определить и применять процедуры для идентификации, сбора, приобретения и сохранения информации, которые могут служить в качестве доказательств.

Рекомендации по реализации

Внутренние процедуры должны быть разработаны и применены в случае необходимости доказательств для дисциплинарных и законных действий.

В общем, эти процедуры должны обеспечить идентификацию, сбор, приобретение и сохранение доказательств с учетом разнотипности носителей, устройств, их состояния, например, включено или выключено.

Процедуры должны учитывать:

— цепочки поставок;

— безопасность доказательства;

— безопасность персонала;

— роли и ответственности задействованного персонала;

— компетентность персонала;

— документацию;

— инструктаж.

По возможности, сертификаты и другие соответствующие значения квалификации персонала и инструменты должны быть найдены, чтоб усилить значимость сохраняемого доказательства.

Правовые доказательства могут изменить организационные и юридические рамки. В таких случаях очень важно, чтобы организация возглавила сбор необходимой информации как правовых доказательств. Требования разных юрисдикций также должны рассматриваться для увеличения шансов допуска к соответствующим юрисдикциям.

Идентификация является процессом изучения, распознавания и документирования потенциального доказательства. Сбор является процессом собирания физических предметов и деталей, содержащих потенциальное доказательство. Приобретение является процессом копирования данных в определенной совокупности и конфигурации. Сохранение является процессом поддержания и защиты неприкосновенности и естественных условий правового доказательства.

Когда событие ИБ появляется впервые, нельзя сразу определить понадобится ли судебное разбирательство. Следовательно, существует опасность того, что необходимое доказательство будет случайно или преднамеренно разрушено до того, как будет определена серьезность инцидента. Целесообразно привлечь адвоката или полицию к любому предусмотренному законному действию и получить соответствующую консультацию по требуемому докуазательству.

13. Аспекты ИБ при управлении непрерывности бизнеса

Аспекты ИБ при управлении непрерывности бизнеса определяют следующие составляющие:

— непрерывность ИБ;

— избыточность средств.

13.1. Непрерывность ИБ

Цель: Непрерывность ИБ должна быть неотъемлемой частью систем управления непрерывностью бизнеса организации.

Непрерывность ИБ обеспечивают следующие меры:

— планирование;

— внедрение;

— проверку, пересмотр и оценку.

Планирование непрерывности

Меры и средства

Организация должна определить свои требования ИБ и непрерывности управления ИБ при неблагоприятных ситуациях, например, во время кризиса или аварии.

Рекомендации по реализации

Организация должна определить, будет ли непрерывность ИБ охвачена процессом управления непрерывностью бизнеса или процессом управления аварийным восстановлением. Требования ИБ должны обусловить планирование непрерывности бизнеса и аварийного восстановления.

При недостатке планирования непрерывности бизнеса и аварийного восстановления управление ИБ должно предположить, что требования ИБ в неблагоприятной ситуации остаются такими же, как и в нормальных операционных условиях. В альтернативном случае организация могла провести анализ влияния на аспекты ИБ бизнеса для определения требований ИБ, подходящих для неблагоприятных ситуаций.

Для снижения времени и усилий на «дополнительный» анализ влияния на ИБ бизнеса следует учитывать аспекты ИБ при анализе влияния на бизнес обычного управления непрерывностью бизнеса или управления аварийным восстановлением. Это значит, что требования непрерывности ИБ четко формулируются процессами управления непрерывностью бизнеса или управления аварийным восстановлением.

Внедрение непрерывности

Меры и средства

Организация должна установить, документировать, внедрить и поддерживать процессы, процедуры и меры защиты для обеспечения требуемого уровня непрерывности ИБ во время неблагоприятной ситуации.

Рекомендации по реализации

Организация должна быть уверена, что:

— имеется адекватная структура управления по подготовке к уменьшению и реагированию на разрушительное событие с использованием персонала с необходимым авторитетом, опытом и компетентностью;

— назначен персонал по реагированию на инцидент с необходимой ответственностью, авторитетом и компетентностью для управления инцидентом и обеспечения ИБ;

— разработаны и внедрены документальные процедуры планирования, реагирования и восстановления, детально описывающие, как организация будет управлять разрушительным событием и поддерживать свою ИБ на заданном уровне, который базируется на утвержденных руководством целях непрерывности ИБ.

