддържа постоянно, за да се осигури неговата наличност и безотказност.А.9.2.5Сигурност на оборудването извън помещенията

Когато оборудването се използва извън организацията, се изисква прилагането на средства за защита за неговата сигурност.А.9.2.6Сигурност при преместване или повторна употреба на оборудването

Организацията трябва да осигури пълното изтриване на информацията при преместване или бракуване на оборудването.А.9.2.7Изнасяне на активи от организацията

Оборудване, информация или софтуер не трябва да напускат пределите на компанията без изричното позволение за това.

 

 

А.10 Управление на комуникациите и операциите

Наименование

Цел на контрола

А.10.1 Оперативни процедури и отговорности Да се осигури правилна и сигурна работа на средствата за обработка на информация.

Средства за контрол

А.10.1.1 Документирани работни процедури

Организацията трябва да осигури, че всички процедури свързани с обработката на информацията са документирани.А.10.1.2Контрол на промените

Промените в работните помещения и системи трябва да бъдат контролирани.А.10.1.3Разделяне на задълженията

Организацията да осигури дефиниране на отговорностите и задълженията, с цел защита от инциденти, свързани с препокриване на отговорности.А.10.1.4Разделяне на оперативните и развойни средства

Създаването на софтуер и софтуерът в експлоатация трябва да са разделени и трансфера от „развой” към „работа” трябва да се документира.

Наименование

Цел на контрола

А.10.2 Мениджмънт на услуги предоставяни от външни компании Да се минимизира риска от срив на системата

Средства на контрол

А.10.2.1 Доставка на услуги

Бъдещото разширяване в условията за обработка и съхраняване следва да се планират ефективно.А.10.2.2Преглед и мониторинг на услугите

Организацията трябва осигури установяването и адекватното тестване на критериите за приемане на нови системи.А.10.2.3Контрол на промените по услуги

Промени по доставката на услуги, включително приложение и усъвършенстване на съществуващите политики по информационна сигурност трябва да бъдат контролирани.

 

Наименование

Цел на контрола

А.10.3 Планиране и установяване на системата Да се минимизира риска от срив на системата

Средства на контрол

А.10.3.1 Планиране на капацитета

Бъдещото разширяване в условията за обработка и съхраняване следва да се планират ефективно.А.10.3.2Установяване на системата

Организацията трябва осигури установяването и адекватното тестване на критериите за приемане на нови системи.

Наименование

Цел на контрола

А.10.4 Защита от недоброжелателен софтуер Да се защити целостта на софтуера и информацията.

Средства за контрол

А.10.4.1 Средства за контрол срещу зловреден код

Процедура трябва да засяга мерките за защита срещу недоброжелателен софтуер (вируси, червеи, троянски коне).А.10.4.2Средства за контрол срещу мобилен код

Там където използването на мобилен код е позволено, трябва да се осигури неговото опериране спрямо политиките за сигурност.

Наименование

Цел на контрола

А.10.5 Бекъпи Да поддържа целостта и достъпността на информацията.

Средства за контрол

А.10.5.1

Бекъпи на информацията

Софтуерни бекъпи трябва да се правят и тестват на регулярни интервали в съгласие с политиката по бекъпите на организацията.

Наименование

Цел на контрола

А.10.6 Управление на мрежовата сигурност Да осигури защита на информацията в мрежите и защита на поддържащата инфраструктура.

Средства за контрол

А.10.6.1 Контрол на мрежата

Сигурността на мрежите трябва да бъде контролирана, включително и поддържащото оборудване.А.10.6.2Сигурност на мрежовите услуги

Възможностите на мрежовата сигурност, нивата на услугите и изискванията на ръководството трябва да бъдат идентифицирани и включени във всички споразумения за мрежови услуги, без значение дали услугата е аутсорсната или се предоставя от служители на организацията.

Наименование

Цел на контрола

А.10.7 Боравене с носители на информация Да се предпазят от щети активите и прекъсване на работните дейности

Средства за контрол

А.10.7.1

Управление на преносими информационни носители

Трябва да се установят средства за контрол и управление на премахването и преместването на носители (дискове, USB Flash).А.10.7.2Бракуване на носители

Всички информационни носите трябва да бъдат унищожени по начин гарантиращ, че информацията на тях не може да бъде възтановена. Трябва да се използват съответните процедури за този процес.А.10.7.3

Процедури за боравене с информация

Трябва да се установят и поддържат процедури за боравене, съхранение и разпространение на информация, които да са защитени от нерегламентиран достъп.А.10.7.4Сигурност на системната документация

Системната документация трябва да бъде пазена от неоторизиран достъп.

 

Наименование

Цел на контрола

А.10.8 Обмен на информация и софтуер Да се предпази от загуба, промяна или неправилно използване на информацията, която се обменя между организациите

Средства за контрол

А.10.8.1 Договорености за обмен на информация и софтуер Информацията и софтуерът трябва да се движат между организациите при контролирани условия. Тези условия трябва да са включени в специални договори
А.10.8.2

Сигурност при електронната търговия

Носителите в движение и електронната търговия трябва да са защитени от неразрешен достъп. Някои от средствата за контрол може да са използването на одобрени куриери и специална автентификация.А.10.8.3Сигурност на носителите по време на транспортиране (CD, DVD, USB memory ...etc.)

Информационните носители трябва да бъдат пазени от неоторизиран достъп и унищожаване по време на транспортиране извън пределите на организацията.А.10.8.4

Сигурност на електронните съобщения

Информацията предавана чрез електронни съобщения трябва да бъде предпазена по подходящ начин.А. 10.8.5Сигурност на бизнес информационните системи

Трябва да се установят политика и процедури, които да обезпечат сигурността бизнес информационните системи от измами и повреждане на информация.

Наименование

Цел на контрола

А.10.9 Електронна търговия Да осигури сигурността на услугите по електронна търговия и тяхното използване

Средства за контрол

А.10.9.1 Електронна търговия

Информацията, която се предава през публични мрежи трябва да бъде защитена от измами, прихващане, разкриване и промени.А.10.9.2On-line транзакции

Информацията използвана в on-line транзакциите трябва да бъде защитена от загуба, разкриване, копиране, промяна и грешки в пренасянето.А.10.9.3Публична информация

Трябва да се установят политика и процедури, които да гарантират, че обществено достъпната информация е защитена от неразрешени промени.

 

А.11 Контрол на достъпа

Наименование

Цел на контрола

А.11.1 Работни изисквания за контрол на достъпа Да се контролира достъпа до информацията

Средства за контрол

А.11.1.1 Политика за контрол на достъпа

Организацията трябва да обезпечи документирането и контролирането на достъпа на всички според възприетата политика.

Наименование

Цел на контрола

А.11.2 Управление на достъпа от потребител Да се предпазят информационните системи от неразрешен достъп

Средства за контрол

А.11.2.1 Регистрация на потребител

Трябва да се установи процес на формална регистрация на потребителите на системата.А.11.2.2Управление на привилегиите

Привилегированият достъп до информация трябва да е ограничен и контролиран.А.11.2.3Управление на паролите на потребителите

Определянето на пароли трябва да се контролира.А.11.2.4Преглед на правата на достъп на потребителите Организацията трябва да прави периодичен преглед на правата за достъп на потребителите.

Наименование

Цел на контрола

А.11.3 Отговорност на потребителя Защита от неразрешен достъп

Средства за контрол

А.11.3.1 Използване на пароли

Потребителите трябва да следват строги правила при избора и използването на парола.А.11.3.2Оборудване без наблюдение

Потребителите трябва да са уверени, че техниката, която е оставена без наблюдение е подходящо защитена.А.11.3.3Политика по „Чисто бюро” и „Чист екран”

Политиката по чисто бюро и чист екран трябва да бъдат приведени в действие.

 

Наименование

Цел на контрола

А.11.4 Контрол на достъпа до мрежа Защита на мрежовите услуги

Средства за контрол

А.11.4.1 Политика по използване на мрежовите услуги

Потребителите трябва да имат достъп само до услугите, от които имат нужда. Всички останали услуги трябва да бъдат забранени.А.11.4.2Удостоверяване на отдалечени потребители

Външният достъп трябва да се удостоверява.А.11.4.3Идентификация на мрежовото оборудване

Трабва да се установи автоматична идентификация на отдалечените устроиства и оборудване.А.11.4.4Дистанционна диагностика и диагностичен порт

Достъпът до портовете за диагностика трябва да е защитен.А.11.4.5Изолиране на мрежите

Мрежи, които нямат връзка, трябва да се изолират.А.11.4.6Контрол на мрежовата свързаност

Връзката на потребителите към мрежата трябва да се контролира според определените правила в А.9.1.1.А.11.4.7Контрол на мрежовите пътища

Трябва да се гарантира, че информационните потоци не представляват заплаха за политиката по контрол на достъпа до бизнес приложенията.

Наименование

Цел на контрола

А.11.5 Контрол на достъпа до операционните системи Защита от неоторизиран достъп до компютри

Средства за контрол

А.11.5.1 Процедура за установяване на сигурна  потребителска сесия

Трябва да се прилага защита при процеса на установяване на достъп до информация.А.11.5.2Идентификация на потребители

Потребителите трябва да имат уникален идентификационен код.А.11.5.3Система за управление на паролите

Системата за управление на паролите трябва да гарантира, че паролите са ефективни.А.11.5.4Използване на системните продукти

Системните програмни продукти трябва да се контролират стриктно (инсталационни дискове и др.).А.11.5.5Прекратяване на потребителска сесия (Log Off)

Терминалите с висока степен на защита трябва автоматично да се изключват след определен период на не използване.А.11.5.6Ограничаване продължителността на сесиите

Времето за връзка към системите с висока степен на защита трябва да е ограничено.

Наименование Цел на контрола
А.11.6 Контрол на достъпа до приложения Защита от неоторизиран достъп до информацията, съдържаща се в информационните системи

Средства за контрол

А.11.6.1 Рестрикция на достъпа до информация

Достъпът до информационните системи трябва да бъде ограничен според определените правила в А.9.1.1.А.11.6.2Изолиране на чувствителни (уязвими) системи

Системите с висока уязвимост трябва да имат тяхна собствена, изолирана компютърна физическа среда.

Наименование

Цел на контрола

А.11.7 Мобилни компютри и комуникации Да се обезпечи информационната сигурност при използването на мобилни компютри и средства за телекомуникация.

Средства за контрол

А.11.7.1 Работа с мобилни компютри

Ясни правила и средства за контрол трябва да осигурят сигурността на информацията в дейностите с мобилни компютри.А.11.7.2Телекомуникации

Дефинирани правила и процедури трябва да контролират телекомуникационните дейности.

А.12 Развитие и поддръжка на информационните системи

Наименование

Цел на контрола

А.12.1 Изисквания за сигурност на системите Да се обезпечи вграждането на сигурността в информационните системи

Средства за контрол

А.12.1 Анализи и спецификация на изискванията за сигурност

Всяка нова система и/или осъвременяване трябва да е съобразено с изискванията за сигурност.

Наименование

Цел на контрола

А.12.2 Изисквания за сигурност на системите Да се предпази от загуба, промяна или неправилно използване потребителската база данни в приложните системи.

Средства за контрол

А.12.2.1 Потвърждаване на входните данни

Верността на въвежданата в системата информация трябва да се потвърждава (валидатори на edit-контроли, пост сейв агенти).А.12.2.2Контрол на вътрешната обработка

Обработените в системата данни трябва да се проверят за вярност.А.12.2.3Достоверност на съобщенията

Легитимацията на съобщенията трябва да обезпечи достоверност, когато това се изисква от съображения за сигурност.А.12.2.4Потвърждаване на изходните данни

Изходящите данни, трябва да се проверят за вярност и точност.

Наименование

Цел на контрола

А.12.3 Криптографски средства за контрол Да се защити конфиденциалността, автентичността и истинността на информацията

Средства за контрол

А.12.3.1 Политика при използването на криптографски средства за контрол

Такава трябва да бъде установена и поддържана.А.12.3.2

Управление на ключовете

Трябва да се установи управление на ключовите, базирано на конкретни процедури, с цел съдействие при избора на криптографски техники.

Наименование

Цел на контрола

А.12.4 Сигурност на системните файлове Да се осигури протичането на 1Т и поддържащите дейности в защитен среда

Средства за контрол

А.12.4.1

Контрол на операционния софтуер

Операционният софтуер, тестовите данни, библиотечните обекти (OBJ, DLL, LIB) трябва да са защитени от неразрешен достъп и промяна.А.12.4.2

Защита на данните за тестове на системата

Тестовата инфорамация трябва да бъде подбрана внимателно и защитавана.А.12.4.3Контрол на достъпа до кода на  програмите

Достъпа до сорс кода на програмите трябва да бъде ограничен.

 

Наименование

Цел на контрола

А.12.5 Сигурност в процесите на развитие и поддръжка Да се поддържа сигурността приложния системен софтуер и приложенията.

Средства за контрол

А.12.5.1 Процедури за контрол при промени

Промените трябва стриктно да се контролират чрез установени процедури.А.12.5.2Технически преглед на промените в операционните системи.

Приложните системи трябва да се преглеждат и тестват след извършване на промени.А.12.5.3Ограничения на промените върху софтуерните пакети

Промените на софтуерните пакети трябва да се контролират стриктно и да се избягват.А.12.5.4Изтичане на информация

Изтичането на информация трябва да бъде предотвратено.А.12.5.5Аутсорсинг на софтуераната разработка

Трябва да се извършва под надзора на организацията.

Наименование

Цел на контрола

А.12.6 Сигурност в процесите на развитие и поддръжка Да се поддържа сигурността приложния системен софтуер и приложенията.

Средства за контрол

А.12.6.1 Контрол на техническите уязвимости

Организацията трябва да разполага с навременна информация относно техническите уязвимости и да изготвя оценка на заплахата, която те представляват.

А.13 Мениджмънт на инцидентите в информационните системи

Наименование

Цели на контрола

А.13.1 Репортинг на събитията по ИС и слабостите в нея Да се противодейства на време на събитията в ИС

Средства за контрол

А.13.1.1 Докладване за събития свързани с ИС

Събитията засягащи информационната сигурност трябва да се докладват по установен във възможно най-кратки срокове.А.13.1.2Докладване при слабости в сигурността

Всички служители и партньори са длъжни да докладват при забелязан или подозиран проблем със сигурността на системите или услугите.

Наименование

Цели на контрола

А.13.2 Мениджмънт на информационната сигурност и подобрения Да се гарантира, че се прилага един адекватен подход към инцидентите в ИС.

Средства за контрол

А.13.2.1 Отговорност и процедури

Отговорностт на ръководството и процедури по ИС трябва да бъдат установени за да се осигури бърза и ефективна реакция по време на инциденти.А.13.2.2Поуки от инцидентите свързани с ИС

Инцидентите свързани с ИС трябва да бъдат наблюдавани с цел предотвратяването на повторната им поява.А.13.2.3Събиране на доказателства

Когато последващите действия срещу лице/организация с отношение в ИС включват правно изясняване на ситуацията, трябва да бъдат събирани и представени доказателства.

