Uploaded by Муса Усманов

27001 Отчёт полный. Усманов Муса иб 2-19

advertisement
.
Отчет об оценке соответствия текущего состояния
информационной безопасности требованиям стандарта
ИСО/МЭК 27001
ОСОО «NEXUS»
По дисциплине
«Основы аудита информационной безопасности»
Выполнил Усманов Муса ИБ 2-19
Проверил Карыбеков А.М.
2022 год
стр. 1 из 42
Содержание
Термины и определения ................................................................................................................3
Принятые сокращения ..................................................................................................................4
1.
Введение..................................................................................................................................5
2.
Цели, задачи и методы проведения оценки соответствия ..................................................6
3.
Информационно-техническое обследование ОСОО «NEXUS» ........................................8
3.1.
Описание функций структурных подразделений ............................................................8
3.2.
Описание информационной инфраструктуры .................................................................8
3.3.
Описание реализованных мер по ИБ ..............................................................................12
3.4.
Функциональная схема сети ............................................................................................13
стр. 2 из 42
Термины и определения
Автоматизированное рабочее место – информационная система, состоящая
из одного комплекта средств вычислительной техники, обеспечивающего
одновременную
работу
с
информацией
одним
пользователем
информационной системы (как правило, один персональный компьютер с
периферийным оборудованием).
Защита информации – деятельность по предотвращению утечки
защищаемой информации, несанкционированных и непреднамеренных
воздействий на защищаемую информацию.
Защищаемая информация – информация, являющаяся предметом
собственности и подлежащая защите в соответствии с требованиями правовых
документов или требованиями, устанавливаемыми собственником
информации.
Информационная безопасность – состояние защищенности информации
(данных), при котором обеспечивается ее (их) конфиденциальность,
доступность и целостность.
Конфиденциальность свойство
информации, указывающее на
необходимость введения ограничений на круг лиц, имеющих доступ к данной
информации, и обеспечиваемое способностью системы сохранять указанную
информацию в тайне от лиц, не имеющих полномочий на право доступа к ней;
Целостность - свойство информации, указывающее, что информация не
подвергалась
несанкционированной
модификации
или
несанкционированному уничтожению;
Доступность - свойство информации, обеспечивающее беспрепятственный
доступ к ней определенного круга лиц для проведения санкционированных
операций по ознакомлению, документированию, модификации и
уничтожению;
Идентификация — присвоение пользователю и объекту доступа
идентификатора и (или) сравнение предъявляемого идентификатора с
перечнем присвоенных идентификаторов;
Аутентификация — проверка принадлежности пользователя предъявленным
им идентификаторам, подтверждение подлинности.
…
стр. 3 из 42
Принятые сокращения
ИБ
Информационная безопасность
ИС
Информационная система
ИТ
Информационные технологии
НСД
Несанкционированный доступ
ОС
Операционная система
ПО
Программное обеспечение
СУИБ
Система управления информационной
безопасностью
…
…
стр. 4 из 42
1. Введение
Настоящий отчет подготовлен по результатам проведения оценки
соответствия системы управления информационной безопасностью ОСОО
«NEXUS» (далее – Организация) стандарту информационной безопасности
ISO/IEC 27001:2013 «Информационные технологии. Методы защиты.
Системы менеджмента информационной безопасности. Требования».
В этой связи был проведен анализ применимости рекомендаций
международного стандарта. ISO/IEC 27001:2013 является одним из наиболее
известных
стандартов,
отвечающим
требованиям
систем
управления
информационной безопасностью. Выполнение рекомендаций стандарта
ISO/IEC 27001:2013 в деятельности ОСОО «NEXUS» будет способствовать
безопасности данных таких, как финансовая информация, интеллектуальная
собственность, сведения о сотрудниках или информацию, предоставленную
третьими сторонами.
Отчет содержит описание основных функций и задач структурных
подразделений ОСОО «NEXUS», описание ИТ – инфраструктуры, анализ
текущего состояния системы управления информационной безопасностью в
соответствии с требованиями стандарта, а также рекомендации по приведению
СУИБ в соответствие с применимыми требованиями стандарта.
