Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Национальный стандарт РФ ГОСТ Р 57551-2017/ISO/TR 18128:2014 "Информация и документация. Оценка рисков для документных процессов и систем" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20 июля 2017 г. N 731-ст)
- Приложение С (справочное). Руководство по использованию мер и средств из приложения А "Цели и меры управления" ИСО/МЭК 27001
Приложение С (справочное). Руководство по использованию мер и средств из приложения А "Цели и меры управления" ИСО/МЭК 27001
Приложение С
(справочное)
Руководство
по использованию мер и средств из приложения А "Цели и меры управления" ИСО/МЭК 27001
При идентификации связанных с системами рисков в организациях, которые внедрили предусмотренные ИСО/МЭК 27001 меры и средства контроля и управления, специалисты по управлению документами должны принимать во внимание то, как некоторые из этих мер действуют на смягчение рисков в ряде областей неопределенности. В организациях, внедривших меры из ИСО/МЭК 27001, выполнению специалистами по управлению документами оценки риска для документных процессов и систем будет способствовать глубокое понимание стандарта и согласование с ним. В организациях, где ИСО/МЭК 27001 не внедрялся, предлагаемые им меры могут быть использованы в качестве источника при выборе действий по смягчению риска. В этой связи настоятельно рекомендуется дальнейшее ознакомление со стандартами системы менеджмента информационной безопасности серии ИСО/МЭК 27001.
Приведенная ниже таблица устанавливает соответствие между перечисленными в 5.4 настоящего стандарта областями неопределенности и мерами, предусмотренными ИСО/МЭК 27001.
Где это уместно, в правой графе таблицы "Комментарии" приводятся замечания и советы, помогающие взглянуть на меры по обеспечению информационной безопасности из ИСО/МЭК 27001 с точки зрения документных систем.
Таблица С.1
|
N п/п |
Настоящий стандарт, 5.4. Области неопределенности для документных систем |
ИСО/МЭК 27001:2013, приложение А. Цели и меры управления |
Комментарии |
|
Области неопределенности: архитектура систем | |||
|
1 |
Определение того, что является документом в системе, с тем чтобы система адекватно своим целям создавала документы и управляла ими |
Соответствующих мер нет |
|
|
2 |
Адекватное выявление требований в отношении сроков хранения |
Соответствующих мер нет |
Уничтожение документов по истечении срока их хранения не относится к центральным вопросам информационной безопасности, однако с точки зрения документных систем это важная область неопределенности, особенно в том случае, если создающие и контролирующие документы системы не обеспечивают исполнение на практике решений, принятых в отношении сроков хранения и действий по их истечении |
|
3 |
Выявление и документирование всех необходимых документных процессов, которыми должна управлять система |
Соответствующих мер нет |
|
|
4 |
Эффективность архитектуры документных систем, соответствующая потребностям сотрудников организации и используемым организацией технологиям |
А.10.3.1 Управление производительностью Необходимо осуществлять прогнозирование, мониторинг и корректировку потребности мощности системы для обеспечения требуемой ее производительности |
Требования к производительности и использование ресурсов - это единственные два аспекта оценки эффективности документных систем, которые должны быть в первую очередь протестированы на соответствие требованиям оперативной деятельности |
|
5 |
Управление степенью зависимости от поддержки со стороны производителя системы |
А.12.5.5 Разработка программного обеспечения с привлечением сторонних организаций Разработка программного обеспечения с привлечением сторонних организаций должна производиться под контролем и при мониторинге организации |
Если документные системы базируются на коммерческом программном обеспечении, поставляемом внешним поставщиком, то надежность этого поставщика необходимо принять во внимание при идентификации рисков. Предлагаемая ИСО/МЭК 27001 мера может носить слишком общий характер с точки зрения документных систем |
|
6 |
Доступ к документации производителя системы |
А.10.1.1 Документирование операционных процедур эксплуатации Операционные процедуры должны документироваться, поддерживаться и быть доступными для всех авторизованных пользователей |
В случае документных систем предусмотренную ИСО/МЭК 27001 меру следует применять в отношении любой программной документации, которая описывает внутренние процедуры по поддержке этих документных систем |
|
Области неопределенности: техническое обслуживание и поддержка | |||
|
1 |
Изменения в деятельности и деловых системах, влияющие на документные системы |
А.10.1.2 Управление изменениями Изменения в конфигурациях средств обработки информации и системах должны быть контролируемыми А.10.10.4 Журналы регистрации действий администратора и оператора Действия системного администратора и системного оператора должны быть регистрируемыми А.10.10.5 Регистрация неисправностей Неисправности должны быть зарегистрированы, проанализированы и устранены |
Предусмотренные ИСО/МЭК 27001 меры следует дополнить требованиями о распространении информации, обеспечивающими ознакомление специалистов по управлению документами с такого рода изменениями |
|
2 |
Уровень квалификации системных администраторов и понимание ими требований к управлению документами в системах |