 

А.14 Осигуряване на непрекъснатост на бизнеса

Наименование

Цели на контрола

А.14.1 Аспекти на управлението на бизнес дейностите Да се противодейства на прекъсванията на работните дейности и да се защитават критичните работни процеси от ефектите на глобални сривове или бедствия.

Средства за контрол

А.14.1.1 Процеси на управлението на бизнес дейността

Трябва да се установят такива процеси, за да се осигури непрекъсваемост на работните дейности.А.14.1.2Анализ на бизнес дейността

Трябва да се прилага изчерпателен процес на управление на риска върху процесите оказващи влияние бизнес дейността.А.14.1.3Изготвяне и внедряване на планове за непрекъсване на бизнес дейността при сривове и аварии

Тези планове трябва да осигуряват поддръжка или своевременно възстановяване на работните дейности.А.14.1.4Рамка на планиране на непрекъсване на бизнес дейността

Плановете трябва да имат единна рамка за улесняване тестването и преглеждането на плановете.А.14.1.5Тестване, поддръжка и преоценка на плановете

Плановете за непрекъснатост на бизнеса трябва да бъдат периодично тествани с цел да се гарантира тяхната адекватност и ефективност.

 

А.15 Съответствие

Наименование

Цел на контрола

А.15.1 Съответствие със законовите изисквания Да се избегне нарушаване на даден наказателен или граждански закон и законово изискване, нормативни или договорни задължения, и други изисквания за сигурност.

Средства за контрол

А.15.1.1 Определяне на приложимото законодателство

Всички приложими законови и регулаторни изисквания трябва да са документирани.А.15.1.2Права на интелектуална собственост

Трябва да се установи процедура, засягаща изискванията за защита на интелектуалната собственост.А.15.1.3Защита на записи Важните записи трябва да бъдат защитени от загуба, повреждане и разкриване (напр. трудови договори).А.15.1.4Защита на данните и конфиденциалност на личната информация

Личната информация трябва да бъде защитена според приложимото доказателство.А.15.1.5Защита от неправилно използване на средствата за обработка на информация

Управлението трябва да контролира използването на тези средствата.А.15.1.6Регулиране на криптографските средства за контрол

Криптографските средства за контрол трябва да се използват според приложимите договорености, закони или наредби (по специално в САЩ).А.15.1.7Събиране на доказателства

В случай на правно или криминално действие срещу личност или организация, доказателствата трябва да се представят според изискванията на съответните закони.

Наименование

Цел на контрола

А.15.2 Преглед за съответствие на правилата за сигурност и техническото обезпечаване Да осигури съответствие на системите с правилата и стандартите за сигурност на организацията.

Средства за контрол

А.15.2.1 Съответствие с политиката за сигурност

Организацията трябва да осигури такова съответствие за всички райони и обекти.А.15.2.2Проверяване на техническото съответствие

Информационните системи трябва да бъдат проверявани за съответствие със стандарти за сигурност.

 

Наименование

Цели на контрола

А.15.3 Обсъждане на одита на системата Да се максимизира ефективността и да се минимизират смущенията на/от процесите за одит на системата

Средства за контрол

А.15.3.1 Средства за контрол при системен одит

Одитите трябва да се планират и приемат, така че да се минимизира нарушаването на работния процесА.15.3.2Защита на инструментите за системен одит

Те трябва да се защитават с цел избягване на неправилно използване или компрометиране.

 

 

 

 

 

АНЕКС B[5]

(информационен)

OECD[6] принципи заложени в стандарта

 

 

OECD принцип

Съответен СУИС процес и PDCA фаза

 

Ангажираност

 

Участниците трябва да са наясно с нуждата от сигурност в информационните системи и мрежи. Трябва да са запознати с възможностите за повишаване на сигурността.

Тази дейност е част от Do фазата.

Отговорност

 

Всички участници са отговорни за сигурност на информационните системи и мрежи.

Тази дейност е част от Do фазата.

Сътрудничество и отзивчивост

 

Участниците трябва да си сътрудничат и да се отзовават навреме, при проява на инциденти свързани със сигурността или тяхното предотвратяване.

Частта от тази дейност, която се отнася до мониторинга се изпълнява в Check фазата. Реакцията на участниците е в Act фазата.

Оценка на риска

 

Участниците трябва да направят оценка на риска.

Тази дейност е част от Plan фазата, а по-нататъшната преоценка на риска е част от Check фазата.

Дизайн и имплементация на сигурността

 

Участниците трябва да възприемат сигурността като основна част от информационните системи и мрежи.

След поствянето на оценка на риска се избират контролите, с които да се въздейства върху него(Plan фаза). Do фазата обхваща имплементацията и реалната употреба на тези контроли.

Мениджмънт на сигурността

 

Участниците трябва да възприемат широко-обхватен подход към мениджмънта на сигурността.

 

 

 

 

 

Мениджмънта на риска представлява процес, който включва в себе си предотвратяването, откриването и реакцията свързани с инцидентите, експлоатацията, прегледа и  одитите на системата. Всички тези аспекти се обхващат от Plan, Do, Check и Act фазите на модела. 

Преоценка на сигурността

 

Участниците са длъжни на преразглеждат и преоценяват сигурността на информационните системи и мрежи, както и да добавят подходящи промени по процедурите и политиката за сигурност.

Преоценката на информационната сигурност е част от Check фазата. Това включва извършването на периодични прегледи с цел да се докаже ефективността на СУИС и да се подобри сигурността като част от Act фазата.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ВТОРА ГЛАВА

План за внедряване на ISO/IEC 27001. Стъпки и процедури по сертифициране на АИС и мрежи.

Процеса по създаване, прилагане и поддържане на Системата за Управлението на Информационната Сигурност, представлява съвкупност от  действия, с определена последователност, които се изпълняват във всеки един етап от жизнения цикъл на системата.  СУИС трябва да се разглежда като безкраен процес, чиито елементи биват усъвършенствани с течение на времето.

Стандарта представлява формална спецификация, включваща общо описание на изискванията, за които одиторите трябва да следят при проверка на дадена организация. Задължителните документи, с които трябва да разполага всяка организация, са изрично регламентирани. Те обикновено се ползват по време на одита, като доказателство за работата и ефективността на СУИС.


[1] Анекс А – От ISO/IEC 27001

[2] Анекс B – От ISO/IEC 27001

[3] OECD – Organization for Economic Co-operation and Development

[4] Анекс C – От ISO/IEC 27001

[5] Анекс B – ISO/IEC 27001:2005

[6] OECD – Organization for Economic Co-operation and Development

it2

Диаграмата по-горе ни показва пълния процес по сертифициране на компания по ISO/IEC 27001. В жълт цвят е обозначена задължителната документация представляваща изходен продукт от предшестващият я процес по планиране или изпълнение на даден вид дейност.

С различен цвят е показан всеки етап от цикъла на Деминг, принадлежащ към даден процес. Ще направим преглед на стъпките от алгоритъма по сертификация.

 

  1. 1.     Начало

Този етап е свързан с взимане на решение от страна на ръководството за внедряване на СУИС в организацията. Ръководството издава заповед за разработване и внедряване на СУИС, като изрично се определят отговорните лица.

 

  1. 2.     Подкрепа от ръководството

Ръководството на организацията трябва активно да поддържа политиката по информационна сигурност, като демонстрира своята ангажираност към процеса на внедряване и развитие на СУИС. В този етап задължително трябва бъдат документирани решенията взети от ръководството, както и да се регламентира процедурата по контрол на документацията.

 

  1. 3.     Определяне обхвата на СУИС

Тази стъпка представлява определянето на обхвата и границите на системата, в зависимост от работата на организацията, нейното географско положение, активи и използваните технологии. Всеки умишлен пропуск на елементи от обхвата на системата трябва да бъде обоснован. В този етап се създават документите по “Политиката на СУСИ” и “Обхват на СУИС”.

 

  1. 4.     Идентификация и категоризиране на активите

Постигането на точен профил и идентификация на риска е трудна и сложна задача. Ето защо правилния подход е прецизно да се определи пълния списък на активите в организацията, които съхраняват, обработват и обменят чувствителна и класифицирана за организацията информация.

Актив на организацията представлява всичко, което прави дейността и успешна и функционална, а това са не само хардуерните устройства и софтуерните пакети, всеки, от които има поставен инвентарен номер, а и всички останали елементи които участват в процесите на обмен и съхранение на чувствителна информация. Тук влизат печатни доклади и отчети, данните, съхранявани в базите данни, дори ценните служители, от които в повечето случаи зависи организацията и тя може сериозно да пострада, ако те преминат на “другата” страна, пенсионират се или се разболеят временно.

Съставянето на списъка на активите се изпълнява от комисия, назначена със заповед на ръководителя на организацията, която да извърши цялостна инвентаризация. В подбора на комисията следва да се има предвид, че отделните лица трябва да притежават редица умения потребни за идентификация на опасностите в организацията, които биха повлияли в някаква степен на активите имащи отношение към информационните масиви намиращи се във всички възможни състояния. На хартиен, хардуерен и оптически носители.

Пълният контрол над значимите активи е важен фактор за успешната дейност на дружеството и основно задължение на всички нива на ръководство. Активите на организацията може да се разглеждат като ценности на дружеството, които задължително трябва да имат гарантирана защита. Не е възможно да бъде разработена и поддържана успешна програма по сигурност, ако не са идентифицирани активите на дружеството. В много случаи идентификацията на активите и определянето на тяхната значимост може да се извърши на високо ниво от ръководството, което спестява скъпоструващи и продължителни процедури на комисии или наети външни организации.

В своята работа комисията отчита всички активи на организацията и ги категоризира по важност и значимост от гледна точка на информационната сигурност. Комисията разглежда внимателно и определя следните групи видове активи:

1.  Информационни ресурси

- бази и файлове с данни;  на твърди и оптически носители

- договори и споразумения;

- системна документация;

- материали за обучение;

-архитектура на системата и достъпност;

- организация на защитите;

2.  Софтуерни активи

3.  Физически активи

- компютърно оборудване;

- средства за телекомуникация и др.;

4.  Услуги

- телекомуникационни;

- системи за осигуряване на жизнеспособността;

- системи за физическа защита;

- електроснабдяване и др.;

5.  Служители и тяхната квалификация и опит

6.  Нематериални ценности

- репутация и обществен имидж на организацията;

 

Комисията изяснява на кои активи може да навреди нарушаването на информационната сигурност. В този случай активът се счита за ценен и това се взема предвид, при анализа на информационните рискове. При детайлизирането на тази процедура следва да се отчита величината на разходите спрямо значимостта на информацията в тези активи и дали разхода покрива тяхната ценност. Въпреки това степента на подробно детайлизиране трябва да съответства.

Характеристиките на активите, които се описват включват следните величини: ценност, чувствителност на актива и налични (съществуващи) защитни мерки.

Инвентаризацията приключва след съставянето на списък с ценните или значими активи на организацията, за които се счита, че имат зависимост от вероятните заплахи свързани с информационната сигурност. Списъкът се преглежда и одобрява от ръководството, след което се предоставя на комисията извършваща оценката и анализа на риска в организацията свързани с информационната сигурност. В списъка, активите се подреждат по значимост и вероятна заплаха, която при  въздействие на актива, би нанесла някаква вреда.

Обичайна практика е описването на активите да се извършва само в обявените от ръководството граници и обхват. При положение, че структурно организацията има и други органи, но не са включени в границите на  обявения обхват и са взаимосвързани в информационната система на организацията, то следва да се определят като „външни” за системата потребители, извън зоната за сигурност на класифицираната информация.

Наличието на конкретни заплахи и уязвимости влияят на изискванията за защита на активите. Външните условия, социалната и юридическата среда, в които организацията осъществява своята дейност, също влияят на активите, на техните свойства и характеристики. Различията в споменатите условия имат съществено значение при работа с външни, международни организации и трансконтиненталното използване на мрежите.

Основавайки се на разпознатите заплахи и уязвимости или техните компилации, може да се оцени риска и да се подберат защитни мерки и механизми с което ще се повиши сигурността на активите. В заключение се оценява остатъчния риск и се определя адекватността на мерките за въздействие на активите.

В процеса на категоризиране на активите в организацията се взема под внимание оценката на критичността или уязвимостта на активите по значимост, участващи в работните процеси. С този акт се определя каква вреда ще понесе организацията в случай на нарушаване на информационната сигурност на активите.

Ценността на активите определяме на основание експертната оценка на техните собственици. За качественото изпълнение на този процес се предвиждат системни обсъждания между консултантите, упълномощения представител и собствениците на активи. Чрез редовните обсъждания собствениците на активи повишават способностите си за определяне на ценностите на информацията съдържаща се в активите.

За окончателното категоризиране на ценните активи за организацията се взема под внимание съществуващото законодателство, спецификата на организацията и степента на технологичната наситеност на информационната система. Внедряването и развитието на пазарните отношения обуславят превръщането на информацията в специфична стока. С помощта на тази стока, която има висока стойност, се реализират операциите на обмен. Важен е също така и фактът, че всеки икономически субект (държавен или търговски) в основата на своята дейност използва операции за събиране, регистриране, съхраняване, обработка и предаване на информация. Това се отнася и до организациите, които реализират функциите на информационното обслужване на колективни и индивидуални потребители. Отчитаме реалността, че в тези условия разрушаването на информацията е престъпление, тъй като води до загуби на средства, ето защо приемаме формулирането на три равнища категории, които   се класифицират като цели на вредителство от страна на компютърните престъпници:

-      вероятни въздействия върху персоналните данни;

-      ведомствена информация която е обвързана с други колективни или индивидуални субекти;

-      глобална информация, която се отнася до противодействието на промишлени отрасли, икономика на отделен регион и национални коалиционни партньори.

След като са описани активите на организацията, се съставя списък от заплахи за системата и източниците, които могат да се възползват от слабите места на информационната система. В допълнение към включването на външни активи в списъка, се обмислят и маркират вътрешните заплахи, като кражби, повреди в системата и дори опасности спрямо работната среда. Трябва да се вземе предвид и възможната мотивация на заплахите – дали идва от начинаещи хакери, които изпробват зловреден код за забавление, от организирани престъпници, търсещи информация за самоличност, от обиден служител, решил да отмъсти на организацията, или от идустриален шпионаж, чрез който недоброжелателна организация се опитва да постигне информационно превъзходство. Обикновенно сайтовете, които могат да осигурят достъп до финансова информация или други ценни данни, представляват изкушение за мошенниците и поради това изискват допълнителен контрол. За прецизност в категоризирането се отчита, че във вътрешните процеси, използвани за управление на данни и информация, може да се явят и проблемни места. Източниците на заплахи трябва да се отчитат заедно с потенциалната цел на заплахата за да бъдем уверени, че всички активи се поддържат тясно с контекста.

При категоризиране на активите следва да се имат предвид заплахи свързани и с икономическите престъпления, за икономическа изгода.

Правилното категоризиране на активите според тяхната застрашеност е гаранция за адекватно възприети мерки за въздействие върху риска и ефикасно функциониране на системата. За правилно приложен подход приемаме тогава,  когато активите се групират по видове заплахи според мястото, важността и състоянието на актива. Групирането и подреждането на активите според вида на заплахите, съдействат за удобства при попълване и обработването на Работните карти подпомагащи оценката и анализа на риска.