стр. 5 из 42
2. Цели, задачи и методы проведения оценки соответствия
Целями проведения оценки соответствия стандарту ISO/IEC 27001:2013
являются определение соответствия текущего состояния СУИБ ОСОО
«NEXUS» требованиям безопасности информации и выявление применимых
рекомендаций стандарта в ОСОО «NEXUS». Оценка текущего состояния
СУИБ подразумевает сбор и анализ различного рода информации о критичных
функциях и информации, обрабатывающихся в ОСОО «NEXUS», сетевой
инфраструктуре и используемых технологиях, аппаратном и программном
обеспечении.
Для достижения данных целей были выполнены следующие задачи:
 анализ документации по ИБ;
 анализ концепции ИБ;
 анализ политики безопасности ОСОО «NEXUS»;
 анализ основных функций и задач структурных подразделений
ОСОО «NEXUS»;
 анализ действующей СУИБ;
 оценка полноты и эффективности реализуемых в ОСОО «NEXUS»
мер по обеспечению ИБ;
 сбор информации со структурных подразделений ОСОО «NEXUS»;
 анализ расхождений с требованиями стандарта ISO/IEC 27001:2013;
 разработка рекомендаций по внедрению применимых требований
стандарта ISO/IEC 27001:2013.
Для реализации данных задач использовались следующие источники
информации:
 результаты заполнения опросных листов сотрудниками ОСОО
«NEXUS»;
 результаты проведенных интервью с сотрудниками ОСОО
«NEXUS»;
стр. 6 из 42
 документация по ИБ ОСОО «NEXUS»;
 информация об используемых в ОСОО «NEXUS» аппаратном и
программном обеспечении.
 УК КР от 1 января 2019 года
стр. 7 из 42
3. Информационно-техническое обследование ОСОО «NEXUS»
3.1.Описание функций структурных подразделений
В данном разделе содержатся сведения, собранные в ходе опроса
ключевых держателей информации по части функциональным обязанностям
подразделений. В ходе обследования были выявлены категории критичной
информации,
которые
обрабатываются
в
ходе
функционирования
подразделений, а также особенности ее обработки.
Полный перечень ключевых функций и критичной информации
представлен в разделе «Приложение 1. - Реестр ключевых функций и
критичной информации подразделений ОСОО «NEXUS». На основе данного
реестра проведена предварительная оценка критичности (важности) каждой
функции по качественной шкале (высокий, средний, низкий уровни),
руководителями структурных подразделений. При проведении последующих
работ по расчету рисков информационной безопасности рекомендуется
уточнять степень важности функций у его владельца.
3.2.Описание информационной инфраструктуры
Корпоративная
инфраструктура
ОСОО
«NEXUS»
является
территориально распределенный ЦОД(Дата-центр).
Развернуты службы каталогов,
 Развернуты web-серверы Apache;
 Развернуты распределенные информационная система MSSQL;
 Развернута система контроля управления доступом;
В ОСОО «NEXUS» Apache сервере в качестве платформы виртуализации
серверов используется в промышленной эксплуатации
VMware 6.0.
Виртуализация на основе MS Hyper-V используется в единственном
количестве, для развертывания корпоративной почты MS Exchange. Перечень
физических серверов и виртуальных серверов (от 2022г.) приведены в Таблица
1 и Таблица 2.
стр. 8 из 42
Используется программное обеспечение для резервного копирования
виртуальных машин и мониторинга виртуальных сред Veeam Software. Также
используется ленточные системы хранения данных Fujitsu для хранения
бэкапа почты, веб сервиса и резервной копии ИС. Veeam Software резервирует
следующие сервера:
 Hyper-V Windows Server 2019 (Основной сервер)
 Web server Apache
Возможность удаленного доступа к корпоративной сети ОСОО «NEXUS»
имеют системные и сетевые администраторы.
Система обработки почтовых сообщений централизована. В ОСОО
«NEXUS» используется MS Exchange.
В ОСОО «NEXUS» для функционирования web сервисов, в частности
«APACHE», используются в качестве основного провайдера «Megaline», а
резервного провайдера «Homeline».
Перечень сетевых устройств ОСОО «NEXUS» (от 2022г.) приведен в
Таблица 3. Функциональная схема сети представлена на Рисунок 1 в разделе 3.4
настоящего отчета.
Структурные подразделения ОСОО «NEXUS» в процессе своей
деятельности, для хранения информации и документов, используют сетевые
папки, на основе NAS-устройства Synology. Для сотрудников ОСОО
«NEXUS» предусмотрено разграничение доступа к определенным папкам и
каталогам, служебному оборудованию.
