— личная ответственность за каждый актив и процесс ИБ должна быть обозначена и ее детали задокументированы;
— уровни авторизации должны быть определены и задокументированы;
— назначенные быть ответственными в сфере ИБ должны быть компетентными и в курсе всех событий в этой сфере;
— координация и контроль аспектов ИБ взаимотношений с поставщиками должны быть идентифицированы и задокументированы.
Многие организации назначают отдельного менеджера по ИБ, возлагая на него всю ответственность за разработку и внедрение ИБ и поддержку актуальности мер и средств ИБ. Одной из распространенных практик является назначение владельца каждого актива, отвечающего за его безопасность.
Разделение обязанностей
Меры и средства
Противоречивые обязанности и зоны ответственности должны быть разделены для снижения возможностей несанкционированного изменения или неправильного использования активов организации.
Рекомендации по реализации
Следует четко обозначить, что никто не может получить доступ к использованию и модификации активов без идентификации и аутентификации. Инициация события должна быть отделена от его авторизации. Возможность сговора должна быть учтена при выборе мер защиты.
В маленьких организациях сложно обеспечить разделение обязанностей, но принцип разделения должен быть применен настолько, насколько это возможно.
Разделение обязанностей является методом снижения риска случайного или преднамеренного нанесения вреда активам организации.
Контакт с властями
Меры и средства
Необходимые контакты с органами власти должны поддерживаться.
Рекомендации по реализации
В организациях должны применяться процедуры, определяющие, когда и с какими инстанциями (например правоохранительными, пожарными и надзорными органами) необходимо вступить в контакт, и каким образом следует своевременно сообщать о выявленных инцидентах ИБ, если есть подозрение о возможности нарушения закона.
Организациям, подвергающимся атаке через Интернет, может потребоваться привлечение сторонней организации (например интернет-провайдера или оператора телекоммуникаций) для принятия мер защиты от атаки.
Контакт со специальными группами
Меры и средства
Должны поддерживаться надлежащие контакты со специальными группами или форумами специалистов в области ИБ, а также профессиональными ассоциациями.
Рекомендации по реализации
Членство в группах или форумах следует рассматривать как средство для:
— повышения знания о «передовом опыте» и достижений ИБ на современном уровне;
— обеспечения уверенности в том, что понимание проблем ИБ является современным и полным;
— получения раннего оповещения в виде предупреждений, информационных сообщений и патчей1, касающихся атак и уязвимостей;
— возможности получения консультаций специалистов по вопросам ИБ;
— совместного использования и обмена информацией о новых технологиях, продуктах, угрозах или уязвимостях;
— организация подходящих связей для обеспечения обработки инцидентов ИБ.
Соглашения об информационном обмене должны обеспечить улучшение кооперации и координации действий в сфере безопасности. Эти соглашения должны определить требования по защите конфиденциальной информации.
1 Патч — блок изменений для оперативного исправления или нейтрализации ошибки в исполняемой программе. чаще всего поставляемый (или размещаемый на сайте разработчика) в виде небольшой программы, вставляющей исправления в объектный код соответствующих модулей приложения.
ИБ при управлении проектом
Меры и средства
ИБ должна обеспечиваться при управлении проектом, независимо от его типа.
Рекомендации по реализации
ИБ должна быть интегрирована|интегрированной, комплексной| в метод управления проектом|структуры|, чтобы гарантировать, что|который| риски|рисковый| ИБ идентифицированы|опознает| и являются частью проекта. Это относится к любому проекту, независимо от его содержания.
Метод управления проектом при использовании должен требовать, чтобы|который|:
— цели|задача| ИБ входили в проектные цели|задачу|;
— оценка риска|рисковый| ИБ проводилась|ведет| на ранней стадии проекта, чтобы идентифицировать|опознать| необходимые меры защиты|контроль, управляет|;