А.10.3.1 Управление производительностью Необходимо осуществлять прогнозирование, мониторинг и корректировку потребности мощности системы для обеспечения требуемой ее производительности А.10.3.2 Приемка систем Должны быть определены критерии принятия новых и модернизованных информационных систем, новых версий программного обеспечения, а также проведено тестирование систем в процессе их разработки и приемки |
Предусмотренные ИСО/МЭК 27001 меры нельзя считать достаточными для смягчения рисков, связанных с компетентностью системных администраторов в части требований к документам. Этому вопросу необходимо уделить особое внимание |
|
3 |
Надежность поставщиков систем и их способность обеспечить техническое обслуживание систем и их постоянное соответствие текущему уровню развития технологий |
А.12.5.5 Разработка программного обеспечения с привлечением сторонних организаций Разработка программного обеспечения с привлечением сторонних организаций должна производиться под контролем и при мониторинге организации |
Если документные системы базируются на коммерческом программном обеспечении, поставляемом внешним поставщиком, то надежность этого поставщика необходимо принять во внимание при идентификации рисков. Предлагаемая ИСО/МЭК 27001 мера может носить слишком общий характер с точки зрения документных систем |
|
4 |
Адекватность документации по процедурам оперативного технического обслуживания |
А.10.1.1 Документирование операционных процедур эксплуатации Операционные процедуры должны документироваться, поддерживаться и быть доступными для всех авторизованных пользователей |
Системная документация (техническая документация и описания процедур) должна рассматриваться в качестве официальных документов и поддерживаться соответствующим образом |
|
5 |
Адекватность технической документации на системы |
А.10.1.1 Документирование операционных процедур эксплуатации Операционные процедуры должны документироваться, поддерживаться и быть доступными для всех авторизованных пользователей |
Системная документация (техническая документация и описания процедур) должна рассматриваться в качестве официальных документов и поддерживаться соответствующим образом |
|
6 |
Адекватность документированных процедур резервного копирования и восстановления для документных систем |
А.10.5.1 Резервирование информации Резервные копии информации и программного обеспечения должны создаваться, проверяться и тестироваться на регулярной основе в соответствии с принятыми требованиями резервирования |
Предусмотренная ИСО/МЭК 27001 мера в отношении резервного копирования/восстановления не охватывает весь спектр неопределенностей, связанных с поддержанием пригодности к использованию и уничтожением документов |
|
7 |
Адекватность процесса восстановления с резервных копий |
А.10.5.1 Резервирование информации Резервные копии информации и программного обеспечения должны создаваться, проверяться и тестироваться на регулярной основе в соответствии с принятыми требованиями резервирования |
Предусмотренная ИСО/МЭК 27001 мера в отношении резервного копирования/восстановления не охватывает весь спектр неопределенностей, связанных с поддержанием пригодности к использованию и уничтожением документов |
|
Области неопределенности: жизнестойкость и непрерывность функционирования | |||
|
1 |
Изменения во внешнем и внутреннем контексте, затрагивающие требования и потребности организации в отношении документов |
Соответствующих мер нет |
|
|
2 |
Адекватность мониторинга качества документов и работы с ними, проводимого с целью выявления изменений в требованиях к документам |
А.10.10.1 Ведение журналов аудита Должны быть обеспечены ведение и хранение в течение определенного периода времени журналов аудита, регистрирующих действия пользователей, нештатные ситуации и события информационной безопасности, в целях помощи в будущих расследованиях и проведении мониторинга контроля доступа А.10.10.2 Мониторинг использования средств обработки информации Должны быть установлены процедуры, позволяющие вести мониторинг и регулярный анализ результатов мониторинга использования средств обработки информации |
Предусмотренные ИСО/МЭК 27001 меры отражают один из аспектов мониторинга работы системы, однако в документных системах необходимо проводить более обширный мониторинг с целью обеспечения качества их функционирования |
|
3 |
Адекватность оценки фактических затрат на внедрение и поддержание документных систем, включая затраты на оплату труда |
А.6.1.3 Распределение обязанностей по обеспечению информационной безопасности Обязанности персонала по обеспечению информационной безопасности должны быть четко определены А.10.3.1 Управление производительностью Необходимо осуществлять прогнозирование, мониторинг и корректировку потребности мощности системы для обеспечения требуемой ее производительности |
Предусмотренные ИСО/МЭК 27001 меры не охватывают экономические аспекты использования систем, за исключением меры, устанавливающей ответственность за информационную безопасность внутри организации. Экономические аспекты документных систем могут оказаться важной областью неопределенности в организациях, проводящих политику сокращения расходов |
|
4 |
Адекватность действий по выявлению и документированию документных систем |
А.7.1.2 Владение активами Вся информация и активы, связанные со средствами обработки информации, должны иметь назначенного во владение представителя организации.