стр. 9 из 42
Таблица 1. Физические сервера ОСОО «NEXUS»
№ Название
Процессор
Основное назначение
устройства
Физические сервера (Основной)
1.
2.
3.
Сервер обработки
данных ИС MSSQL
I7 10870h
Web-сервер
I5 9400f
…
…
Обработка, хранение информации из
баз данных, полученной при работе с
информационными системами
Обработки веб ресурсов для нужд
ОСОО «NEXUS»
Физические сервера (Резервный)
4.
Сервер обработки
данных ИС MSSQL
I7 4770K
Служит для резервного хранения
данных. Репликация основного
сервера
5.
…
…
…
Таблица 2. Виртуальные сервера ОСОО «NEXUS»
№
1.
2.
Название устройства
Hyper-V
…
Версия ОС
Основное назначение
Windows Server
2019
…
Основная информационная
система MS Exchange
Таблица 3. Сетевые устройства ОСОО «NEXUS»
№ Наименование
устройства
Производитель
Назначение
Основной
1.
Realtek RTL8723DE
802.11b/g/n PCIe
Adapter
Realtek
Для работы в компьютерной сети
стр. 10 из 42
Таблица 5. Сетевые адреса ОСОО «NEXUS»
№ Наименование хоста
Производитель
Назначение
Основной
1.Nexus.kg
ОСОО «NEXUS»
г.Бишкек
Хранение и публикация
основных материалов для
пользователей
стр. 11 из 42
3.3.Описание реализованных мер по ИБ
3.3.1. Организационные меры
В ходе проведения обследования существующей нормативной и
организационно-распорядительной документации в части информационной
безопасности ОСОО «NEXUS» были выявлены следующие направления по
управлению ИБ:
 управление инцидентами ИБ;
 мониторинг и администрирование систем ИБ;
 организационное обеспечение ИБ;
Полный
реестр
утвержденных
нормативных
документов
по
вышеперечисленным направлениям приведен в «Приложение 2. Реестр
документации по информационной безопасности ОСОО «NEXUS».
3.3.2. Технические меры
Описание технических мер защиты информации в ОСОО «NEXUS»
приведен в Таблица 4.
Таблица 4. Технические меры защиты информации
№
1.
2.
Мера защиты
Описание
Антивирусная
защита
Антивирусное решение в ОСОО «NEXUS» реализована на
базе ESET Endpoint Security (Corporative License for state
structure)
Персональный файрволл для защиты конечных устройств от
хакерских атак(Corporative License)
Сетевой протокол беспроводной сети обеспечивающий
защиту путём шифрования данных.
…
3.
OutPost FireWall
4.
802.11ac
5.
…
стр. 12 из 42
3.4.Функциональная схема сети
…
Рисунок 1 – Функциональная схема сети ОСОО «NEXUS»
стр. 13 из 42
4. Анализ защищенности ОСОО «NEXUS» в соответствии с требованиями
ИБ стандарта ISO/IEC 27001
4.1. Требования к контексту ОСОО «NEXUS»
Система управления информационной безопасностью ОСОО «NEXUS»
является частью общей системы управления Организацией и представляет
собой комплекс организационных, программных, технических и физических
мер, объединенных единым, прозрачным для работников ОСОО «NEXUS» и
руководства процессом, действующим на всех уровнях управления.
Требования к контексту подразумевают определение внутренних и
внешних факторов ОСОО «NEXUS», которые значимы для достижения целей
ОСОО «NEXUS», и которые тем самым влияют на ожидаемые результаты
работы СУИБ. На основе определенных внутренних и внешних факторов,
определяются внутренние и внешние заинтересованные стороны и их
требования, которые имеют отношение к СУИБ ОСОО «NEXUS».
Под областью применения СУИБ понимается область деятельности,
бизнес-процессы ОСОО «NEXUS», которые охватывает действующая СУИБ.
При определении области применения необходимо учитывать внутренние и
внешние факторы ОСОО «NEXUS» и требования заинтересованных сторон.
Соответствие требованиям стандарта ISO/IEC 27001 к контексту ОСОО
«NEXUS» представлена в Таблица 5.