В повечето случаи категоризирането на активите подпомага и за уточняването на приемливите нива на риска.

Забележка: Приемливото ниво на риска не е постоянна величина. По искане на звената на организацията, след мотивирано предложение, за част от активите, прага на приемливост на риска може да се завиши.

Чрез категоризирането на активите се оценява критичността им в хода на работните процеси за определяне степента на вредата, която ще понесе организацията в случай на нарушаване на ИС на активите. При всички подходи, ценността на активите се определя въз основа на експертните оценки на техните собственици. Процесите по определяне критичността на активите са нови и нетривиални за собствениците, ето защо за качественото провеждане на този процес трябва да се организират редовни обсъждания между консултантите, упълномощения представител и собствениците на активи. На собствениците на активи може да се представят различни методики за оценка. В съдържанието си, методиките представят конкретни критерии съответстващи на спецификата на въпросната организация с помощта, на които ще се направи оценка на критичността.

Критичността на активите се оценява по три параметъра: конфиденциалност, цялостност и достъпност. Оценява се вредата, която ще понесе организацията при нарушаване на който и да е от тези параметри за даден актив.

 

  1. 5.     Определяне на методиката за оценка на риска

Оценката на риска се състои от идентификация и оценка на активите, идентификация на заплахи, уязвимости и контроли, определяне на вероятността от заплахи, въздействието върху комплексната характеристика на всеки актив  CIA (конфиденциалност, цялостност и достъпност), определяне на риска, препоръчителен контрол, документация и политика.

Информационната система и мрежите, са изложени на заплахи по сигурността от голям брой източници, включващи компютърна измама, шпионаж, саботаж, вандализъм, пожар или наводнение. Причинителите на щети, като атаки от злонамерен код, неправомерно компютърно проникване и отказ на услуга, стават по-всеобхватни, по-амбициозни и все по-сложни.

Идентификацията и оценката на активите, започва с процес на събиране на подробна информация. Екипът, който извършва тази дейност се подбира със специалисти от всички отдели на организацията познаващи дейностите в отделите. Екипния подход е най-ефективен при такива случаи и съдейства за укрепване на връзките между отделите свързани с информационната сигурност.

Активите,  идентифицирани по групи имащи отношение към информационната сигурност са:

ü документални активи;

ü човешки ресурси;

ü информационни активи;

ü рейтинг;

ü услуги;

ü софтуер;

ü други активи.

 

При идентификацията на човешките ресурси като активи, същите се групират, както следва:

ü ръководство;

ü секретариат (входяща и изходяща поща);

ü администратор/и;

ü служители ( на постоянни договори и с временна заетост);

ü Звено „финанси”.

 

Принципи за оценка на всеки актив:

ü Информационните активи (или видове информация) се оценяват от гледна точка на нанесени на организацията вреди при тяхното разкриване, изменение или недостъпност в течение на определено време.

ü Софтуер, физически активи и услуги се оценяват по правило от гледна точка на тяхната достъпност или работоспособност. Определя се, какви вреди ще претърпи организацията при нарушаване функционирането на дадени активи. Например, повреда на климатичната система в течение на три денонощия ще доведе до отказ на сървъри, достъпът до тях ще се наруши и като следствие от това организацията ще понесе загуби.

ü Сътрудниците на организацията от гледна точка на поверителността и целостността се оценяват, като се отчита техния достъп до информационни ресурси с права за четене и модификация. Достъпността на служителите се оценява от гледна точка на тяхното отсъствие от работното място. Т.е. оценява се каква загуба ще понесе организацията при отсъствие на служителя за определено време. Задължително се отчита опита на служителя, квалификацията му и специфика на дейността, която изпълнява.

ü Репутацията на организацията се оценява във връзка с информационните и ресурси, т.е. оценява се каква загуба ще понесе организацията в случай на нарушаване на информационната сигурност.

 

Информационната стойност на активите отразява въздействието на актива върху сигурността на информацията. Стойността на всеки идентифициран актив се определя с цифрово изражение от 1 до 5, където:

 

  • 5 - много висока стойност на актива;
  • 4 - висока стойност на актива;
  • 3 - средна стойност на актива;
  • 3 - ниска стойност на актива;
  • 1 - много ниска стойност на актива;

 

Определяне характеристиките на всеки актив:

  • К – конфиденциалност;
  • И – интегритет;
  • Д – достъпност.

 

Определяне на видовете заплахи за всеки актив:

 

Формулиране на видовете заплахи за всеки актив, които застрашавайки го, представляват и заплаха за информационната сигурност на организацията;

 

Идентификация на съществуващия контрол за всяка заплаха:

 

  • ДА – за определената заплаха в организацията съществува контрол;
  • НЕ – за определената заплаха, към момента в организацията не съществува контрол;

При отговор „ДА” следва да бъде идентифициран контрол от Приложение А на ISO 27001:2005.

 

Определяне уязвимостта на активите за всяка заплаха:

 

Уязвимостта се определя като слабост, която може да бъде проявена или преднамерено използвана спрямо определени активи на застрашената инфраструктура и тяхното евентуално последващо унищожаване или увреждане.  Извършва се предварителна оценка на евентуалните преки загуби от бедствието по причина на съответната уязвимост.

Определяне на уязвимостта се извършва за всеки актив със стойност от 3 до 5 (включително).

Уязвимостта на активите се определя с цифрова стойност от 1 до 5, където:

  • 5 – много висока уязвимост на актива;
  • 4 – висока уязвимост на актива;
  • 3 – средна уязвимост на актива;
  • 2 – ниска уязвимост на актива;
  • 1 - много ниска уязвимост на актива;

 

Определяне вероятността на проявление на заплахите за всеки актив:

 

Определяне на вероятността от проявление на заплахите се извършва за всеки актив със стойност от 3 до 5 (включително).

Вероятността от проявление на заплахите за всеки актив се определя с цифрова стойност от 1 до 5, където:

  • 5 – много висока вероятност от проявление на заплахата;
  • 4 – висока вероятност от проявление на заплахата;
  • 3 – средна вероятност от проявление на заплахата;
  • 2 – ниска вероятност от проявление на заплахата;
  • 1 – много ниска вероятност от проявление на заплахата;

6.Определяне степента на риска

Степента на риска за всеки актив, обект на оценка (актив със стойност от 3 до 5 включително), е числов израз - от 1 до 75, получен по формулата:

Р = С х У х В където: 

Р             =  Риск;

С            =  информационна Стойност на актива;

У            =  Уязвимост на актива от съответната заплаха;

В             =  Вероятност от проявление на съответната заплаха;

В плана за третиране на риска се включват активи с идентифицирани стойности на риска от 27 до 75.

 

7.     Изготвяне на ”План за третиране на риска”(ПТР)

Основна цел на ефективното управление на информационната сигурност и защита на информацията в организационните единици е да се минимизира рискът при зададено желано равнище на разходите за това. Оттук следва, че ефективната политика за информационна сигурност за защита на информацията изисква предварително да се оценяват и управляват рисковете.

Третирането на информационните рискове е етап от процеса, в който се определя какви действия по отношения на риска трябва да изпълни организацията.

Основни начини за въздействие върху риска са:

- приемане на риска;

- избягване на риска;

- прехвърляне на риска;

- смекчаване на риска

Приемането на риска се извършва, когато нивото на риска се счита за приемливо. В такъв случай организацията не смята за целесъобразно да прилага каквито и да било мерки по отношение на такива рискове и е готова да понесе съответните загуби. Добрите практики препоръчват активите, които спадат в тази категория да бъдат периодично проверявани и ако е необходимо асоциирани с друга категория на риск.

Избягване на риска – това е пълното отстраняване на източника на риск.

Прехвърляне на риска е действие по прехвърляне на отговорността за риска на трети лица (например на доставчик на оборудване/услуги или застрахователна компания), без да е отстранен източника на риска.

Смекчаване на риска – това е избор и внедряване на мерки по снижаване на вероятността от понасяне на загуба.

В процеса на въздействие върху риска първоначално трябва да се определи кои рискове изискват по-нататъшно третиране и кои може да се приемат. Очевидно, че за рискове, превишаващи приемливото ниво, трябва да се изберат последващи мерки за въздействие. Приемливото ниво на риск се определя от ръководството на организацията или от специално сформирана група, в която да влизат ръководителите и отговорните финансисти на организацията.

Например, ако ръководството на организацията декларира, че счита ниско нивото на риска за приемливо, то по-нататъшните действия по въздействия върху риска се извършват само за средните и високите му нива, като средното и високото ниво на риска трябва да се понижат до ниско (приемливо).

В случай, когато в организацията се наблюдава висока степен на разпръснатост на значенията на риска (обикновено това може да възникне, когато критичността на активите е определена в парични единици, а не в нива), информационните рискове може да се разделят по категории и да се определи приемливо ниво за всяка категория поотделно, понеже не винаги е целесъобразно да се занижават различните значения на риска до едно общо ниво (често за понижаване на високите рискове до дадено ниво са необходими неоправдано големи разходи).

Накрая на този етап трябва да се състави план, който подробно да описва начините за третиране на риска. В него ясно се описват конкретните мерки за намаляване на риска, определят се служители, отговорни за изпълнението на всеки елемент от плана, срокове за изпълнението и необходимите ресурси потребни за реализация на въздействието върху всеки актив, или група активи притежаващи една и съща уязвимост.

В плана за въздействие върху риска се нанасят всички онези активи, на които приложените механизми не са намалили уязвимостта им под нивото на приемливия риск и се налага прилагане на механизми или мерки изискващи допълнителни ресурси за тяхната реализация.

Накрая на този етап трябва да се състави план, който подробно да описва начините за третиране на риска. В него ясно се описват конкретните мерки за намаляване на риска, служителите, отговорни за изпълнение на всеки елемент от плана и сроковете за изпълнението му. Покриването на желаните цели в този план следва бъдат осигурени с реално планирани финансови средства, необходими за фактическата им реализация.

Въздействието върху риска се свежда до оценката му, изготвянето и прилагането на мерки за намаляването му (или приемането му за допустим или прехвърлянето му към друга страна).  Необходимо е да се постигне увереност, че рискът е ограничен до приемливи размери.

Срещат се два вида риск: тактически и случаен. Тактическият риск се свързва със съществуване на заплахи при изпълнение на дадена организационна дейност. Този риск се отчита при различни сценарии на изпълнение, в целия спектър от дейности.

Случайният риск включва риска, който съществува при всички операции, изключвайки тактическия. Тук се включва рискът, отнасящ се пряко до всички участници в дадената дейност, както и въздействието на дейността върху обкръжаващата среда.

Фазите 1 и 2 обхващат съдържанието на оценката на риска. В началото всеки член на организацията разпознава рисковете, които могат да настъпят в процеса на функциониране на организацията. След това се определя въздействието на всяка отделна заплаха. Оценката на риска изисква всеки служител да направи ситуационна оценка. По този начин се идентифицират максимално рискове, като така се осигурява предприемане на своевременни, ефикасни мерки за противодействие.

Рискът се появява там, където има заплаха. Наличието на една или друга заплаха е следствие на слабости в защитата на информационната система, което се обяснява с отсъствието на някои програмно-технически средства за сигурност или с недостатъци в реализиращите ги защитни механизми.

След като са определени видовете заплахи, целесъобразно е също да се определят източниците им. Това може да помогне при избора на допълнителни средства за защита.

Обект на анализ е не само информацията, но също така и компонентите на информационната система, програмните ресурси, поддържащата инфраструктура и персоналът.

След идентификацията на заплахите е необходимо да се оцени вероятността за осъществяването им. Освен вероятността за осъществяване, важен е и потенциалният размер на щетите. Оценявайки заплахите, трябва да се изхожда не толкова от средностатистическите данни, но и да се отчитат специфичните особености на конкретната информационна система, организационна единица и персонал.

Следващата стъпка е оценката на риска. Определя се приемливо ниво на риск. Ако някои рискове са неприемливо високи, се реализират допълнителни контроли за защита.

Фазите 3, 4 и 5 са същността на въздействието на риска.

Оценявайки същността на защитните мерки, е необходимо да се отчитат не само средствата за закупуването на оборудването и програмите, но и разходите за внедряване, поддръжка, обучение на персонала. Ако средството е икономически изгодно, може да бъде допуснато за по-нататъшно разглеждане. Различните видове контрол трябва да гарантират намаляване на рисковете до приемлива степен, като се отчитат:

  • изисквания и ограничения на националното законодателство и регулации;
  • организационните цели;
  • работните изисквания и ограничения;
  • разходите за прилагане и изпълнение, свързани с намаляването на рисковете и съответствието им с изискванията и ограниченията на организацията;
  • необходимостта от балансиране на инвестициите за прилагане и изпълнение на видовете контрол с евентуалната вреда, която може да се получи в резултат на пробивите в сигурността.

Когато необходимите мерки са приети, трябва да се провери тяхната ефективност. Трябва да се постигне убеденост, че остатъчният риск е приемлив.

Трябва да се има предвид, че никой набор от видове контрол не може да постигне пълна сигурност и че трябва да бъдат извършени допълнителни управленски действия за наблюдение, изчисляване и подобряване на резултатите от видовете контрол на сигурността, за да се поддържат целите на организацията.

 

  1. 8.     Декларация за приложимост

Изготвянето на този документ е една от най-важните стъпки от системата за информационна сигурност. Той съдържа всички контроли в организацията, отговарящи на заплахите и уязвимостите, изброени в процедурата по оценка на риска. Анекс “А” от стандарта изброява най-често използваните контроли, които могат да бъдат включени в декларацията. Ако е необходимо се допълват контроли в зависимост от конкретната ситуация.

 

  1. 9.     Програма по внедряване на СУИС

Програмата по внедряване на СУИС се разработва съвместно от изпълнителя и възложителя на проекта. В него подробно се описват етапите, тяхната последователност, сроковете за изпълнение и отговорните лица. Програмата задължително трябва да включва – извършване на диагностичен одит на съществуващата система;  специализирано обучение и подготовка на персонала; документиране на системата; внедряване на избраните контроли; внедряване на документираната система; методика за измерване ефективността на системите за контрол; определяне на стъпките при подготовката на система за сертификация; организиране на сертификационен одит.

 

  1. 10.         Система за Управление на Информационната Сигурност

При достигането на този етап от имплементация на СУИС е важно да се демонстрира връзката между избраните контроли, резултатите от процеса по оценка на риска  и плана за третиране на риска. Задължителната документация, която трябва да съществува за правилното опериране на СУИС е:

  • Обхват на СУИС
  • Политика по ИС
  • Доклад за оценка на риска
  • Процедури за приложимост на контролите
  • Методика за инвентаризация на активите
  • Методика за категоризиране на активите
  • Методика за оценка на риска
  • Методика за измерване ефективността на системите за контрол
  • План за третиране на риска
  • Декларация за приложимост

 

  1. 11.         Проверка за несъответствия и коригиращи действия

Целта на тази проверка е да се установи дали има несъответствия по вече приложената СУИС. Изготвя се процедура, чиято цел е да определи метод, който ще бъде използван за откриване на несъответствия, дефиниране на коригиращите действия и предотвратяването на по-нататъшната им поява.  На следващата страница е показан пример как би изглеждала процедурата.

it3

it4

  1. 1.  Преглед на системата

Преди започването на официалния сертификационнен одит се извършва

преглед с цел да се оцени пригодността, адекватността и ефективността на системата, възможностите за подобрения и нуждата за промяна, включително политиката и целите на СУИС. Входните данни използвани в този етап са:

-         резултати от одити

-         състоянието на коригиращите и превантивните действия

-         състояние на заплахи, рискове и уязвимости

-         проверка на резултатите по решенията от предишни прегледи

-         промени, които могат да влияят върху СУИС

  1. 2.   Сертификационен одит

Съществуват редица акредитирани компаний, оторизирани да извършват одит и сертификация по ISO/IEC 27001. Някои от тях са KPMG, LRQA, Certification Europe, TUV Rheinland Group и други.

