NDA защищает информацию организации и обозначает обязанности подписавших его лиц по защите, использованию и неиспользованию информации с учетом своих полномочий и ответственности.

Покупка, разработка и сопровождение ИС определяют следующие составляющие:

– требования безопасности ИС;

– ИБ при разработке ИС;

– тестовые данные.

10.1. Требования безопасности ИС

Цель: Обеспечить, что ИБ является неотъемлемой частью ИС в течение всего жизненного цикла. Это также включает требования к ИС, которые предоставляют сервисы в общедоступных сетях.

Требования безопасности ИС определяют следующие составляющие:

– анализ требований ИБ;

– ИБ сервисов в общедоступных сетях;

– ИБ транзакций прикладных сервисов.

Анализ требований ИБ

Меры и средства

Требования ИБ должны быть включены в требования для новых ИС или по усовершенствованию действующих ИС.

Рекомендации по реализации

Требования ИБ следует определять разными методами, такими как использование соответствующих требований политик и нормативов, моделирование угроз, анализ инцидентов или испоьзование порогов уязвимости. Результаты определения должны документироваться и анализироваться всеми заинтересованными сторонами.

Требования ИБ и меры защиты должны отражать деловую ценность информации и потенциальный ущерб бизнесу вследствие неадекватности ИБ.

Определение и управление требованиями ИБ и связанными с этим процессами следует включать на ранних стадиях в проекты ИС. Раннее рассмотрение требований ИБ, например, на стадии проектирования может привести к более эффективным и экономически выгодным решениям.

Требования ИБ должны также содержать:

– уровень доверия, предъявляемый заявленной личности пользователей, в соответствии с требованиями пользовательской аутентификации;

– процессы подготовки и полномочий доступа, как для бизнес-пользователей, так и для привилегированных или технических пользователей;

– информирование пользователей и операторов об их обязанностях и ответственностях;

– необходимости требуемой защиты активов, в частности, доступности, конфиденциальности, целостности;

– требования, вытекающие из бизнес-процессов, такие как протоколирование и мониторинг транзакций, требования неотказуемости;

– требования, предъявляемые средствами безопасности, такими как интерфейсы протоколирования и мониторинга или систем обнаружения утечки данных.

Для приложений, обеспечивающих сервисы в общедоступных сетях и транзакции, должны быть рассмотрены специальные средства защиты.

В случае приобретения готовых продуктов необходимо соблюдение формальной процедуры покупки и тестирования. В договорах с поставщиками также должны учитываться требования ИБ.

Если защитная функциональность в предлагаемой продукции не удовлетворяет специальному требованию, то необходимо пересмотреть порождаемый этим риск и связанные с этим меры защиты прежде, чем ее покупать. Следует оценить и внедрить доступное руководство по конфигурации безопасности продукции, объединяющее окончальное множество ПО/сервисов системы.

Следует определить критерий принятия продукции, например, по ее функциональности, гарантирующей выполнение определенных требований безопасности. Продукция перед покупкой должна быть оценена по этому критерию. Дополнительная функциональность должна быть изучена для гарантии того, что она не принесет неприемлемых дополнительных рисков.

ИБ сервисов в общедоступных сетях

Меры и средства

Информация прикладных сервисов, проходящая через общедоступные сети, должна быть защищена от мошенничества, договорного спора и несанкционированного раскрытия и модификации.

Рекомендации по реализации

Необходимо, чтобы ИБ прикладных сервисов в общедоступных сетях содержала следующее:

– уровень доверия каждого участника требует от каждого другого участника удостоверения личности, например, с помощью аутентификации;

– процессы авторизации, связанные с тем, кто должен утверждать содержание ключевых документов сделок;

– обеспечение полного информирования взаимодействующих партнеров о своих полномочиях для подготовки и использования сервиса;