Таблица 5. Требования документирования контекста ОСОО «NEXUS»
Применимость
требования в
№
Статус
Описание
ОСОО
раздела
соответствия
Описание
требования
стандарта
требованию
«NEXUS»
(Да/Нет)
4.2
Перечень требований Да
Перечень
заинтересованных
требований
сторон
заинтересованных
Соответствует
(законодательных,
сторон
нормативных,
контрактных и иных)
4.3
Документированная Да
Док.
Инф.
Соответствует
информация
об
Области
стр. 14 из 42
области применения
СУИБ
применения
СУИБ
4.2.Лидерство в отношении СУИБ
Требования стандарта к лидерству и обязательствам подразумевают
демонстрацию высшим руководством ОСОО «NEXUS» приверженности в
отношении СУИБ. Стандартом определены критерии соответствия лидерству
в отношении СУИБ. Соответствие ОСОО «NEXUS» к данным критериям
представлена в Таблица 6.
Таблица 6. Соответствие к требованию отношения руководства компании к
ИБ
Применимость
требования в
Статус
соответствия
ОСОО
соответствия
Описание
«NEXUS»
требованию
лидерству
(Да/Нет)
Обеспечение политики
Да
Соответствует Обеспечение политики ИБ на
ИБ
и
целей
ИБ
данный
момент
не
совместимы
со
соответствует полностью со
стратегией
ОСОО
стратегией
«NEXUS»
Обеспечение
Да
Соответствует
Обеспечение интеграции
интеграции требований
требований СУИБ
СУИБ
в
процессы
удовлетворяет всем
ОСОО «NEXUS»
требованиями.
Обеспечение
Да
Соответствует Обеспечение
доступности
доступности ресурсов,
ресурсов
осуществляется
необходимых для СУИБ
политики безопасности
Донесение
важности
Да
Соответствует Донесение
важности
управления
ИБ
и
управления ИБ происходят
требований СУИБ
бесперебойной
Обеспечение
Да
Соответствует В обеспечении достижения
достижения
СУИБ
СУИБ
проблем
не
своих
ожидаемых
обнаружено
результатов
Поддержка сотрудников
Да
Соответствует Обеспечивается,
обучение,
с целью обеспечения
документация и подписи о
результативности СУИБ
ознакомлении
Содействие
Да
Соответствует Обеспечивается
в
непрерывному
материальной мотивацией
совершенствованию
Описание критерия
стр. 15 из 42
Высшее руководство должно установить политику информационной
безопасности. Требования к политике информационной безопасности
представлены в Таблица 7.
Таблица 7. Требования к документированию политики ИБ
Применимость
№
требования в
Статус
Описание
раздела
ОСОО
соответствия
Описание
требования
стандарта
«NEXUS»
требованию
(Да/Нет)
5.2
Политика ИБ
5.3
Соответствие
цели
ОСОО «NEXUS»
Содержит цели ИБ или
предоставляет
структуру
для
формирования целей
ИБ
Обязательство
соответствию
применимым
требованиям
Обязательство
непрерывного
улучшения СУИБ
Ответственность
и
полномочия
для
обеспечения
соответствия СУИБ
требованиям
международного
стандарта
Ответственность
и
полномочия
для
отчета
высшему
руководству
о
функционировании
СУИБ
Да
Соответствует документировано
Да
Соответствует документировано
Да
Соответствует документировано
Да
Соответствует документировано
Да
Соответствует документировано
Да
Соответствует документировано
стр. 16 из 42
4.3.Планирование СУИБ
Под планированием СУИБ подразумевается определение рисков и
возможностей с учетом внутренних и внешних факторов и заинтересованных
сторон ОСОО «NEXUS». Требования к планированию СУИБ представлены в
Таблица 8.
Таблица 8. Требования документирования к планированию СУИБ
Применимость
№
требования в
Статус
Требуемый
раздела
ОСОО
соответствия
Описание
документ
стандарта
«NEXUS»
требованию
(Да/Нет)
6.1.2
Методика оценки и
да
соответствует есть
6.1.3
обработки рисков ИБ
документация
Отчет
об
рисков ИБ
оценке
да
соответствует ежемесячные
отчеты.
Документируется
Отчет об обработке
рисков ИБ
да
соответствует ежемесячные
отчеты.