Примечание - Термин "владелец" (owner) определен как лицо или организация, на которую возложена установленная ответственность управления по контролю производства, разработке, поддержке, использованию и безопасности активов. Термин "владелец" не означает, что данное лицо или организация фактически имеет права собственности на этот актив |
Предусмотренная ИСО/МЭК 27001 мера обращает внимание на необходимость документировать владельцев систем, однако адекватное выявление и документирование документных систем тоже нужны |
|
5 |
Поддержание и обеспечение доступности спецификаций и документации на документные системы |
А.10.7.4 Безопасность системной документации Системная документация должна быть защищена от несанкционированного доступа |
Предусмотренная ИСО/МЭК 27001 мера ориентирована на защиту документации с целью избежать рисков информационной безопасности. С точки зрения документных систем, при этом возникает неопределенность с тем, будет ли документация доступна в случае необходимости. Защиту и доступность следует балансировать, поскольку обе они являются источниками потенциальных рисков |
|
6 |
Адекватность документирования решений, принятых в ходе внедрения документных систем, и доступность этих документов всем нуждающимся в них пользователям |
А.10.7.4 Безопасность системной документации Системная документация должна быть защищена от несанкционированного доступа |
См. выше |
|
7 |
Способность документных систем поддерживать пригодность документов к использованию |
Соответствующих мер нет |
Пригодность к использованию не находится в центре внимания информационной безопасности, однако с точки зрения управления документами здесь может быть существенная область неопределенности |
|
8 |
Способность импортировать документы из унаследованных документных систем и прочих деловых систем |
Соответствующих мер нет |
|
|
9 |
Проведение миграции документов в новую документную систему по причине изменения требований к документам либо изменений в технологиях |
А.12.5.2 Технический анализ прикладных систем после внесения изменений в операционные системы При внесении изменений в операционные системы необходимо провести анализ и тестирование критичных бизнес-приложений с целью удостовериться в отсутствии негативного влияния на работу и безопасность организации |
Помимо изменений в операционных системах, миграцию от одной системы к другой следует выделить как область неопределенности, связанную с поддержанием во времени свойств документов |
|
10 |
Изменения в других системах, от которых зависит данная документная система |
Соответствующих мер нет |
|
|
11 |
Способность облачных систем экспортировать документы, когда это необходимо, для их включения в собственные системы организации |
Соответствующих мер нет |
|
|
12 |
Адекватность протоколирования истории событий в документной системе, включая обеспечение ее сохранности в течение срока службы системы; а также управление зависимостью от других систем, с целью поддержания во времени осмысленности содержащейся в истории событий информации |
А.10.10.1 Ведение журналов аудита Должны быть обеспечены ведение и хранение в течение определенного периода времени журналов аудита, регистрирующих действия пользователей, нештатные ситуации и события информационной безопасности, в целях помощи в будущих расследованиях и проведении мониторинга контроля доступа |
Предусмотренный в ИСО/МЭК 27001 журнал аудита действий пользователей является, с точки зрения управления документами, ограниченным по содержанию. В журнале аудита должны также отражаться другие действия с документами, чтобы сформировать адекватную историю событий |
|
13 |
Способность документных систем поддерживать усилия по обеспечению непрерывности деятельности посредством предоставления доступа к необходимым документам в случае стихийного бедствия |
А.14.1.3 Разработка и внедрение планов непрерывности бизнеса, включающих в себя информационную безопасность Должны быть разработаны и внедрены планы для поддержки или восстановления работы и обеспечения доступности информации на требуемом уровне и в требуемые сроки после прерывания или отказа критических бизнес-процессов А.14.1.4 Структура плана обеспечения непрерывности бизнеса Должна быть создана единая структура планов непрерывности бизнеса, позволяющая обеспечить непротиворечивость всех планов для последовательного выполнения всех требований к информационной безопасности и для расстановки приоритетов при тестировании и обслуживании А.14.1.5 Тестирование, поддержка и пересмотр планов по обеспечению непрерывности бизнеса Планы по обеспечению непрерывности бизнеса должны подлежать регулярному пересмотру и обновлению с целью обеспечить их актуальность и эффективность А.15.1.3 Защита учетных записей организации Важные учетные записи организации должны быть защищены от утраты, разрушения и фальсификации в соответствии с требованиями, установленными законами, документами органов исполнительной власти, контрактами и требованиями бизнеса |