Преди началото на одита, отговорника по сигурността трябва да представи подробен преглед на СУИС и „Декларация За Приложимост”.

Изисква се проверката да се осъществи едва след като организацията докаже интеграция и действие на PDCA модела, и са налице доказателства за процеса по усъвършенстване на СУИС. Сертифициращото лице трябва да бъде убедено, че оценката на риска е изготвена в съгласност с дейността на организацията и покрива нейните активи. Прави се проверка за връзката между ПТР, ДЗП и изходните данни от оценката на риска.

Организацита трябва да гарантира непрекъснато подобрение на системата, което да се отразява върху:

-         политиката за информационна сигурност

-         целите на информационната сигурност

-         резултати от одити

-         анализ на събитията

-         превантивни и коригиращи дейстия

При успешно приключване на сертификационния одит, водещият одитор издава препоръка за сертфикация на компанията. Обикновенно преди издаване на сертификат, резултатите получени по време на одита се подлагат на повторна проверка от сертифициращата компания.

Издаденият сертификат е с валидност 3 години, след което СУИС отново се подлага на пълен одит.

 

 

 

 

 

ТРЕТА ГЛАВА

Документиране и внедряване на СУИС във фирма „Ай Би Ес България” EООД

 

Процеса по създаване, прилагане и поддържане на Системата за Управлението на Информационната Сигурност, представлява съвкупност от  действия, с определена последователност, които се изпълняват във всеки един етап от жизнения цикъл на системата. При внедряването на СУИС винаги трябва се има предвид структурата на организацията, естеството на бизнес процесите в нея и пазарните условия.

От сертификационна гледна точка, целия процес  може да бъде разделен на три фази. Първата от тях представлява подготовката по сертификация на СУИС: създаване и имплементация на СУИС, интегриране на СУИС към ежедневните бизнес процеси, обучение на персонала и развитие на програма по поддръжка на СУИС.

Втората фаза представлява наемането на акредитирана компания, която да проведе сертификационен одит. Сертификата, който се издава има срок на валидност три години, след което СУИС трябва да се сертифицира на ново.

Това е причината, поради която съществува и трета фаза на процеса. Тя включва периодични посещения (приблизително на всеки 6-9 месеца) от компанията издала сертификата с цел да се осъществява надзорен контрол върху СУИС.

За да се започне работа по първия етап е важно да има ръководен екип и работна група, да се проведе необходимото обучение на членовете на работната група и заинтересовани служители. Необходимо е да се оцени съществуващото положение и да се направи оценка на риска.

Като важен елемент от създаването на СУИС е подходящото документиране на процесите в нея. Нейната документация може да се раздели на две групи - документи и записи. Тези термини имат различни значения и не трябва да се бъркат. Записът се дефинира като доказателство, показващо постигнати резултати или проведени действия, докато „документът” се определя като носител на информация, който може да указва изискванията или начина, по който трябва да бъде изпълнена дадена дейност. Важно е да се отбележи, че “документиран” не означава “записан” т.е. писмената форма не е задължителна и са възможни варианти под формата на диаграми, чертежи, скици, снимки, аудио и видео. От особена важност е факта документацията на системата да отразява действителното състояние на организацията. Документацията трябва да максимално опростена и да осигурява яснота и ефективен контрол.

 

История и мисия на компанията

“Ай Би Ес България” ЕООД е сред водещите компании за разработка на софтуер на ИТ пазара в България. Тя е клон на световният софтуерен гигант IBS Corporation[1], основан през 1988 година в САЩ. Фирмата притежава повече от 50 офиса в над 30 страни.

Клона в България е регистриран през 1998 година, като еднолично дружество с ограничена отговорност. Фирмата бързо набира национална и международна популярност със своите иновативни и качествени софтуерни продукти. За да постигне високи резултати в динамично развиващият се свят на софтуерните технологии, компанията залага на разработката с помощта на модерни езици за управление на бази данни и Web платформи. Доказателство за това са многобройните успешно реализирани проекти за значими клиенти в Европа, САЩ и България. Компанията разполага със деветдесет високо квалифицирани програмисти и двадесет човека административен персонал. Фирмата разполага със собствена сграда намираща се на комуникативен възел в столицата.

“Ай Би Ес България” е сред първите ИТ фирми в България, която въвежда и утвърждава вътрешно-фирмени стандарти за управление и изпълнение на ИТ проекти. Световните технологични гиганти Oracle, Microsoft, IBM разпознават “Ай Би Ес България”  като свой дългогодишен, утвърден и надежден партньор. Технологичното партньорство на “Ай Би Ес България”  с лидерите в софтуерната индустрия позволява на компанията да е винаги сред първите в прилагането на най-съвременните технологии и индустриални стандарти.

Като високотехнологична ИТ фирма, мисията на компанията е да предоставя опита и познанията си като проектира и изгражда стратегически ИТ решения за осъществяване на дългосрочните корпоративни цели на клиентите си.
Нейната цел е да предостави висококачествени услуги и решения на базата на световните достижения в ИТ технологиите като прилага утвърдени практики и методологии в реализирането на проектите си.
Официалната политика на фирмата се основава на ценности като професионализъм, високо качество, компетентност, ангажираност и  отговорност.

 

Организационна структура

         Компанията е организирана от четири основни управленски звена, които имат едно и също място в йерархичния строеж на управленската структура. Всяко от тези звена е под контрола на съответния директор, който от своя страна отговаря пред изпълнителния директор на организацията.

Звената са следните:

-         човешки ресурси

-         оперативни дейности

-         маркетинг и продажби

-         финанси


[1] IBS – International Business Software

it5

 

Начало на проекта по внедряване на СУИС

Проектът стартира с предварителен преглед, инициран от ръководството на компанията. Основната цел на този етап е обективно да се оцени състоянието на информационната сигурност и нейната адекватност към текущият момент. При изпълнението на тази задача от изключителна важност е правилният избор на консултантска фирма, защото поради ниската популярност на стандарта в България, все още няма достатъчно натрупан опит в областта.

На този етап се извършва анализ на:

  • структурата на организацията;
  • използваните информационни технологии за събиране, обработка, предаване и съхраняване на информацията;
  • ключовите бизнес-процеси и тяхната зависимост от ИТ, нормативните и организационни документи, състояние на информационната сигурност и съответствието им с ISO 27001.

След запознаване с резултатите от проверката,  “Съветът на директорите” взима решение, съпроводено със заповед, за изграждане на Система за управление на информационната сигурност в съответствие със стандарта и създава Форум по информационна сигурност с отговорник Служител по сигурността. Принципът “ангажираност на Ръководството” изисква във Форума да участват служители на ръководни позиции, които да контролират и носят отговорност за целия процес по управление на информационната сигурност. При взимането на това решение ръководството е длъжно да уведоми всички служители на организацията, които да оказват отзивчивост и съдействие по време на процеса.

 

Обхват на СУИС

Тук е важно да обърнем особено внимание на факта, че обхавата на СУИС ще покрие операциите единствено на клона намиращ се в София. Всички останали офиси на компянията, ще бъдат извън обхавата на текущия сертификационен процес. Контролите и полотиките за сигурност прилагани на глобално ниво в организацията са следват и в „Ай Би Ес България”, за това те ще бъдат включени в „Декларацията за приложимост”.

Изхождайки от предмета на дейност и стратегията за развитие на „Ай Би Ес България” ЕООД, като критични бяха дефинирани пет бизнес процеса – човешки ресурси, маркетинг, финанси, ИТ инфраструктура и работна среда. Определен бе обхвата на СУИС, основаващ се на производствените характеристики, активите и тяхната локация. Ясно обособените граници на СУИС и тяхното взаимодействие с другите системи за управление е от изключителна важност. Например планът за информационно и комуникационно осигуряване на дейностите в „Ай Би Ес България” ЕООД трябва да е част от общата стратегия за осигуряване на непрекъснатост на бизнеса.

 

 

 

Политика по информационна сигурност

Общата политика на сигурността е свързана най-вече с правилното разпределение на отговорностите между отделните отдели и техните ръководители. Нейната основна цел е да защити информационните активи на „Ай Би Ес България” ЕООД от всички вътрешни, външни, преднамерени или случайни заплахи като гарантира:

  • поддържана цялостност на информацията;
  • поддържана конфиденциалност на информацията;
  • поддържана наличност на информацията за работните процеси;
  • спазване на законодателни и регулаторни изисквания;
  • разработване, поддържане и тестване на Планове за непрекъснатост на бизнеса;
  • обучение на всички служители по изискванията на СУИС;
  • докладване и щателно разследване на установени или вероятни инциденти, свързани с информационната сигурност;
  • поддържане на Наръчник, процедури и инструкции, съответстващи на целите на СУИС.

За да се гарантира правилно разпределение на отговорностите, още в самото начало ръководството на организацията трябва да:

  • Ø дефинира се мястото на политиката за сигурност по отношение на мисията и целите на компанията. За всяка политика се определя за кой отдел се отнася, кой отговаря за нейното спазване;
  • Ø установи общи правила за поведение съобразени с необходимото ниво на сигурност. Всеки ръководител на звено отговаря за действията на своите подчинени;
  • Ø предостави рамка за разработка и внедряване на процедури. При създаването или промяна на политика ръководителите са длъжни да запознаят подчинените си с нея и да следят за нейното спазване. При нарушения проблема трябва да се ескалира и да се вземе решение как ще се процедира за разрешаването му;
  • Ø определи общи правила за действие при нарушаване на сигурността.

 

Идентификация и оценка на активите

С помощта на всички директори на звена и ръководители на отдели се идентифицират активите  използвани в различните бизнес процесите. За тази цел е нужно, много внимателно, всеки един от тях да проследи в детайли работния цикъл, в които участва.

Всеки един от активите се разглежда самостоятелно, като е нужно неговият собственик да определи нивото на Интегритет, Конфиденциалност и Достъпност,  от което зависи функционалността му. Скалата за всеки от трите параметъра е с коефициенти от 1 до 5. За крайната стойност на актива се взима стойността на най-високия коефициент. Тяхната значимост може да бъде описана по следния начин:

1 – много ниско ниво. Последствията при нарушение могат да се определят като незначителни;

2 – ниско ниво. Последствията могат да представляват заплаха за ефективността на работния процес, но не и да доведат до неговия отказ;

3 – средно ниво. Не представлява заплаха за организацията като цяло, но е нужно да се обърне особено внимание и ако се наложи да се въведат промени, чрез които  да се намали риска;

4 – високо ниво. Последствията биха могли да окажат силно влияние върху ефективността и правилното функциониране на процеса. Всички активи спадащи към тази група трябва да бъдат взети под особено внимание от ръководството;

5 – много високо. Последствията са катастрофални за организацията.

Активите, с които оперира „Ай Би Ес България” ЕООД могат да бъдат разделени в 4 общи категории -  информационна инфраструктура, човешки ресурси, класифицирана информация, сградни инсталации и помещения.

 

Информационна инфраструктура

Терминът  информационна инфраструктура се използва за означаване на съвкупността от всички физически устройства и съответния системен софтуер, които изграждат  компютърната мрежа и осигуряват изпълнението на предлаганите от нея мрежови услуги.

За да се опишат нейните елементи в „Ай Би Ес България” ЕООД беше организирано събрание от Отговорника по сигурността, като присъстващи бяха Директора по оперативна дейност и екипа на Системните администратори. Заедно, те направиха преглед на информационните системи в организацията и

ги категоризираха по следният начин:

-  оборудване на работното място на служителя

-  LAN и WAN инфраструктура

-  сървъри

-  софтуер

 

Списъкът с оборудване на работното място на служителя включва:

q Работна станция (или лаптоп), оборудвана в съответствие  със специфичните особености в работата на съответния служител;

q Периферна техника свързвана директно към компютъра (локален принтер, факс, скенер, видеокамера, микрофон, озвучителна система, външни запаметяващи устройства, карточетящи устройства и друго специализирано оборудване).

q Техника за пренос на глас – стационарен телефон, GSM, VoIP.

q Специализирано офис оборудване за общо ползване чрез компютърната мрежа- принтери, скенери, факс машини и др.

 

 

LAN и WAN инфраструктурата служи като преносна среда за обмен на информация между компютрите в „Ай Би Ес България” ЕООД, както и да осигуряват връзката на тези компютри с Интернет;

Елементите участващи в инфраструктурата са:

–    крайни мрежови устройства - това са всички работните станции обменящи информация помежду си - персоналните компютри при работните места на служителите, мрежовите устройства за колективно ползване – мрежови принтери, скенери, факс устройства, видеокамери и друга подобна техника;

–    кабелна система – физическата среда, която осъществява преноса на информацията между крайните мрежови устройства.

–    специализирано мрежово оборудване осигуряващо обработката, преноса и защитата на информацията по мрежата –  сървъри, Cisco рутери, HP комутатори и др.

 

Топологията на мрежовата инфраструктура е представена в диаграмата по-долу. Схемата показва разделението на локалната мрежа в сегменти, чрез което се гарантира, че информацията в тях е достъпна само за нейните ползватели. Изобразени са линиите за достъп до интернет и тяхната резервираност. „Ай Би Ес България” ЕООД разполага с два независими интернет доставчика, с което гарантира своята свързаност към отдалечени клиентски ресурси и интернет. От графиката се вижда, че всички устройства играещи централна роля в LAN и WAN мрежовата свързаност са дублирани (работят като клъстери) с цел да се осигури непрекъснатост на бизнес процесите.

it6

Сървърите представляват специализирани компютри от локалната мрежа, чието основно предназначение е да предоставят определен вид услуги за останалите компютри в мрежата. В „Ай Би Ес България” ЕООД бяха идентифицирани следните сървъри:

 

- Mail Server – предоставя услуга за обмен на електронна поща;

- Proxy Server – осигурява достъп до интернет ресурси;

- File Server – използва се от служителите на компанията за обмен и съхранение на служебна информация;

- Primary Domain Controller – предоствя идентификация на потребителите

и прилага политиките за достъп до операционните системи.

В зависимост от функциите, които изпълнвят, сървърите се поставят в мрежови сегменти с различни правила за достъп, контролиращи се от защитните стени на организацията.

