Шрифт:
Внедрение непрерывности
Меры и средства
Организация должна установить, документировать, внедрить и поддерживать процессы, процедуры и меры защиты для обеспечения требуемого уровня непрерывности ИБ во время неблагоприятной ситуации.
Рекомендации по реализации
Организация должна быть уверена, что:
– имеется адекватная структура управления по подготовке к уменьшению и реагированию на разрушительное событие с использованием персонала с необходимым авторитетом, опытом и компетентностью;
– назначен персонал по реагированию на инцидент с необходимой ответственностью, авторитетом и компетентностью для управления инцидентом и обеспечения ИБ;
– разработаны и внедрены документальные процедуры планирования, реагирования и восстановления, детально описывающие, как организация будет управлять разрушительным событием и поддерживать свою ИБ на заданном уровне, который базируется на утвержденных руководством целях непрерывности ИБ.
В соответствии с требованиями непрерывности ИБ организация должна установить, документировать, внедрить и поддерживать:
– меры ИБ процессов, процедур и поддерживающих систем и инструментов непрерывности бизнеса и аварийного восстановления;
– процессы, процедуры и реализованные изменения для поддержки существующих мер ИБ во время неблагоприятной ситуации;
– компенсацию мер ИБ, которые не могут поддерживаться во время неблагоприятной ситуации.
В контексте непрерывности бизнеса и аварийного восстановления следует определить специальные процессы и процедуры. Информация, обрабатываемая этими процессами и процедурами или поддерживающими их ИС, должна быть защищена. Поэтому организация должна привлекать специалистов ИБ при создании, внедрении и сопровождении процессов и процедур непрерывности бизнеса и аварийного восстановления.
Внедренные меры ИБ должны продолжать работу и во время неблагоприятной ситуации. Если они не способны продолжать защищать информацию, следует создавать, внедрять и сопровождать другие меры безопасности для поддержки приемлемого уровня ИБ.
Проверка, пересмотр и оценка непрерывности
Меры и средства
Организация должна проверять созданные и внедренные меры защиты непрерывности ИБ на регулярной основе для гарантии их актуальности и эффективности во время неблагоприятных ситуаций.
Рекомендации по реализации
Организационные, технические, процедурные и процессные изменения (в контексте оперативности или непрерывности) могут привести к изменениям требований непрерывности ИБ. В этих случаях непрерывность процессов, процедур и мер ИБ следует пересмотреть в соответствии с измененными требованиями.
Организация должна проверять непрерывность управления ИБ следующим:
– тренировка и тестирование функциональности процессов, процедур и мер защиты непрерывности ИБ для гарантии их соответствия целям непрерывности ИБ;
– тренировка и тестирование знаний и навыков работы с процессами, процедурами и мерами защиты непрерывности ИБ для гарантии их соответствия целям непрерывности ИБ;
– пересмотр актуальности и эффективности мер непрерывности ИБ при изменении ИС, процессов, процедур и мер ИБ или процессов и решений управления непрерывностью бизнеса / управления аварийным восстановлением.
Проверка мер защиты непрерывности ИБ отличается от общей проверки и тестирования ИБ и должна выполняться вне тестирования изменений. По возможности, следует интегрировать проверку мер защиты непрерывности ИБ в тесты непрерывности бизнеса и аварийного восстановления.
13.2. Избыточности средств
Цель: Обеспечить доступность средств обработки информации.
Доступность средств обработки информации
Меры и средства
Количество средств обработки информации должно быть избыточным для удовлетворения требований доступности.
Рекомендации по реализации
Организации следует определить бизнес-требования для ИС. Если существующая системная архитектура не может гарантировать доступность, следует применить избыточные компоненты и архитектуры.
По возможности, избыточные ИС следует тестировать для гарантии того, что каждый компонент отказоустойчив и работает как намечено.
Внедрение избыточностей может снизить риски для целостности и конфиденциальности информации и ИС, которые следует рассмотреть при создании ИС.
14. Соответствие требованиям
Соответствие требованиям обеспечивают следующие меры:
– выполнение требований;
– пересмотр (аудит) ИБ.