Документируется
6.1.3d
Положение
применимости
о
да
соответствует документировано
и
подписано
ответственными
лицами
6.2
План
обработки
рисков ИБ
да
соответствует есть
алгоритм
обработки
рисков,
документировано
стр. 17 из 42
4.4.Поддержка и обеспечение СУИБ
Под поддержкой и обеспечением СУИБ подразумевается:
 определение
Организацией
ресурсов,
необходимых
для
функционирования и непрерывного улучшения СУИБ;
 определение необходимой компетентности персонала, которые
влияют на информационную безопасность;
 повышение осведомленности персонала об ИБ;
 определение Организацией потребности во внешних и внутренних
коммуникациях и взаимодействий;
 управление документированием информации.
Требования к документированию поддержки и обеспечения СУИБ ОСОО
«NEXUS» представлены в Таблица 9.
Таблица 9. Требования к документированию поддержки СУИБ
№
раздела
стандарта
Требуемый
документ
Применимость
требования в
Статус
ОСОО
соответствия
Описание
«NEXUS»
требованию
(Да/Нет)
Да
соответствует есть еженедельные
обучения,
документируется и
подписывается
7.2
План обучения
7.3
Программа
повышения
осведомленности
Да
соответствует
в конце месяца
проходит экзамен
7.4
Процедуры
Да
взаимодействия
структурных
подразделений
ОСОО «NEXUS» и
взаимодействие со
внешними
Организациями
Процедуры
Да
контроля
документов
и
записей
соответствует
есть
документированный
регламент
соответствует
контролируется
в
бумажном
и
цифровом варианте
7.5
стр. 18 из 42
4.5. Функционирование СУИБ
Организация
должна
планировать,
осуществлять
и
управлять
процессами, необходимыми для обеспечения соответствия требованиям ИБ, и
выполнять действия, определенные в разделе 4.3. В ходе деятельности СУИБ
в ОСОО «NEXUS» должны функционировать средства управления ИБ
(контроли), меры защиты информации, определенные в Приложении А.
стандарта ISO/IEC 27001:2013. Ниже в Таблица 10 приведено соответствие
мер защиты информации СУИБ ОСОО «NEXUS» рекомендуемым контролям
стандарта.
стр. 19 из 42
Таблица 10. Соответствие мер защиты информации ОСОО «NEXUS» контролям стандарта ISO/IEC 27001:2013
№ раздела Приложе-ния А
A.5
A.5.1
Наименование контроля
Политики информационной безопасности
Направления управления информационной безопасностью
A.5.1.1
Политика информационной безопасности
A.5.1.2
Пересмотр политик информационной безопасности
A.6
A.6.1
Организация информационной безопасности
Внутренняя организация
стр. 20 из 42
A.6.1.1
Роли и ответственность в рамках ИБ
A.6.1.2
Разделение обязанностей
A.6.1.3
Контакт с органами власти
A.6.1.4
Контакты с профессиональными сообществами
A.6.1.5
Обеспечение ИБ при управлении проектами
A.6.2
Мобильные устройства и дистанционная работа
A.6.2.1
Политика использования мобильных устройств
A.6.2.2
Дистанционная работа (вне офиса)
A.7
A.7.1
A.7.1.1
Безопасность, связанная с персоналом
Перед наймом на работу
Отбор персонала (проверка кандидатов)
стр. 21 из 42
A.7.1.2
A.7.2
Сроки и условия работы (условия найма)
Во время работы
A.7.2.1
Ответственность руководства
A.7.2.2
Повышение осведомленности, обучение и тренинги в области информационной безопасно
A.7.2.3
Дисциплинарные процессы
стр. 22 из 42
A.7.3
A.7.3.1
A.8
A.8.1
Увольнение или изменение должности
Увольнение или изменение должностных обязанностей
Управление активами
Ответственность за активы
A.8.1.1
Инвентаризация активов
A.8.1.2
Владение активами
A.8.1.3
Допустимое использование активов
A.8.1.4
Возврат активов
стр. 23 из 42
A.8.2
A.8.3
Классификация
информации
Классификация информации
A.8.2.1
Классификация (категорирование) информации
A.8.2.2
Маркировка информационных активов
A.8.2.3
Процедуры обращения с активами
Приемлемое обра
носителями инф
Приемлемое обращение с носителями информации
A.8.3.1
Управление сменными носителями информации
A.8.3.2
Уничтожение носителей информации
A.8.3.3
Защита носителей информации при транспортировке
стр. 24 из 42
Управление дост
A.9 Управление доступом
A.9.1
A.9.2
Требования бизне
управлению дост
Требования бизнеса по управлению доступом
A.9.1.1
Политика управления доступом
A.9.1.2
Доступ к сетям и сетевым сервисам
Управление дост
пользователей
Управление доступом пользователей
A.9.2.1
Регистрация и отмена регистрации пользователей
A.9.2.2
Предоставление доступа пользователей
A.9.2.3
Управление правами привилегированного доступа
A.9.2.4
Управление аутентификацией пользователей (учетными данными)
A.9.2.5
Пересмотр прав доступа пользователей
стр. 25 из 42
A.9.2.6
A.9.3
Ответственност
пользователей
Ответственность пользователей
A.9.3.1
A.9.4
Удаление или изменение прав доступа пользователей
Использование учетных данных пользователями
Управление дост
ИС и приложени
Управление доступом к ИС и приложениям
A.9.4.1
Ограничение доступа к информации
A.9.4.2
Процедуры защищенного входа
A.9.4.3
Система управления паролями
стр. 26 из 42
A.9.4.4
Использование системных утилит
A.9.4.5
Управление доступом к исходным кодам программ
A.10 Криптография
Криптография
A.10.