В соответствии с требованиями непрерывности ИБ организация должна установить, документировать, внедрить и поддерживать:

— меры ИБ процессов, процедур и поддерживающих систем и инструментов непрерывности бизнеса и аварийного восстановления;

— процессы, процедуры и реализованные изменения для поддержки существующих мер ИБ во время неблагоприятной ситуации;

— компенсацию мер ИБ, которые не могут поддерживаться во время неблагоприятной ситуации.

В контексте непрерывности бизнеса и аварийного восстановления следует определить специальные процессы и процедуры. Информация, обрабатываемая этими процессами и процедурами или поддерживающими их ИС, должна быть защищена. Поэтому организация должна привлекать специалистов ИБ при создании, внедрении и сопровождении процессов и процедур непрерывности бизнеса и аварийного восстановления.

Внедренные меры ИБ должны продолжать работу и во время неблагоприятной ситуации. Если они не способны продолжать защищать информацию, следует создавать, внедрять и сопровождать другие меры безопасности для поддержки приемлемого уровня ИБ.

Проверка, пересмотр и оценка непрерывности

Меры и средства

Организация должна проверять созданные и внедренные меры защиты непрерывности ИБ на регулярной основе для гарантии их актуальности и эффективности во время неблагоприятных ситуаций.

Рекомендации по реализации

Организационные, технические, процедурные и процессные изменения (в контексте оперативности или непрерывности) могут привести к изменениям требований непрерывности ИБ. В этих случаях непрерывность процессов, процедур и мер ИБ следует пересмотреть в соответствии с измененными требованиями.

Организация должна проверять непрерывность управления ИБ следующим:

— тренировка и тестирование функциональности процессов, процедур и мер защиты непрерывности ИБ для гарантии их соответствия целям непрерывности ИБ;

— тренировка и тестирование знаний и навыков работы с процессами, процедурами и мерами защиты непрерывности ИБ для гарантии их соответствия целям непрерывности ИБ;

— пересмотр актуальности и эффективности мер непрерывности ИБ при изменении ИС, процессов, процедур и мер ИБ или процессов и решений управления непрерывностью бизнеса / управления аварийным восстановлением.

Проверка мер защиты непрерывности ИБ отличается от общей проверки и тестирования ИБ и должна выполняться вне тестирования изменений. По возможности, следует интегрировать проверку мер защиты непрерывности ИБ в тесты непрерывности бизнеса и аварийного восстановления.

13.2. Избыточности средств

Цель: Обеспечить доступность средств обработки информации.

Доступность средств обработки информации

Меры и средства

Количество средств обработки информации должно быть избыточным для удовлетворения требований доступности.

Рекомендации по реализации

Организации следует определить бизнес-требования для ИС. Если существующая системная архитектура не может гарантировать доступность, следует применить избыточные компоненты и архитектуры.

По возможности, избыточные ИС следует тестировать для гарантии того, что каждый компонент отказоустойчив и работает как намечено.

Внедрение избыточностей может снизить риски для целостности и конфиденциальности информации и ИС, которые следует рассмотреть при создании ИС.

14. Соответствие требованиям

Соответствие требованиям обеспечивают следующие меры:

— выполнение требований;

— пересмотр (аудит) ИБ.

14.1. Выполнение требований

Цель: Избежать нарушения правовых, нормативных или договорных обязательств, связанных с ИБ, и любых требований безопасности.

Выполнение требований определяют следующие составляющие:

— определение требований;

— интеллектуальная собственность;

— защита записей;

— конфиденциальность;

— криптографические средства.

Определение требований

Меры и средства

Все соответствующие требования должны быть четко определены, задокументированы и поддерживаться в актуальном состоянии для каждой ИС и организации.

Рекомендации по реализации

Специальные меры защиты и индивидуальные обязанности по выполнению законодательных, нормативных и договорных требований следует также определить и задокументировать.

Менеджеры должны идентифицировать все законодательство, применяемое в организации,