 

Софтуерните активи на „Ай Би Ес България” ЕООД бяха категоризирани в няколко групи:

-         програми използвани от програмистите в процеса по разработка на компютърен софтуер;

-         операционни системи – всички работни станции в организацията използват за операционна система  Microsoft Windows XP Professional. Сървърите, както и защитните стени, са базирани на операционната система Linux. В нашия случай се използва Red Hat Enterprise Linux версия 5.

-         помощни програми – към тази група спадат софтуерните пакети на Microsoft използвани за текстообработка(Word, Excel), мениджмънт на проекти(MS Project),  графики и логически схеми(MS Visio), електронна поща(MS Outlook) и интернет сърфиране(Internet Explorer).

 

Човешки ресурси

При определянето на активите в тази група бе свикано събрание от Отговорника по сигурността, като участници в него бяха Директора и Експертите по човешки ресурси в “Ай Би Ес България” ЕООД. Тяхната задача е да се определи ключовия персонал в компанията(“key staff”), от който зависят нейните бизнес процеси. Всички служители попадащи в тази категория са ценни за организацията с квалификацията, уменията и опита който те притежават. Като актив в човешките ресурси бяха дефинирани Директорите на отдели, Ръководителите на проекти, Отговорника по сигурността и част от екипа на системните администратори отговарящ за мрежовата инфраструктура и сървърите. Списък съдържат имената и координатите на този състав се прилага към плана за кризисни ситуации и непрекъснатост на бизнеса.

 

Класифицирана информация

Информация с чувствителен характер съществува във всички звена на „Ай Би Ес България” ЕООД и за да бъде правилно класифицирана е нужно да се свикат всички участници от Форума по информационна сигурност, Ръководството и служителите идентифицирани като ключов персонал за компанията.

Критериите според които информацията трябва да бъде класифицирана са нейната стойност, правни изисквания, чувствителност и критичност за организацията.

В „Ай Би Ес България” ЕООД като чувствителни бяха определени личните данни на служителите, финансова информация за компанията и нейните партньори, договори с доставчици на услуги и оборудване, програмен код представляващ изходен продукт от работата на отдел програмисти.

 

Сградни инсталации и помещения

Определено един от най-важните активи за една организация е работната среда, в която ежедневно се извършват бизнес процесите и. За тази цел „Ай Би Ес България” ЕООД разполага със собствена сграда намираща се на комуникативен възел в столицата.

Политиката на „Ай Би Ес България” ЕООД за контрол на достъпа е базирана на принципа за минимизиране на привилегиите - всеки достъп, който не е изрично разрешен е забранен.

Сградата разполага с открит паркинг, достъпът до който е ограничен само за служителите на компанията. При проектирането на сграда беше счетено, че наличието на подземен паркинг би я направило уязвима на бомбени атаки(кола бомба) и за това този вариант беше отхвърлен.

Контрола на достъпа в него се осъществява чрез магнитна карта. Паркингът се намира под постянно видео наблюдение. Видео записите и регистъра от карточетящите устройства за контрол на достъпа се съхраняват в период от 6 месеца.

Работните помещенията в сграда са разделени на различни зони, достъпът до които е ограничен до определени групи от служители.

Всички външни посетители на сградата се записват в дневника с гости намиращ се при охраната на пртерния етаж. Посетители в охраняваните зони на сградта се допускат само с придружител и след регистрирането им в дневника.

Коридорите и сервизните помещения се намират под постянно видео наблюдение. Съгласно българското законодателство е инталирана пожароизвестителна система и пожарогасители на всеки етаж.

Като критични за организацията бяха определени следните помещения и елементи от сгртадната инстлация:

-         система за видео наблюдение

-         система за контрол на достъпа

-         противопожарна система

-         сървърно помещение

-         охладителна система на сървърното помещение

-         работни помещения

-         дизел генератор

 

Като краен резултат от идентификацията на активите в „Ай Би Ес България” ЕООД бяха определени 20 актива, от които зависи успеха и сигурността на организацията.

 

Номер на актива

Описание

К

И

Д

Стойност на актива

1

Лаптопи и работни станции (използвани за ежедневната работа на програмистите и административния персонал)

4

4

5

5

2

Сървъри (използвани за правилното опериране на локалната мрежова инфраструктура и тестови среди на софтуерните продукти)

5

5

5

5

3

Операционни системи (Инсталационен пакет Windows XP, Red Hat Enterprise Linux)

4

4

2

4

4

HP мрежови комутатори

5

5

5

5

5

Cisco рутери

5

5

5

5

6

Canon мрежови принтери

2

2

2

2

7

Помощни програми (MS Project, MS Office,  etc.)

2

2

2

2

8

Програми използвани в процеса по разработка на компютърен софтуер

4

4

3

4

9

Договори  с доставчици и партньори

4

4

4

4

10

Чувствителна информация (документи, фактури, чувствителна информация съдържаща данни на служителите и др.)

5

5

4

5

11

Система за контрол на достъпа

4

3

4

4

12

Система за видео наблюдение

4

4

4

4

13

Дневник с външните за организацията посетители

3

3

3

3

14

Сървърно помещение

5

5

5

5

15

Охладителна система намираща се в сървърното помещение

3

3

5

5

16

UPS системи (осигуряващи непрекъсваемо електрозахранване на критичните инфраструктурни устройства в сървърното помещение)

5

4

5

5

17

Противопожарна система

4

4

5

5

18

Дизелов генератор

5

4

5

5

19

Човешки ресурс – включва директорите по оперативна, финансова, маркетингова дейност, отговорника по сигурността, изпълнителния директор на организацията и всички служители, които са дефинирани като “key staff”.

5

5

4

5

20

Работи помещения

5

5

5

5

 

Оценка на риска

Следвайки добрите практики и насоки по внедряване на СУИС, „Ай Би Ес България” ЕООД определя, че финансово обосновано би било единствено въвеждането на контроли и мерки за защита на активите със стойност от 3 до 5.

Тук е важен принципа, че цената на сигурността не трябва да надминава стойността на пазения актив. Като следваща стъпка е нужно е да бъдат формулирани видовете заплахи и уязвимости за всеки актив, които застрашавайки го, представляват заплаха за информационната сигурност на организацията.

Тук думата “уязвимост” се определя като слабост, която може да бъде проявена или преднамерено използвана спрямо определен актив, докато под “заплаха” се разбира съвкупноста от условия и фактори, които могат да станат причина за нарушаване на конфиденциалността, достъпността или интегритета на информацията.

Всяка от тези слабости на активите се определя с цифрова стойност от 1 до 5, където с 1 се означава най-ниска степен, а с 5 най-висока степен на заплаха.

Когато идентифицираните активи са стотици, съвсем нормално е закупуването на софтуерен продукт за да се улесни процеса по оценка на риска.

 

Номер на актива /Стойност на актива

Заплахи

Уязвимости

Ниво на Заплаха

Ниво на Уязвимост

Риск риск

1/5

- компрометиране на актива

- разкриване на информация

- неоторизиран физически достъп

- кражба

- зловреден код

- изтичане на информация

- проблеми в електрозахранването- неконтролируемо използване на софтуер

- липса на процедура по бекъпите

- липса на процедура по връщане на актива при напускане на работа

- повторно използване  на информационни носители без нужното ниво за унищожение на информацията

- липса на обновление на софтуера за защита

- липса на процедура по “чисто бюро” и заключване на екрана

- слаба парола

3

3

45

2/5

- неоторизиран достъп 

- грешки при обслужване

- проблем с охлаждането

- бедствия (природни и умишлени)

- проблем с хардуера

- проблем със софтуера

- компрометирана сигурност

-пожар- неадекватно прилагане на контролите за достъп

- липса на механизъм за наблюдение

- лош контрол върху промените

- липса на процедура по бекъпите

- достъпа на напуснали служители не е прекратен

- липса на преглед на потребителските права

2

2

20

3/5

- разкриване на пароли за достъп 

- нелегално копиране или добавяне на софтуер

- неоторизиран достъп

- неоторизирани промени

- недостъпност- неадекватно или невнимателно прилагане на контролите за достъп до работните помещения

- липса на физическа сигурност – врати, прозорци и тн.

- многократно използване на информационния носител без да се прилага адекватно изтриване на информацията

- незащитени носители на информация

- лош контрол на промените

- лош контрол върху копията

- липса на обновления на софтуера за защита

2

2

20

4/5

- проблеми с хардуера 

- проблем с охлаждането

- неоторизиран  мрежов достъп

- неоторизиран достъп до логовете на устройството

- пожар

- земетресение

 

-липса на система за наблюдение

-липса на физическа сигурност

-неясно дефинирани отговорности

-слаби административни пароли

-лош мениджмънт

-заводските потребителски акаунти не са изключени

-липса на процедура по бекъп

-акаунтите не се изтриват при напускане на работа

2

3

30

5/5

- Проблеми с хардуера 

- Проблем с охлаждането

- Неоторизиран  мрежов достъп

- Неоторизиран достъп до логовете на стройството

- Пожар

- Земетресение

 

- липса на система за наблюдение

- липса на физическа сигурност за с сградата, вратите , прозорците

- неясно дефинирани отговорности

- слаби административни пароли

- лош мениджмънт

- заводските потребители не са изключени

- липса на процедура по бекъп

- акаунтите не се изтриват при напускане на работа

2

3

30

8/4

- неоторизирано използване не програмите 

- използване на нелицензирани програми

- грешки в самите програми

- зловреден код-слаба мотивация или недоволен служител

-липса на контрол при копиране

-липса на контрол на промените

-липса на култура по сигурност

-недостатъчно изпитване на софтуера

3

2

24

9/4

-неспазване на договореностите 

-компрометиране на сигурността

-изтичане на информация

-измама-липса на култура по сигурност

-слабо обучевние по информационна сигурност

-слаба мотивация или недоволен служител

-липса на надзор върху външните работници

2

3

24

10/5

-унищожаване на записи 

-разкриване на информация

-измама

-грешки при опериране с информацията

-неоторизиран достъп-липса на мониторинг

-слаба мотивация или недоволен служител

-незащитени хранилища на информация

-лошо приложение на контрола на достъпа

-неясно разпределение на отговорностите

-липса на механизъм за идентификация на потребителите

2

3

30

11/4

-проблем със записите от системата 

- проблем със хардуера

- загуба на електрозахранване

- загуба на записи

- грешки в софтуера

- неоторизиран достъп

- неоторизирани промени-слаба мотивация или недоволен служител

-акаунтите не се изтриват при напускане на работа

-слаба на физическа сигурност

-проблеми породени от температурни вариации

-проблеми породени от вариации в електрическите параметри

-слаба прахо и водо устойчивост

-липса на процедура за връщане на магнитни карти или ключове

2

3

24

12/4

-проблем със записите от системата 

-проблем със сситемата

-загуба на електрозахранване

-загуба на записи

-гршски в софтуера

-неоторизиран достъп

-неоторизирани промени-слаба мотивация или недоволен служител

-акаунтите не се изтриват при напускане на работа

-липса на физическа сигурност

-проблеми породени от температурни вариации

-проблеми породени от вариации в електрическите параметри

-слаба прахо и водо устойчивост

 

2

3

24

13/3

-повреда на записите 

-разкриване на информация

-неоторизиран достъп.- липса на физическа сигурност

-слаба мотивация или недоволен служител

 

2

2

18

14/5

-терористични действия 

-проблем с охлаждането

-прах

-бомбена атака

-природни бедствия

-пожар

-наводнение

-проблем на поддържащите системи

-неоторизиран достъп-липса на система за мониторинг

- липса на физическа сигурност

-слаба мотивация или недоволен служител

-нестабилно електрозахранване

-липса на план за продължителност на процесите

-слаба подготовка на обслужвашия персонал

3

4

60

15/5

-проблем с охлаждането 

-щети причинени от трета страна

-грешки

-манипулационни грешки

-проблеми с електрозахртанването-липса на система за наблюдение

-слаб надзор над външните техници

-нестабилно захранване

-лиспа на физическа сигурност

-липса на периодични прегледи на системата

-силна уязвимост от повишено количество прах или температурни промени

2

2

20

16/5

-проблем с охлаждането 

-прах

-щети причинени от трета страна

-природни бедствия

-отпадане на оборудването

-пожар

-манипулационни грешки

-неоторизиран достъп-липса на мониторинг система

-недоволен бивш служител

-слаб контрол на физическата сигурност

-неадекватен контрол на промените

-обстановка уязвима на наводнение

-оборудването е уязвимо от прах

- оборудването е уязвимо от температурни промени

2

2

20

17/5

-щети причинени от трета страна 

-проблем с оборудването

-грешки

-манипулационни грешки-липса на система за наблюдение

-слаб контрол на физическия достъп

-нестабилно електрозахранване

-неадекватен контрол на промените

-оборудването е уязвимо от прах

- оборудването е уязвимо от температурни промени

2

2

20

18/5

- щети причинени от трета страна 

-природни бедствия

-отпадане на устройството

-пожар

-наводнение

-кражба

-неясен договор по обслужване и поддръжка-недоволен бивш служител

-слаб контрол на физическия достъп

-оборудването се намира в зона уязвима от наводнение

-проблем с началната инсталация

3

1

15

19/5

-лицето не е на разположение 

-разкриване на информация

-пробив в сигурността поради неспазване на процедурите-липса на култура по ИС

-слаба мотивация

-неясно описани отговорностите

-липса на политика по “чисто бюро” и “чист екран”

2

2

20

20/5

-терористични действия 

-бомбена атака

-щети причинени от трети страни

-природни бедствия

-вандализъм

-наводнение

-пожар-слаб физически контрол

-липса на защита на прозорци, врати.

-нестабилно електрозахранване

-недостатъчна подготвеност на персонала в авариини ситуации

-няма установен план за непрекъснатост на бизнеса

3

3

45

 

 

 

План за третиране на риска

В процеса на внедряване на СУИС се изготви и прие План за Третиране на Риска(ПТР), включващ одобрените контроли, техния приоритет, срокове и отговорници по внедряване.

На този етап Форумът по информационна сигурност и Ръководството на „Ай Би Ес България” ЕООД дефинираха, че за приемлив риск се счита всеки с коефициент по-малък или равен на 27. Когато оценката на риска е под това ниво се приема, че няма необходимост от третиране, в противен случай трябва да се вземе решение за :

  • прилагане на подходящи механизми за контрол;
  • избягване на риска;
  • прехвърляне на риска към трети страни (застраховане).
    Въз основа на таблицата за оценка на риска бяха идентифицирани 6 актива с рейтинг над 27. За тях бяха подбрани икономически обосновавани контроли, защитни средства и организационни мерки за третиране на риска. Наборът от добри практики за управление на информационната сигурност ISO/IEC 27002 предлага широк кръг от подходящи контроли, без да претендира, че покриват всички възможни ситуации и заплахи. Ръководството следи за изпълнението на плана и навременното внедряване на контролите. Използва се методология за измерване на ефективността от приложените действия и оценка дали те постигат поставените цели.

 

Актив / Текущ Риск

Контрол

Отговорник

Приоритет

Срок

Остатъчен риск

1/45

1. Провеждане на периодични обучения по ИС.

2. Да се извършват периодични проверки дали политиките по чисто бюро и чист екран се спазват от персонала. Да се създадат доклади с резултат от проверките.

3. Да се създаде процедура по връщане на активите, когато служителя напуска работа.