1
Управление средс
криптографии
Управление средствами криптографии
A.10.1.1
Политика использования криптографических средств
A.10.1.2
Управление криптографическими ключами
A.11 Физическая безопасность и безопасность окружающей среды
Физическая безоп
и безопасность
окружающей сре
A.11.
1
Защищенные обл
Защищенные области
A.11.1.1
Периметр физической безопасности (контролируемая зона)
A.11.1.2
Средства защиты входа в здания (СКУД)
стр. 27 из 42
A.11.
2
A.11.1.3
Защита помещений и оборудования (технических средств)
A.11.1.4
Защита от внешних угроз и угроз окружающей среды
A.11.1.5
Работа в защищаемых помещениях
A.11.1.6
Зоны доставки/погрузки
Оборудование
Оборудование
A.11.2.1
Размещение оборудования и обеспечение его безопасности
A.11.2.2
Вспомогательное (поддерживающее) оборудование и систем
A.11.2.3
Безопасность кабельной разводки
A.11.2.4
Техническое обслуживание оборудования
A.11.2.5
Перемещение активов (информация/оборудование/ПО)
стр. 28 из 42
A.11.2.6
Обеспечение безопасности использования оборудования за территорией ОСОО «NEXUS»
A.11.2.7
Безопасная утилизация или повторное использование оборудования
A.11.2.8
Пользовательское оборудование, оставленное без присмотра
A.11.2.9
Политика чистого рабочего стола и экрана
A.12 Операционные процедуры
Операционные пр
A.12.
1
Операционные пр
и ответственнос
A.12.
2
Операционные процедуры и ответственность
A.12.1.1
Документирование операционных процедур
A.12.1.2
Управление изменениями
A.12.1.3
Управление мощностями
A.12.1.4
Разделение разрабатываемых, тестируемых и действующих систем
Защита от вредо
ПО
Защита от вредоносного ПО
стр. 29 из 42
A.12.2.1
A.12.
3
Резервное копиро
Резервное копирование
A.12.3.1
A.12.
4
Меры защиты от вредоносного ПО
Резервируемая информация
Логирование и
мониторинг
Логирование и мониторинг
A.12.4.1
Ведение журнала событий (логов)
A.12.4.2
Защита информации в логах
A.12.4.3
Логи действий администратора и оператора
A.12.4.4
Синхронизация времени (часов)
стр. 30 из 42
A.12.
5
Контроль систем
Контроль системного ПО
A.12.5.1
A.12.
6
A.12.
7
Установка программного обеспечения на ОС
Управление
техническими
уязвимостями
Управление техническими уязвимостями
A.12.6.1
Контроль технических уязвимостей
A.12.6.2
Ограничения на установку ПО
Проведение аудит
информационных
Проведение аудита информационных систем
A.12.7.1
Управление аудитом информационных систем
стр. 31 из 42
A.13 Сетевая безопасность
Сетевая безопасн
A.13.
1
Управление сете
безопасностью
A.13.