Предусмотренные ИСО/МЭК 27001 меры по менеджменту непрерывности деятельности сфокусированы на требованиях по информационной безопасности. С точки зрения управления документами, эти меры могут быть дополнены требованиями к документам, в центре внимания которых находятся важнейшие для оперативной деятельности документы |
|
14 |
Планирование действий на случай перебоев в обслуживании при возникновении нештатных ситуаций |
А.14.1.3 Разработка и внедрение планов непрерывности бизнеса, включающих в себя информационную безопасность Должны быть разработаны и внедрены планы для поддержки или восстановления работы и обеспечения доступности информации на требуемом уровне и в требуемые сроки после прерывания или отказа критических бизнес-процессов |
Предусмотренные ИСО/МЭК 27001 меры по менеджменту непрерывности деятельности сфокусированы на требованиях по информационной безопасности. С точки зрения управления документами, эти меры могут быть дополнены требованиями к документам, направленными на решение проблем обеспечения непрерывности деятельности |
|
Области неопределенности: интероперабельность | |||
|
1 |
Адекватность действий по выявлению и специфицированию необходимой интероперабельности между документными системами и иными деловыми системами |
А.10.8.1 Политики и процедуры обмена информацией Должны существовать формализованные процедуры, требования и меры контроля, обеспечивающие защиту обмена информацией при использовании связи всех типов А.10.8.2 Соглашения по обмену информацией Между организацией и сторонними организациями должны быть заключены соглашения по обмену информацией и программным обеспечением А.10.8.5 Системы бизнес-информации Требования и процедуры должны быть разработаны и внедрены для защиты информации, связанной с взаимодействием систем бизнес-информации |
Предусмотренные ИСО/МЭК 27001 меры делают упор на формальное документирование процедур обмена информации между системами в интересах информационной безопасности. С точки зрения управления документами, интероперабельность между документными и иными системами имеет значение для нормальной повседневной оперативной деятельности, и следовательно это более широкая область неопределенности. Перебои во взаимодействии систем могут повлиять на доступность документов и их пригодность к использованию |
|
2 |
Зависимость документных систем от внешних по отношению к ним источников данных и способность обмениваться данными с этими системами, подключаться к ним либо ссылаться на их данные (примером могут служить облачные системы и другие внешние услуги по хранению данных) |
А.6.2.1 Определение рисков, связанных со сторонними организациями Перед предоставлением доступа сторонним организациям к информации и средствам ее обработки в процессе деятельности организации необходимо определять возможные риски для информации и средств ее обработки и реализовывать соответствующие им меры безопасности А.6.2.3 Рассмотрение требований безопасности в соглашениях со сторонними организациями Соглашения со сторонними организациями должны содержать все требования безопасности, включающие в себя правила доступа к процессам обработки, передачи информации или к управлению информацией или средствами обработки информации организации, а также и в случае приобретения дополнительных программных продуктов или организации сервисного обслуживания средств обработки информации |
С точки зрения управления документами, безопасность данных, находящихся в распоряжении поставляющих услуги третьих сторон - не единственный фактор, который следует учесть, однако предлагаемые меры являются, тем не менее, адекватными |
|
3 |
Совместимость стандартов и спецификаций, касающихся обмена документами и интероперабельности систем |
А.15.2.2 Проверка технического соответствия требованиям безопасности Информационные системы следует регулярно проверять на соответствие требованиям стандартов безопасности |
Предусмотренные ИСО/МЭК 27001 меры сфокусированы на стандартах обеспечения безопасности. С точки зрения управления документами, поскольку использование этого стандарта в отношении документных систем также может стать областью неопределенности, охват мер следует расширить на стандарты обмена документами и интероперабельности |
|
4 |
Эффективность межсистемного взаимодействия (интероперабельности) после внесения изменений или проведения технологических обновлений одной или обеих взаимодействующих систем |
А.10.3.2 Приемка систем Должны быть определены критерии принятия новых и модернизованных информационных систем, новых версий программного обеспечения, а также проведено тестирование систем в процессе их разработки и приемки |