4. Да се купят заключващи устройства за мобилните компютри.1.Отговорник по сигурността

2.Отговорник по сигурността

3.Експерт по човешки ресурси

4.Системни администратори

1

  1. 1.  30.09.2009
  2. 2.  01.08.2009
  3. 3.  30.09.2009
  4. 4.  15.08.2009

20

4/30

1. Да се създаде процедура по контрол на достъпа до устройствата. 

2. Да се създаде отдалечено хранилище за събитията свързани с ИС

3. Да се въведат подобрения по управление на промените

4. Да се провери възможността за управление с помощта на криптирана връзка.1.Отговорник по сигурността

2.Системни администратори

3.Отговорник по сигурността

4.Системни администратори

2

1. 01.09.2009 

2. 01.10.2009

3. 30.09.2009

4. 30.08.2009

24

5/30

1. Всички стари устройства, за които не съществува поддръжка да бъдат подменени 

2. Да се осигури договор за поддръжка със съответните гарантирани нива на услугата.

3. Да се създаде отдалечено хранилище за събитията свързани с ИС

4. Да се създаде процедура по създаване на бекъпи.1.Финансов директор

2.Финансов директор

3.Системни администратори

4.Системни администратори

1

1. 01.11.2009 

2. 01.11.2009

3. 30.09.2009

4. 30.08.2009

20

10/30

1. Да се набавят заключващи се метални шкафове за съхранение на документи. 

2. Да се управлява достъпа до документацията.

3. Да се създаде запис с притежателите на ключове, както и процедура по връщането им при напускане.1. Финансов директор

2. Финансов директор

3. Отговорник по сигурността

1

1. 01.09.2009 

2. 01.09.2009

3. 30.10.2009

20

14/60

1. Да се инсталира система за наблюдение на влажност, температура и сигнализация при наводнение. 

2. Да се въведат подобрения по управлението на промените1. Системни администратори

2.Отговорник по сигурността

2

1. 01.09.2009 

2. 01.09.2009

18

20/45

1. Обученията за действие при бедствени ситуации и аварии трябва да се провеждат на по-чести интервали. 

2. Да се създаде план за непрекъснатост на бизнеса.1. Отговорник по сигурността

2. Отговорник по сигурността

1

1. 01.07.2009 

2. 01.08.2009

24

 

 

Декларация за приложимост

За създаването на “Декларацията за приложимост” в „Ай Би Ес България” ЕООД бяха използвани 133 контрола изброени в стандарта ISO/IEC 27002. Този списък не гарантира, че обхваща всички възможно ситуации, за това там където е необходимо контролите могат да бъдат допълнени според конткретната ситуация.

Всички участници във Форума по информационна сигурност трябва да се запознят със списъка на контролите и да определят кои от тях вече се прилагат и кои не. Контролите, които не са приложими за нашата компания ще бъдат пропуснати, а мотивите за това обосновани.

 

 

А.5    Политика по сигурност

 

А.5.1 Политика за информационна сигурност

 

 

Контрол

Описание

Внедрен

Пояснения

А.5.1.1 Документ за политика по информационна сигурност

Документът за политика по информационна сигурност трябва да бъде одобрен от ръководството, публикуван и съобщен на всички служители и заинтересовани външни страни.

Да

“Политиката по информационна сигурност” е одобрена от изпълнителния директор на организацията.А.5.1.2Преглед на политиката по информационна сигурност 

Организацията трябва да преразглежда политиката по информационна сигурност през планирани интервали, с цел да оцени нейната ефективност по отношение на инцидентите в сигурността, влиянието върху бизнеса и промените в технологията.

Да

Политиката за сигурност се преглежда с цел да се потвърди нейната адекватност (в период не по-голям от 12 месеца). 

 

 

 

А.6 Организационна сигурност

 

А.6.1 Организационна сигурност

 

Контрол

Описание

Внедрен

Пояснения

А.6.1.1 Форум по информационна сигурност

а) Преглежда и одобрява на политиките за сигурност

b) Наблюдава промените в заплахите за сигурността

с) Наблюдава инцидентите и пробиви в сигурността

d) Одобрява базисните мерки за сигурност

Да

Ръководството демонстрира своята ангажираност към процеса по внедряване на СУИС чрез участието си в глобалната корпоративна програма по въпросите свързани с ИС, заделянето на средства и човешки ресурси.А.6.1.2Координиране на информационната сигурност 

Когато е необходимо, големите организации трябва да установят форум за сигурност, съставен от представители от цялата организация. Този форум ще координира внедряването на средствата за контрол на сигурността в цялата организация.

Да

Всички дейности в „Ай Би Ес България” ЕООД са съгласувани с корпоративните центрове за информационна сигурност.А.6.1.3Разпределяне на отговорностите за информационната сигурност 

Отговорностите и правомощията на персонала, който се занимава с подсигуряване на активите, трябва да са дефинирани Това включва номиниране на офицер по сигурността и идентифициране на притежателите на подсигурявани активи.

Да

Всички служители са длъжни да са наясно с отговорностите и процедурите свързани с ИС.А.6.1.4Процес на оторизация за средствата, обработващи информация 

Мениджмънта трябва да одобри нови единици за обработка на информацията

Да

Стандартният потребителски достъп до системи и апликации се заявява следвайки локалните процедури и практики по човешки ресурси в „Ай Би Ес България” ЕООД. За достъп до всички поверителни корпоративни ресурси е нужно одобрение от притежателя на съответната система.А.6.1.5Споразумения за конфиденциалност 

Трябва да се изисква от служителите да спазват установените правила за защита на информацията.

Да

Всички новопостъпили служители подписват трудов договор съдържащ клауза за конфиденциалност на информацията.А.6.1.6Коопериране между организациите 

Организациите трябва да поддържат подходящи контакти с външни страни. Външни страни са: изпълнителна власт, регулаторни органи, доставчици на информационни услуги и телеком оператори. Такива контакти трябва да бъдат потърсени за съдействие в случай на инцидент в сигурността.

Да

Отговорника по сигурността е в контакт с групи и форуми занимаващи се с въпросите по информационна сигурност (например ISACA).А.6.1.7Независим преглед на информационната сигурност 

Организацията трябва да преглежда внедряването на системата за информационна сигурност безпристрастно Този преглед може да бъде направен от вътрешни и/или външни независими одитори.

Да

В „Ай Би Ес България” ЕООД  поне веднъж годишно се извършва преглед на СУИС. 

 

А.6.2 Сигурност на достъп на външни лица

 

Контрол

Описание

Внедрен

Пояснения

А.6.2.1 Определяне на рисковете при достъп на външни страни

Организациите трябва да определят рисковете за техните активи, които са достъпни за външни страни

Да

Всички хора, които не са служители на комопанията са третирани като „посетители”.А.6.2.2Договори за изискванията за сигурност с външни страни 

Достъпът на външни страни до средствата на организацията трябва да бъде уточнен във формален договор, описващ изискванията за сигурност.

Да

Всички партнюри, които се нужадаят от достъп са длъжни да попълнят формата за посетители, с която декларират своята отговорност по ИС в „Ай Би Ес България” ЕООД. 

 

 

А.7 Класификация и контрол на активите

 

А.7.1  Отговорност за активите

 

Контрол

Описание

Внедрен

Пояснения

А.7.1.1 Опис на активите

Организациите трябва да установят и поддържат опис на всички важни активи.

Да

Поддържа се база данни съдържаща пълна информация за актвите.А.7.1.2Притежание на активите 

Всички информационни активи асоциирани с обработката на информация трябва да имат ясно дефиниран „собственик” в организацията.

Да

Поддържа се списък със собствениците на информационни активи. Списъка се преглежда веднъж годишно за несъответствия.А.7.1.3Допустимо използване на активи 

Правилата за приемливо ползване на информацията и активите асоциирани с обработката и трябва да са идентифицирани, документирани и имплементирани.

Да

Допустимото използване е ясно дефинирано в политиките и процедурите на компанията. 

 

А.7.2  Класификация на информацията

 

Контрол

Описание

Внедрен

Пояснения

А.7.2.1 Насоки за класификация

Класификацията на информационната сигурност трябва да взема по внимание бизнес нуждите и влиянието върху бизнеса.

Да

Всяка информация в организацията е класифицирана според типа и.А.7.2.2Класификация и боравене с информацията 

Трябва да се установят процедури за дефиниране на идентификация и боравенето с информация, във връзка с нейното класифициране.

Да

Всяка информация притежава „етикет”, който ясно показва класа на конфиденциалност. 

А.8 Сигурност на персонала

 

А.8.1 Правила и контроли към кандидатите преди наемане

 

Контрол

Описание

Внедрен

Пояснения

А.8.1.1 Описание на ролите и отговорностите в длъжностните характеристики

Ролите, правата и отговорностите, свързани със сигурността, трябва да са описани в длъжностните характеристики.

Да

Всички служители имат описание на ролята в организацията и техните отговорности.А.8.1.2Политика и щателна проверка на персонала 

При кандидатстване за работа трябва да се правят проверки за сигурност на кандидатите. Проверките включват - задоволителни препоръки - достоверност на автобиографията - проверка на самоличността.

Да

В „Ай Би Ес България” ЕООД се проверяват всички рефенренции на кандидатите, както и точността на CV-то им.А.8.1.3Срокове и условия за наемане 

При започване на работа всички служители трябва да подпишат договор съдържащ условията на наемане, в които да се  опише организационната декларацията за информационна сигурност.

Да

Всички договори за наемане включват точка с отговорността към сигурността, която служителите носят. 

 

 

А.8.2  Правила и контроли към служителите на организацията

 

 

Контрол

Описание

Внедрен

Пояснения

А.8.2.1 Отговорност на ръководството

Ръководството трябва да изисква от всички служители и партньори да прилагат мерките за сигурност в съответствие с установените политики и процедури на организацията.

Да

Всички служители са запознати с мерките и политиките за сигурност.А.8.2.2Обучение по информационна сигурност 

Всички служители и партньори трябва да са обучени за политиките и процедурите на компанията, касаещи информационната сигурност в тяхната пряка работа.

Да

Всички служители са преминали вътрешно обучение по върпосите свързани с ISO 27001.А.8.2.3Дисциплинарен процес 

Трябва да има ясно дефиниран десциплинарен процес за служителите извършили нарушение в сигурността.

Да

Служителите са нястно, че носят пълна отговорност за сигурността на ифнормацаията. 

А.8.3 Правила при напускане на работа

Контрол

Описание

Внедрен

Пояснения

А.8.3.1 Отговорности при прекратяване на трудови взаимоотношения

Отговорностите по прекратяване на договора трябва да са изяснени.

Да

Отдела по човешки ресурси е отговорен за изпълнението на глобалните корпоративни процедури по прекратяване на трудови взаимоотношения.А.8.3.2Връщане на активи 

Всички служители на организацията са длъжни да възтановят активите, които са им били предоставени от организацията по време на служба.

Да

Да осигури връщане на всички активи предоставени на служителя.А.8.3.3Премахване на правата за достъп 

Всички права на достъп на служител, с който организацията прекратява трудови взаимоотношения е нужно да бъдат преустановени.

Да

Правата на достъп се изтриват от всички системи на организацията. 

 

 

 

А.9 Физическа сигурност на работната среда

 

А.9.1 Зони на сигурност

 

Контрол

Описание

Внедрен

Пояснения

А.9.1.1

Периметър на физическата сигурност

Трябва да се определят зони за сигурност с ограничен достъп.

Да

„Ай Би Ес България” ЕООД се намира в собстена сграда, където се използват контроли за сигурност.А.9.1.2 

Контрол на физическия достъп

Трябва да са прилагат контроли за физически достъп, за да се гарантира, че единствено служителите имат достъп до зоните за сигурност.

Да

Необходимо е контролирането на достъпа до всички зони.А.9.1.3 

Сигурност на работните помещения

Трябва да е налице контрол на достъпа до работните помещения.

Да

Предотвратен е достъпа до помещенията съдържащи чувствителна информация.А.9.1.4 

Защита срещу външни заплахи

Да се предвиди защита срещу земетресения, наводнение, пожар и вандализъм.

Да

Осигурена е защита чрез контроли.А.9.1.5 

Работа в защитени зони

Защитените зони трябва да са физически защитени и да се осигурят правила за контрола на достъпа.

Да

Целта е да се гарантира сигурността на служителите и оборудването.А.9.1.6Публичен достъп, зони за доставки и зареждане 

Зоните за публичен достъп трябва да са наблюдавани и изолирани от работните помещения.

Да

Осигурени са зони за доставки и зареждане. 

А.9.2 Сигурност на оборудването

Контрол

Описание

Внедрен

Пояснения

А.9.2.1 Разположение и защита на оборудването

Оборудването трябва да бъде защитено от повреди, неблагоприятна околна среда, кражба и неоторизиран достъп.

Да

Инсталирани са контроли срещи физически заплахи и такива на околната среда.А.9.2.2Услуги по поддръжката 

Организацията трябва да осигури непрекъсваемост на инфраструктурното оборудването.

Да

Оборудване което се използва 24х7.А.9.2.3Сигурност на кабелите 

Организацията трябва да осигури подходяща защита на кабелите, през които преминава информация.

Да

Кабелите са положени в двоен под.А.9.2.4Поддръжка на оборудването 

Оборудването трябва да се поддържа постоянно, за да се осигури неговата наличност и безотказност.

Да

Изискване във фирмата е да се поддържа оборудването за да се гарантира безотказността му.А.9.2.5Сигурност на оборудването извън помещенията 

Когато оборудването се използва извън организацията, се изисква прилагането на средства за защита за неговата сигурност.

Да

Декларация за сигурност подписана от служителите които работят извън пределите на организацията.А.9.2.6Сигурност при преместване или повторна употреба на оборудването 

Организацията трябва да осигури пълното изтриване на информацията при преместване или бракуване на оборудването.

Да

Всяка чувствителна информация се унищожава по сигурен начин.А.9.2.7Изнасяне на активи от организацията 

Оборудване, информация или софтуер не трябва да напускат пределите на компанията без изричното позволение за това.

Да

Само оторизираните служители имат право да изнасят активи от рамките на организацията. 

А.10 Управление на комуникациите и операциите

 

А.10.1 Оперативни процедури и отговорности

 

Контрол

Описание

Внедрен

Пояснения

А.10.1.1 Документирани работни процедури

Организацията трябва да осигури, че всички процедури свързани с обработката на информацията са документирани.

Да

Служителите на „Ай Би Ес България” ЕООД са задължени да следват всички оперативни процедури.А.10.1.2Контрол на промените 

Промените в работните помещения и системи трябва да бъдат контролирани.

Да

Приложените са най-добрите практики в областта.А.10.1.3Разделяне на задълженията 

Организацията да осигури дефиниране на отговорностите и задълженията, с цел защита от инциденти, свързани с препокриване на отговорности.

Да

Защита от промени извършение от персонал без необходимото ниво на достъп.А.10.1.4Разделяне на оперативните и развойни средства 

Създаването на софтуер и софтуерът в експлоатация трябва да са разделени и трансфера от „развой” към „работа” трябва да се документира.

Да

Всички отдели в организацията са разположени в отделни виртуални локални мрежи. 