2
Управление сетевой безопасностью
A.13.1.1
Меры по обеспечению безопасности сети
A.13.1.2
Безопасность ИТ-сервисов
A.13.1.3
Сегментирование сети
Передача информ
Передача информации
A.13.2.1
Политики и процедуры передачи информации (информационного обмена)
A.13.2.2
Соглашение об информационном обмене
A.13.2.3
Передача электронных сообщений
стр. 32 из 42
A.13.2.4
Соглашения о неразглашении информации (NDA)
A.14 Приобретение, разработка и поддержка ИС
Приобретение,
разработка и под
ИС
A.14.
1
Требования по
обеспечению
безопасности
информационных
Требования по обеспечению безопасности информационных систем
A.14.1.1
Анализ и детализация требований по информационной безопасности
A.14.1.2
Обеспечение безопасности работы в прикладных сервисах в общедоступных сетях
A.14.1.3
Обеспечение безопасности операций прикладных сервисов
Обеспечение
безопасности в п
разработки, подд
развития
информационных
A.14. Обеспечение безопасности в процессах разработки, поддержки и развития
2 информационных систем
A.14.2.1
Политика обеспечения безопасности информационных систем в процессах их разработки
стр. 33 из 42
A.14.
3
A.14.2.2
Процедуры управления вносимых изменений в информационные системы
A.14.2.3
Технический анализ приложений после внесения изменений в системы
A.14.2.4
Ограничения на внесение изменений в ПО
A.14.2.5
Проектирование безопасных систем
A.14.2.6
Безопасная среда разработки
A.14.2.7
Аутсорсинг разработки ПО
A.14.2.8
Тестирование безопасности разрабатываемых систем
A.14.2.9
Приемочные тестирования систем
Тестовые данные
Тестовые данные
A.14.3.1
Защита тестовых данных информационных систем
стр. 34 из 42
A.15 Взаимоотношения с поставщиками
Взаимоотношени
поставщиками
A.15. Обеспечение информационной безопасности при взаимоотношении с
1 поставщиками
Обеспечение
информационной
безопасности при
взаимоотношени
поставщиками
A.15.
2
A.15.1.1
Политика обеспечения информационной безопасности при взаимоотношении с поставщик
A.15.1.2
Включение требований по обеспечению ИБ в договора с поставщиками
A.15.1.3
Информационно-телекоммуникационные технологии цепочек поставок
Управление пост
Управление поставками
A.15.2.1
Мониторинг и пересмотр услуг/продуктов, предоставляемых третьей стороной
A.15.2.2
Управление изменениями сервисов, предоставляемых третьей стороной
стр. 35 из 42
A.16 Управление инцидентами информационной безопасности
Управление инци
информационной
безопасности
A.16. Управление инцидентами и усовершенствованиями информационной
1 безопасности
Управление инци
и усовершенство
информационной
безопасности
A.16.1.1
Ответственность и процедуры
A.16.1.2
Оповещение о событиях информационной безопасности
A.16.1.3
Оповещения о недостатках (уязвимостях) системы обеспечения ИБ
A.16.1.4
Оценка произошедших событий ИБ и принятие решений
A.16.1.5
Реагирование на инциденты информационной безопасности
A.16.1.6
Обучение по результатам произошедшего инцидента ИБ
A.16.1.7
Сбор доказательств
стр. 36 из 42
A.17
Аспекты
информационной
безопасности при
управлении
непрерывностью
Аспекты информационной безопасности при управлении непрерывностью
бизнеса
Непрерывность
обеспечения
информационной
безопасности
A.17.
Непрерывность обеспечения информационной безопасности
1
A.17.1.1
Планирование процедур обеспечения непрерывности ИБ
A.17.1.2
Внедрение процедур обеспечения непрерывности ИБ
A.17.1.3
Проверка, пересмотр и оценка внедренных процедур обеспечения непрерывности ИБ
A.17.
Избыточность
2
Избыточность
стр. 37 из 42
A.17.2.1
Доступность средств обработки информации
A.18 Соответствие требованиям
Соответствие
требованиям
A.18.
Обеспечение соответствия законодательным и договорным требованиям
1
Обеспечение
соответствия
законодательным
договорным треб
A.18.1.1
Определение требований законодательства, применимых к деятельности ОСОО «N
договорных обязательств
A.18.1.2
Права интеллектуальной собственности
A.18.1.3
Защита записей (документации) ОСОО «NEXUS»
A.18.1.4
Защита данных и обеспечение безопасности персональных данных
A.18.1.5
Регулирование использования криптографических средств
стр. 38 из 42
Пересмотр систе
информационной
безопасности
A.18.