|
|
5 |
Управление метаданными, относящимися к управлению документами, при перемещении документов между системами с тем, чтобы сохранить пригодность к использованию и смысл документов |
Соответствующих мер нет |
Способность документных систем поддержать выполнение требований к метаданным может быть важной областью неопределенности. Если документные системы не в состоянии обеспечить надлежащее управление метаданными из документных процессов, то могут пострадать смысл и значение документов и их пригодность к использованию |
|
Области неопределенности: безопасность (Вся данная область должна покрываться мерами и средствами контроля и управления из ИСО/МЭК 27001. Приведенные ниже примеры отражают наиболее существенные меры.) | |||
|
1 |
Адекватность политики безопасности организации в отношении документов, документных процессов и систем |
А.5.1.1 Документирование политики информационной безопасности Политика информационной безопасности должна быть руководством утверждена, издана и доведена до сведения всех сотрудников организации, а также сторонних организаций А.5.1.2 Анализ политики информационной безопасности Политика информационной безопасности организации должна быть подвергнута анализу и пересмотру через заданные промежутки времени или при появлении существенных изменений характеристик целей безопасности |
При идентификации рисков в данной области специалисты по управлению документами должны обеспечить, чтобы политика организации в сфере информационной безопасности учитывала конкретные потребности, связанные с документами и документными системами. Они также должны обеспечить согласованность политики и процедур управления документами с политикой информационной безопасности |
|
2 |
Способность обеспечивать соблюдение и защиту правил и привилегий доступа, связанных с документами, документными процессами и системами |
А.11.1.1 Политика контроля доступа Политика контроля доступа должна быть установлена и документирована с учетом потребностей бизнеса и безопасности информации А.11.2.1 Регистрация пользователей Должна быть установлена формализованная процедура регистрации и снятия с регистрации пользователей для предоставления и отмены доступа ко всем информационным системам и услугам А.11.2.2 Управление привилегиями Предоставление и использование привилегий должно быть ограниченным и контролируемым А.11.2.3 Управление паролями пользователей Предоставление паролей должно быть контролируемым посредством формализованного процесса управления А.11.2.4 Пересмотр прав доступа пользователей Руководство должно периодически осуществлять пересмотр прав доступа пользователей, используя формализованный процесс А.11.6.1 Ограничения доступа к информации Доступ к информации и функциям прикладных систем пользователей и обслуживающего персонала должен быть предоставлен только в соответствии с определенными политиками контроля доступа |
При идентификации рисков в данной области специалисты по управлению документами должны учитывать ограничения на права пользователей в отношении доступа, создания и модификации документов. Права доступа должны быть приведены в соответствие с установленной политикой управления доступом, являющейся частью политики информационной безопасности |
|
3 |
Политика и меры контроля в отношении действующих по поручению организации третьих сторон, влияющие на хранение, доступ и контроль над документами и документными системами |
А.6.2.3. Рассмотрение требований безопасности в соглашениях со сторонними организациями Соглашения со сторонними организациями должны содержать все требования безопасности, включающие в себя правила доступа к процессам обработки, передачи информации или к управлению информацией или средствами обработки информации организации, а также и в случае приобретения дополнительных программных продуктов или организации сервисного обслуживания средств обработки информации А.10.2.1 Оказание услуг Должна быть обеспечена уверенность в том, что меры управления информационной безопасностью, включенные в договор об оказании услуг сторонней организации, реализованы, функционируют и поддерживаются сторонней организацией А.10.2.2 Мониторинг и анализ услуг, оказываемых сторонними лицами и/или организациями Необходимо регулярно проводить мониторинг, аудит и анализ услуг, отчетов и актов, обеспечиваемых сторонней организацией А.10.2.3 Изменения при оказании сторонними организациями услуг по обеспечению безопасности Изменения при оказании услуг по обеспечению безопасности, включая внедрение и совершенствование существующих требований, процедур и мер обеспечения информационной безопасности, должны быть управляемыми с учетом оценки критичности систем и процессов бизнеса, а также результатов переоценки рисков |
|