А.10.2 Мениджмънт на услуги предоставяни от външни компании

Контрол

Описание

Внедрен

Пояснения

А.10.2.1 Доставка на услуги

Бъдещото разширяване в условията за обработка и съхраняване следва да се планират ефективно.

Да

Използвани са услуги на външни компании.А.10.2.2Преглед и мониторинг на услугите 

Организацията трябва осигури установяването и адекватното тестване на критериите за приемане на нови системи.

Да

Извършва се мониторинг с цел да се наблюдават услугите от външни компании.А.10.2.3Контрол на промените по услуги 

Промени по доставката на услуги, включително приложение и усъвършенстване на съществуващите политики по информационна сигурност трябва да бъдат контролирани.

Да

Извършва се контрол на промените. 

 

 

А.10.3  Планиране и установяване на системата

 

Контрол

Описание

Внедрен

Пояснения

А.10.3.1 Управление на капацитета

Бъдещото разширяване в условията за обработка и съхраняване следва да се планират ефективно.

Да

Увеличаването на капацитета е част от безнес стратегията на „Ай Би Ес България” ЕООД.А.10.3.2Одобрение на системата 

Организацията трябва осигури установяването и адекватното тестване на критериите за одобрение на нови системи.

Да

Всички системи се проверяват преди въвеждането им в действие. 

А.10.4 Защита от недоброжелателен софтуер

Контрол

Описание

Внедрен

Пояснения

А.10.4.1 Средства за контрол срещу зловреден код

Процедура трябва да засяга мерките за защита срещу недоброжелателен софтуер (вируси, червеи, троянски коне).

Да

Осигурена е защита срещу словреден код.А.10.4.2Средства за контрол срещу мобилен код 

Там където използването на мобилен код е позволено, трябва да се осигури неговото опериране спрямо политиките за сигурност.

Да

Осигурена е защита срещу мобилен код. 

 

А.10.5  Резервно копиране (back-up)

 

Контрол

Описание

Внедрен

Пояснения

А.10.5.1

Резервно копиране на информация

Съгласно приетата политика за резервно копиране трябва да се правят резервни копия на информацията и софтуера, които да се тестват редовно.

Да

Регулярно се извършват бекъпи на всички устроства от ИТ инфраструктурата. 

А.10.6  Управление на мрежовата сигурност

Контрол

Описание

Внедрен

Пояснения

А.10.6.1 Контрол на мрежата

Сигурността на мрежите трябва да бъде контролирана, включително и поддържащото оборудване.

Да

Изградена е система за контрол на мрежата и сигурността в нея.А.10.6.2Сигурност на мрежовите услуги 

Възможностите на мрежовата сигурност, нивата на услугите и изискванията на ръководството трябва да бъдат идентифицирани и включени във всички споразумения за мрежови услуги, без значение дали услугата е аутсорсната или се предоставя от служители на организацията.

Да

Системните администратори следят и прилагат всички мрежови заплахи съгласно процедурата. 

 

А.10.7 Боравене с носители на информация

Контрол

Описание

Внедрен

Пояснения

А.10.7.1

Управление на преносими информационни носители

Трябва да се установят средства за контрол и управление на премахването и преместването на носители (дискове, USB Flash).

Да

Следва се политиката по боравене с преносими носители.А.10.7.2Бракуване на носители 

Всички информационни носите трябва да бъдат унищожени по начин гарантиращ, че информацията на тях не може да бъде възтановена. Трябва да се използват съответните процедури за този процес.

Да

Политика по сигурно унищожение на информацията.А.10.7.3 

Процедури за боравене с информация

Трябва да се установят и поддържат процедури за боравене, съхранение и разпространение на информация, които да са защитени от нерегламентиран достъп.

Да

Следва се политиката по боравене с информацията.А.10.7.4Сигурност на системната документация 

Системната документация трябва да бъде пазена от неоторизиран достъп.

Да

Системната документация се сухранява на сървър без достъп до локалната мрежа. 

 

А.10.8 Обмен на информация и софтуер

 

Контрол

Описание

Внедрен

Пояснения

А.10.8.1 Договорености за обмен на информация и софтуер Информацията и софтуерът трябва да се движат между организациите при контролирани условия. Тези условия трябва да са включени в специални договори.

Да

Всички условия се регламентирани в съответните договори.
А.10.8.2

Сигурност при електронната търговия

Носителите в движение и електронната търговия трябва да са защитени от неразрешен достъп. Някои от средствата за контрол може да са използването на одобрени куриери и специална автентификация.

Не

„Ай Би Ес България” ЕООД не извършва електронна търговия.А.10.8.3Сигурност на носителите по време на транспортиране (CD, DVD, USB memory ...etc.) 

Информационните носители трябва да бъдат пазени от неоторизиран достъп и унищожаване по време на транспортиране извън пределите на организацията.

Да

Политика по използване на преносими информационни носители.А.10.8.4 

Сигурност на електронните съобщения

Информацията предавана чрез електронни съобщения трябва да бъде предпазена по подходящ начин.

Да

Всички електронни съобщения в организацията се предават чрез криптирани сесии.А. 10.8.5Сигурност на бизнес информационните системи 

Трябва да се установят политика и процедури, които да обезпечат сигурността бизнес информационните системи от измами и повреждане на информация.

Да

Спазват се правилата определени в политика по информационна сигурност. 

А.10.9 Електронна търговия

Контрол

Описание

Внедрен

Пояснения

А.10.9.1 Електронна търговия

Информацията, която се предава през публични мрежи трябва да бъде защитена от измами, прихващане, разкриване и промени.

Не

„Ай Би Ес България” ЕООД не извършва електронна търговия.А.10.9.2On-line транзакции 

Информацията използвана в on-line транзакциите трябва да бъде защитена от загуба, разкриване, копиране, промяна и грешки в пренасянето.

Не

Рискът и контролите за транзакции с електронното банкиране се прехвърлени на банката обслужваща „Ай Би Ес България” ЕООД.А.10.9.3Публична информация 

Трябва да се установят политика и процедури, които да гарантират, че обществено достъпната информация е защитена от неразрешени промени.

Да

Организацията не продоставя публично достъпна информация. 

 

А.11 Контрол на достъпа

 

А.11.1 Работни изисквания за контрол на достъпа

 

Контрол

Описание

Внедрен

Пояснения

А.11.1.1 Политика за контрол на достъпа

Организацията трябва да обезпечи документирането и контролирането на достъпа на всички според възприетата политика.

Да

„Ай Би Ес България” ЕООД има установена политика по контрол на достъпа. 

А.11.2 Управление на достъпа от потребител

Контрол

Описание

Внедрен

Пояснения

А.11.2.1 Регистрация на потребител

Трябва да се установи процес на формална регистрация на потребителите на системата.

Да

Всички системи изискват парола и потребителско име за достъп.А.11.2.2Управление на привилегиите 

Привилегированият достъп до информация трябва да е ограничен и контролиран.

Да

Привилегиите за достъп се ограничават от екипа по човешки ресурси.А.11.2.3Управление на паролите на потребителите 

Определянето на пароли трябва да се контролира.

Да

Всички потребители следват системните правила за управление на паролите.А.11.2.4Преглед на правата на достъп на потребителите  

Организацията трябва да прави периодичен преглед на правата за достъп на потребителите.

Да

Екипа по човешки ресирси периодично проверява правата на всеки потребител. 

 

 

 

 

 

А.11.3 Отговорност на потребителя

Контрол

Описание

Внедрен

Пояснения

А.11.3.1 Използване на пароли

Потребителите трябва да следват строги правила при избора и използването на парола.

Да

Въведена е политка за паролите.А.11.3.2Оборудване без наблюдение 

Потребителите трябва да са уверени, че техниката, която е оставена без наблюдение е подходящо защитена.

Да

Потребителите спазват политиката по чисто бюро и чист екран. Провеждат се периодични проверки дали политиките се спазват.А.11.3.3Политика по „Чисто бюро” и „Чист екран” 

Политиката по чисто бюро и чист екран трябва да бъдат приведени в действие.

Да

Политиките са приведени в действие. 

 

 

А.11.4 Контрол на достъпа до мрежа

 

Контрол

Описание

Внедрен

Пояснения

А.11.4.1 Политика по използване на мрежовите услуги

Потребителите трябва да имат достъп само до услугите, от които имат нужда. Всички останали услуги трябва да бъдат забранени.

Да

Екипа на човешките ресурси заедно с ситемните администратори правят периодичен преглед на мрежовите услуги предоставени на портебителите.А.11.4.2Удостоверяване на отдалечени потребители 

Външният достъп трябва да се удостоверява.

Не

Отдалечените потребители са забранени в организацията.А.11.4.3Идентификация на мрежовото оборудване 

Трабва да се установи автоматична идентификация на отдалечените устроиства и оборудване.

Да

Имплементрана е атвтоматичана идентификация за сървърите и мрежеите.А.11.4.4Дистанционна диагностика и диагностичен порт 

Достъпът до портовете за диагностика трябва да е защитен.

Да

Достъпа е ограничен само за мрежата за мрежов контрол.А.11.4.5Изолиране на мрежите 

Мрежи, които нямат връзка, трябва да се изолират.

Да

Мрежите са изолирани в отделни виртуални мрежи с контролиран достъп.А.11.4.6Контрол на мрежовата свързаност 

Връзката на потребителите към мрежата трябва да се контролира според определените правила в А.9.1.1.

Да

Достъпа се контролира според политиката за контрол на достъпа.А.11.4.7Контрол на мрежовите пътища 

Трябва да се гарантира, че информационните потоци не представляват заплаха за политиката по контрол на достъпа до бизнес приложенията.

Да

Имплементирана с цел да се защитят споделените мрежи от неоторизиран достъп. 

А.11.5 Контрол на достъпа до операционните системи

Контрол

Описание

Внедрен

Пояснения

А.11.5.1 Процедура за установяване на сигурна  потребителска сесия

Трябва да се прилага защита при процеса на установяване на достъп до информация.

Да

Потребителските сесии се контролират чрез политиките по контрол на достъпа до операционните системи.А.11.5.2Идентификация на потребители 

Потребителите трябва да имат уникален идентификационен код.

Не

Потребителските имена се управляват от съответните корпоративни звена.А.11.5.3Система за управление на паролите 

Системата за управление на паролите трябва да гарантира, че паролите са ефективни.

Да

Системата за контрол на достъпа до операционните системи следи за слаби пароли и проверява тяхната сигурност.А.11.5.4Използване на системните инструменти 

Работата със системни инструменти трябва да се контролира стриктно.

Да

Достъп до системните инструменти е забранен на всички работни станции.А.11.5.5Прекратяване на потребителска сесия (Log Off) 

Терминалите с висока степен на защита трябва автоматично да се изключват след определен период на неактивност.

Да

Системата за контрол на достъпа до операционните системи следи продължителността на потребителските сесии.А.11.5.6Ограничаване продължителността на сесиите 

Времето за връзка към системите с висока степен на защита трябва да е ограничено.

Да

Тези правила са в сила само за някой от системите. 

 

А.11.6 Контрол на достъпа до приложения

Контрол

Описание

Внедрен

Пояснения

А.11.6.1 Рестрикция на достъпа до информация

Достъпът до информационните системи трябва да бъде ограничен според определените правила в А.9.1.1.

Не

Достъпа до информация се разрешава от корпоративните звена отговорни за тази дейност.А.11.6.2Изолиране на чувствителни (уязвими) системи 

Системите с висока уязвимост трябва да имат тяхна собствена, изолирана компютърна физическа среда.

Да

Чувствителните системи в организацията са достъпни само за оторизирания персонал. 

А.11.7 Мобилни компютри и комуникации

Контрол

Описание

Внедрен

Пояснения

А.11.7.1 Работа с мобилни устройства

Ясни правила и средства за контрол трябва да осигурят сигурността на информацията в дейностите с мобилни компютри.

Да

Следва се корпоративната “Политиката за използване на мобилни устройства”.А.11.7.2Телекомуникации 

Дефинирани правила и процедури трябва да контролират телекомуникационните дейности.

Да

„Ай Би Ес България” ЕООД следва корпоративното  “Ръководство за работа с Телекомуникационни системи”. 

 it7

От графиката се вижда, че всяка година приблизително 1000 нови компании се сертифицират по този международен стандарт. Сред тях са държавни организации, университети, полиция, болници, пенсионни фондове, а също така телекоми, банкови и застрахователни институции, производствени, ютилити компании и такива в сферата на услугите. Забележителен е факта, че началото на Световната финансова криза, не оказва съществено влияние върху тази тенденция. Това е неуспоримо доказателство, че все повече организации по света осъзнават важността на преимуществата, които една СУИС може да им даде.

В класацията на държавите имащи най-голям брой компании сертифицирани по този стандарт, България е на 29-то място, намирайки се в съседна позиция с държави като Франция, Турция, Бразилия и Мексико.

А.12 Развитие и поддръжка на информационните системи

 

А.12.1 Изисквания за сигурност на системите

 

Контрол

Описание

Внедрен

Пояснения

А.12.1.1 Анализи и спецификация на изискванията за сигурност

Всяка нова система и/или осъвременяване трябва да е съобразено с изискванията за сигурност.

Не

Анализа за сигурността на системите се подсигурява от външен партньор. 

А.12.2 Изисквания за сигурност на системите

Контрол

Описание

Внедрен

Пояснения

А.12.2.1 Потвърждаване на входните данни

Верността на въвежданата в системата информация трябва да се потвърждава (валидатори на edit-контроли, пост сейв агенти).

Не

„Ай Би Ес България” ЕООД не извършва обработка на информация.А.12.2.2Контрол на вътрешната обработка 

Обработените в системата данни трябва да се проверят за вярност.

Не

„Ай Би Ес България” ЕООД не извършва обработка на информация.А.12.2.3Достоверност на съобщенията 

Легитимацията на съобщенията трябва да обезпечи достоверност, когато това се изисква от съображения за сигурност.

Не

„Ай Би Ес България” ЕООД не извършва обработка на информация.А.12.2.4Потвърждаване на изходните данни 

Изходящите данни, трябва да се проверят за вярност и точност.

Не

„Ай Би Ес България” ЕООД не извършва обработка на информация. 

А.12.3 Криптографски средства за контрол

Контрол

Описание

Внедрен

Пояснения

А.12.3.1 Политика при използването на криптографски средства за контрол

Такава трябва да бъде установена и поддържана.

Да

Всички работни станции и лаптопи разполагат с директория, върху която са приложени криптографски средства, с което се гарантира, че информацята е достъпна само за нейния собственик.А.12.3.2 

Управление на ключовете

Трябва да се установи управление на ключовите, базирано на конкретни процедури, с цел съдействие при избора на криптографски техники.

Не

Тази дейност е изнесена към други клонове на IBS Corporation. 

А.12.4 Сигурност на системните файлове

Контрол

Описание

Внедрен

Пояснения

А.12.4.1

Контрол на операционния софтуер

Операционният софтуер, тестовите данни, библиотечните обекти трябва да са защитени от неразрешен достъп и промяна.

Не

Тази дейност е изнесена към други клонове на IBS Corporation.А.12.4.2 

Защита на данните за тестове на системата

Тестовата инфорамация трябва да бъде подбрана внимателно и защитавана.