Пересмотр системы информационной безопасности
2
A.18.2.1
Независимый аудит (проверка) системы ИБ
A.18.2.2
Соответствие требованиям политик ИБ и стандартов обеспечения ИБ
A.18.2.3
Проверка соответствия техническим требованиям
стр. 39 из 42
4.6.Оценка результатов деятельности СУИБ
Под оценкой результатов деятельности СУИБ подразумевается:

мониторинг, измерение, анализ и оценка СУИБ;

запланированные внутренние аудиты;

анализ СУИБ руководством ОСОО «NEXUS».
Требования к документированию результатов деятельности СУИБ представлены в
Таблица 11.
Таблица 11. Требования к документированию результатов деятельности СУИБ
№
Требуемый документ
раздела
стандарта
Применимость
требования в
Статус
ОСОО
соответствия
«NEXUS»
требованию
(Да/Нет)
Мониторинг,
9.1
измерение, анализ и
Да
оценка
9.2
Процедура
внутреннего аудита
Да
Описание
обеспечивается
специалистом ИБ
Соответствует
и системным
администратором
Нет
обеспечивается
соответствия
специалистом ИБ
и
системным
администратором
Годовая
программа Да
внутреннего аудита
обеспечивается
специалистом ИБ
Соответствует
Отчет по внутреннему Да
аудиту
обеспечивается
специалистом
ИБ, принимается
Соответствует руководством
План/контрольный
Да
лист для внутреннего
аудита
обеспечивается
специалистом ИБ
Соответствует
стр. 40 из 42
Применимость
требования в
Статус
ОСОО
соответствия
Описание
«NEXUS»
требованию
(Да/Нет)
Протокол совещания Да
еженедельные
руководства
по
отчет
от
анализу СУИБ
сотрудника по иб
Соответствует
№
Требуемый документ
раздела
стандарта
9.3
4.7.Улучшение СУИБ
На этапе улучшения СУИБ, Организация должна проводить мероприятия по
выявлению несоответствий и далее корректирующие действия по устранению данных
несоответствий.
Организация
должна
сохранять
информацию
о
характере
несоответствий и предпринятых мер. Требования к документированию улучшения
СУИБ представлены в Таблица 12.
Таблица 12. Требования к документированию улучшения СУИБ
№
раздела
стандарта
Требуемый документ
Применимость
требования в
Статус
ОСОО
соответствия
«NEXUS»
требованию
(Да/Нет)
10.1
Процедуры корректирующих
действий,
журналы учета
корректирующих действий
Да
10.2
Журнал фиксации планового
обновления политики ИБ
Службы.
Да
10.3
Журнал фиксации планового
обновления концепции
информационной
безопасности.
Да
Описание
обеспечивается
специалистом ИБ и
Соответствует
системным
администратором
обеспечивается
специалистом ИБ и
Соответствует
системным
администратором
обеспечивается
специалистом ИБ и
Соответствует
системным
администратором
5. Рекомендации по приведению в соответствие требованиям ИБ
2.1 составить и разработать программы и методики испытаний
2.2 Оценка выполнения требований законодательства
стр. 41 из 42
2.3 Оценка эксплуатационной и организационной документации
2.4 Анализ настройки программных и программно-аппаратных средств
2.5 Анализ уязвимостей информационной системы
2.6 Тестирование на проникновение
2.7 Оформление и выдача аттестата на соответствие
6. Заключение
….
При проведении аудита компании ОСОО “NEXUS” не было обнаружено критических
уязвимостей, что могло бы привести к риску утечки данных. Также не было обнаружено
проведении мероприятий по списку рекомендаций (2 пункт).
Последний пункт особенно важен. Без методики оценки очень трудно определить
эффективность ИБ. Если эффективность падает, необходимо срочно вносить
коррективы (для этого и нужна перманентность контроля).
Они тесно взаимосвязаны с правовыми методами информационной безопасности РФ.
Правовой фактор безопасности РФ состоит из:
● лицензирования деятельности в части обеспечения информационной
безопасности;
● сертификации технических средств информационной защиты;
● аттестации объектов информатизации согласно соответствию нормам
информационной безопасности.
стр. 42 из 42
Download