Не

Тази дейност е изнесена към други клонове на IBS Corporation.А.12.4.3Контрол на достъпа до кода на  програмите 

Достъпа до сорс кода на програмите трябва да бъде ограничен.

Не

Тази дейност е изнесена към други клонове на IBS Corporation. 

 

А.12.5 Сигурност в процесите на развитие и поддръжка

 

Контрол

Описание

Внедрен

Пояснения

А.12.5.1 Процедури за контрол при промени

Промените трябва стриктно да се контролират чрез установени процедури.

Не

Процедурите се управляват от други клонове на IBS Corporation.А.12.5.2Технически преглед на промените в операционните системи. 

Приложните системи трябва да се преглеждат и тестват след извършване на промени.

Не

„Ай Би Ес България” ЕООД не извършва промени по операционните системи. Тези функции за изнесени в други клонове на организацията.А.12.5.3Ограничения на промените върху софтуерните пакети 

Промените на софтуерните пакети трябва да се контролират стриктно и да се избягват.

Не

Организацята не извършва промени по софтуерните пакети. Тази функция е изнесена в други клонове на IBS Corporation.А.12.5.4Изтичане на информация 

Изтичането на информация трябва да бъде предотвратено.

Да

Всички служители на “Ай Би Ес България” имат подписан договор за фирмена тайна.А.12.5.5Аутсорсинг на софтуераната разработка 

Трябва да се извършва под надзора на организацията.

Не

В “Ай Би Ес България” няма аутсорсинг на софтуерната разработка. 

А.12.6 Сигурност в процесите на развитие и поддръжка

Контрол

Описание

Внедрен

Пояснения

А.12.6.1 Контрол на техническите уязвимости

Организацията трябва да разполага с навременна информация относно техническите уязвимости и да изготвя оценка на заплахата, която те представляват.

Да

Извършват се ежемесечни тестове за преглед на техническите уязвимости в организацията. За тази цел се използва продукта Nessus. 

А.13 Мениджмънт на инцидентите в информационните системи

 

А.13.1 Репортинг на събитията по ИС и слабостите в нея

 

Контрол

Описание

Внедрен

Пояснения

А.13.1.1 Докладване за събития свързани с ИС

Събитията засягащи информационната сигурност трябва да се докладват по установен във възможно най-кратки срокове.

Да

Всички инциденти свързани с информационната сигурност се докладват в отдела на IBS отговорен  по тази част.А.13.1.2Докладване при слабости в сигурността 

Всички служители и партньори са длъжни да докладват при забелязан или подозиран проблем със сигурността на системите или услугите.

Да

Всички служители са инструктирани да докладват при проблеми свързани с информационната сигурност. 

А.13.2 Мениджмънт на информационната сигурност и подобрения

Контрол

Описание

Внедрен

Пояснения

А.13.2.1 Отговорност и процедури

Отговорностт на ръководството и процедури по ИС трябва да бъдат установени за да се осигури бърза и ефективна реакция по време на инциденти.

Да

“Ай Би Ес България” следва глобалните корпоративни процедури по Мениджмънт на инцидентите.А.13.2.2Поуки от инцидентите свързани с ИС 

Инцидентите свързани с ИС трябва да бъдат наблюдавани с цел предотвратяването на повторната им поява.

Да

Всички инциденти свързани с ИС биват изучавани и 

коментирани в клоновете отговорни за техния мениджмънт.А.13.2.3Събиране на доказателства

Когато последващите действия срещу лице/организация с отношение в ИС включват правно изясняване на ситуацията, трябва да бъдат събирани и представени доказателства.

Да

За тази дейност е отговорен “Отговорника по сигурността” в “Ай Би Ес България”. Мениджмънта на компанията решава дали трябва да се търси правна отговорност по случая. 

А.14 Осигуряване на непрекъснатост на бизнеса

 

А.14.1 Аспекти на управлението на бизнес дейностите

 

Контрол

Описание

Внедрен

Пояснения

А.14.1.1 Процеси на управлението на бизнес дейността

Трябва да се установят такива процеси, за да се осигури непрекъсваемост на работните дейности.

Да

“Ай Би Ес България” има изготвен и одобрен план за непрекъснатост на бизнес процесите.А.14.1.2Анализ на бизнес дейността 

Трябва да се прилага изчерпателен процес на управление на риска върху процесите оказващи влияние бизнес дейността.

Да

Включено в плана за непрекъснатост.А.14.1.3Изготвяне и внедряване на планове за непрекъсване на бизнес дейността при сривове и аварии 

Тези планове трябва да осигуряват поддръжка или своевременно възстановяване на работните дейности.

Да

Включено в плана за непрекъснатост.А.14.1.4Рамка на планиране на непрекъсване на бизнес дейността 

Плановете трябва да имат единна рамка за улесняване тестването и преглеждането на плановете.

Да

Включено в плана за непрекъснатост.А.14.1.5Тестване, поддръжка и преоценка на плановете 

Плановете за непрекъснатост на бизнеса трябва да бъдат периодично тествани с цел да се гарантира тяхната адекватност и ефективност.

Да

Включено в плана за непрекъснатост. Провеждат се регулярни тестове. 

 

 

 

А.15 Съответствие

 

А.15.1 Съответствие със законовите изисквания

 

Контрол

Описание

Внедрен

Пояснения

А.15.1.1 Определяне на приложимото законодателство

Всички приложими законови и регулаторни изисквания трябва да са документирани.

Да

Всички клонове на IBS са длъжни спазват закона за защита на личната информация в съответната държава.А.15.1.2Права на интелектуална собственост 

Трябва да се установи процедура, засягаща изискванията за защита на интелектуалната собственост.

Да

Всички служители имат подписано споразумение да не разкриват чувствителна информация.А.15.1.3Защита на записи Важните записи трябва да бъдат защитени от загуба, повреждане и разкриване (напр. трудови договори).

Да

“Ай Би Ес България” съхранява всяка чувствителна информация в метални шкафове.А.15.1.4Защита на данните и конфиденциалност на личната информация 

Личната информация трябва да бъде защитена според приложимото доказателство.

Да

“Ай Би Ес България” следва глобалните корпоративни политики за “Защита на информацията” и “Оторизация за достъп до информация”.А.15.1.5Защита от неправилно използване на средствата за обработка на информация 

Управлението трябва да контролира използването на тези средствата.

Да

Забранено е използването  на информационните системи за неоторизирани цели.А.15.1.6Регулиране на криптографските средства за контрол  

Криптографските средства за контрол трябва да се използват според приложимите договорености, закони или наредби (по специално в САЩ).

Не

Тази дейност е изнесена към други клонове на IBS Corporation. 

А.15.2 Преглед за съответствие на правилата за сигурност и техническото обезпечаване

Контрол

Описание

Внедрен

Пояснения

А.15.2.1 Съответствие с политиката за сигурност

Организацията трябва да осигури такова съответствие за всички райони и обекти.

Да

Ежемесечно всички директори са осведомявани за промени и нововъведения в политиките на компанията.А.15.2.2Проверяване на техническото съответствие 

Информационните системи трябва да бъдат проверявани за съответствие със стандарти за сигурност.

Да

Екипа на системните администратори проверява ежемесечно за несъответствия във версиите на инсталираните програми и кръпки. 

 

А.15.3 Обсъждане на одита на системата

 

Контрол

Описание

Внедрен

Пояснения

А.15.3.1 Средства за контрол при системен одит

Одитите трябва да се планират и приемат, така че да се минимизира нарушаването на работния процес.

Да

“Ай Би Ес България” извършва регулярни прегледи за техническа съвместимост без да нарушава бизнес процесите.А.15.3.2Защита на инструментите за системен одит 

Те трябва да се защитават с цел избягване на неправилно използване или компрометиране.

Не

Тази дейност е изнесена към други клонове на IBS Corporation. 

 

 

 

 

 

Документиране на системата

Системата по информационна сигурност на “Ай Би Ес България”  е добре документирана – тя включва както задължителните по стандарта документи, така и оперативни процедури, работни инструкции, заповеди, планове, графици и записи. Всички документи са одобрени преди тяхното издаване и периодична проверка за адекватност, като достъпа се управлява съгласно изискванията на СУИС. Политиките, процедурите и документите които бяха внедрени в организацията до този момент са следните:

-         Политика по информационна сигурност

-         Политика по оценка на риска

-         Политика по вътрешната организация на информационната сигурност

-         Политика по управление на активите

-         Политика по сигурност, свързана с човешките ресурси

-         Политика по физическата сигурност

-         Политика по контрол на достъпа

-         Политика по разработване, внедряване и поддържане на информационните системи

-         Политика по управление на инцидентите свързани с информационна сигурност

-         Политика по осъществяване на мрежови връзки с трети страни

-         Политика по изграждане и опериране на виртуални частни мрежи

-         Политика за паролите

-         Политика по сигурност в системите за пренос на глас

-         Политика по сигурност на безжичните мрежи

-         Политика “Чист екран” и “Чисто бюро”

-         Политика по управление на записите

-         Политика по осигуряване на непрекъснатост на бизнес процесите(BCP)

-         Лицензионна политика

-         Политика за защита на личните данни

-         Политика за допустимо използване на активите

-         Процедура по бекъпите

-         Процедура по одит на защитни стени

-         Процедура по мениджмънт на инцидентите

-         Процедура по управление на мрежовите услуги

Програма по внедряване на СУИС

След избиране на подходящите контроли настъпва момента за определяне на етапите по внедряване на СУИС. Участниците във Форума по информационна сигурност  са длъжни да участват активно в съставянето на програмата по внедряване на системата.

Програмата в “Ай Би Ес България”  ЕООД включва следните организационни етапи:

-         специализирано обучение и подготовка на персонала – за този етап е нужно да се определят участниците в обучението, както и да се проведе встъпително обучение на ръководния персонал. За тази цел “Ай Би Ес България”  ЕООД е наела консултантска фирма с опит в областта на информационната сигурност;

-         внедряване на документираната система – нужно е одобрението на ръководството за всяка от политиките и процедурите разработени за СУИС, след което всички служители на организацията е трябва да се запознаят с тях;

-         планиране и подготовка на вътрешен одит – съставяне на програма и план на вътрешния одит;

-         изпълнение на вътрешния одит – препоръчително е той да бъде извършен от външна компания, но практиката показва, че обикновено за тази задача често се назначава вътрешен човек;

-         изготвяне на доклад с резултатите от вътрешния одит;

-         анализ на резултатите – при констатиране на несъответствия е нужно да бъдат предприети превантивни и коригиращи действия;

-         консултации при избор на сертифицираща компания

-         организиране на сертификационен одит

За всеки един от етапите е нужно да има поставени срокове и дефинирани отговорни лица за изпълнението им.

 

 

Вътрешен одит, коригиращи и превантивни действия

При съставяне на одиторския план се взе под внимание състоянието и важността на процесите и областите, които да бъдат подложени на одит. Дефинираха се критериите и обхвата на одита. Изхождайки от добрите практики, Ръководството на “Ай Би Ес България” ЕООД взе решение да назначи за одитор служител на компанията от клон в друга държава. Това гарантира обективност и безпристрастност към процеса.

Беше създадена процедура, в която се документираха отговорностите и изискванията при планирането и провеждането на одита, представените резултати направените записи.

По време на одита бяха открити 4 несъответствия със стандарта. Одиторът класифицира намерените пропуски в следните групи:

  • Ø съществени несъответствия – с този етикет се отбелязват сериозни пропуски по приложение на стандарта. Например, някои части от системата липсват изцяло или се губят отделни, но взаимосвързани елементи;
  • Ø явни несъответствия – тези пропуски не представляват сериозен проблем за компанията, но задължитело трябва да се отстранят в най-кратки срокове;
  • Ø единични пропуски – случаи изискващи внимание, които е възможно в бъдеще да доведат до появата на по-големи проблеми за системата;
  • Ø области изискващи подобрения – слаби страни на системата, които е препоръчително да бъдат подобрени.

 

 

 

 

 

 

 

Списък с несъответствията открити от проведения вътрешен одит в “Ай Би Ес България”.

Номер

Описание

Класификация

Корективно действие

1

Липсва политика по сигурност при унищожаване на носители на информация. Съществено несъответствие

Задължително

2

Не съществуват приемо-предавателни протоколи за работните станции. Явно несъответствие

Задължително

3

Липсва договор за хардуерна поддръжка на сървърите. Явно несъответствие

Задължително

4

Не е инсталирана система за алармиране при наводнение в сървърното помещение. Област изискваща подобрение

По усмотрение на Ръководството

Дата – 28.11.2009

 

Ръководството, отговарящо за областта, в която се води одита, елиминира установените несъответствия и пораждащите ги причини без излишни забавяния, спазвайки изискванията на документираната процедура:

  1. установяване на несъответствия
  2. определяне на причините за несъответствия
  3. оценка на необходимостта от действия, предотвратяващи повторна поява на тези несъответствия
  4. определяне и провеждане на нужното коригиращо действие
  5. запис на резултатите от проведеното действие
  6. преглед на проведеното коригиращо действие

 

Форма за коригиране на несъответствията

Приоритет

Статус

Несъответствие

Действие

Срок за изпълнение

Изпълнител

Висок

Нов

Липсва политика по сигурност при унищожаване на носители на информация. 1.Да се вземе одобрение от ръководството и създаде политика по унищожаване на информационни активи.

15.12.2009

1.Отговорник по сигурността

Среден

Нов

Не съществуват приемо-предавателни протоколи за работните станции. 1.Да се създадат протокол за всички новопостъопващи и сегашни служители на компанията съдържащ сериен номер на предоставената работната станция.

01.12.2009

1.Екперт по човешки ресурси

Среден

Нов

Липсва договор за хардуерна поддръжка на сървърите. 1.Да се заделят средства за поддръжка.

2.Да се идентифицира доставчик на поддръжката.

15.01.2010

1.Финансов директор 

2.Системни администратори

Нисък

Нов

Не е инсталирана система за алармиране при наводнение в сървърното помещение.1.Да се направи проучване за възможните технологии.

-

1.Форум по информационна сигурност 

 

При успешната корекция на откритите несъответствия, Ръководството на компанията счита, че е готова за преминаването към крайния етап от процеса – провеждане на сертификационен одит от акредитирана компания.

 

 

 

 

Заключение

В съвременният свят необходимостта от сигурност е повече от очевидна. Всяка бизнес организация се стреми да защити своята поверителна информация от посегателство. Все повече бизнес услуги се предлагат чрез Интернет, което води до увеличаване на рисковете за посегателства срещу информационните активи и имидж на организацията. Всяка успешно проведена атака може да донесе значителни материални и/или нематериални загуби за бизнеса, затова инвестициите в сферата на информационната сигурност нарастват ежегодно.

В световен мащаб съществуват около 60 компании, които са акредитирани в одита и издаването на сертификати по информационна сигурност отговаряща на стандарта ISO/IEC 27001.

По последни данни[1], броя на компаниите в света притежаващи сертификат за информационна сигурност е над 7000.


[1] източник – http://www.ISO27001certificates.com

 

Bookmark and Share

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *