14.1. Выполнение требований

Цель: Избежать нарушения правовых, нормативных или договорных обязательств, связанных с ИБ, и любых требований безопасности.

Выполнение требований определяют следующие составляющие:

– определение требований;

– интеллектуальная собственность;

– защита записей;

– конфиденциальность;

– криптографические средства.

Определение требований

Меры и средства

Все соответствующие требования должны быть четко определены, задокументированы и поддерживаться в актуальном состоянии для каждой ИС и организации.

Рекомендации по реализации

Специальные меры защиты и индивидуальные обязанности по выполнению законодательных, нормативных и договорных требований следует также определить и задокументировать.

Менеджеры должны идентифицировать все законодательство, применяемое в организации, для определения соответствия бизнеса его требованиям. Если организация осуществляет бизнес в других странах, менеджеры должны рассмотреть его соответствие требованиям этих стран.

Интеллектуальная собственность

Меры и средства

Должны быть внедрены соответствующие процедуры для обеспечения соответствия требованиям, связанным с правами интеллектуальной собственности и использованием лицензионного ПО.

Рекомендация по реализации

Следующие рекомендации следует учитывать в отношении защиты любого материала, который может содержать интеллектуальную собственность:

– публикация политики соблюдения прав интеллектуальной собственности, определяющей законное использование ПО и информационных продуктов;

– покупка ПО у заслуживающих доверия поставщиков для гарантии того, что авторское право не нарушается;

– поддержка осведомленности сотрудников о политиках по защите прав интеллектуальной собственности и уведомление о намерении применить дисциплинарные санкции в отношении нарушителей;

– поддержка соответствующих реестров активов и выявление всех активов, к которым применимы требования по защите прав интеллектуальной собственности;

– хранение подтверждений и доказательств прав собственности на лицензии, мастер-диски, руководства по эксплуатации и т.п.;

– внедрение контроля, что максимальное число разрешенных пользователей не превышено;

– проведение проверок установки только разрешенного ПО и лицензированных продуктов;

– внедрение политики поддержки соответствующих лицензионных условий;

– внедрение политики утилизации или передачи ПО сторонним организациям;

– соблюдение сроков и условий применения ПО и информации, полученной из общедоступных сетей;

– запрет дублирования, конвертации в другой формат или извлечения из коммерческих записей (фильм, аудио), если другое не разрешено законом об авторском праве;

– запрет копирования полностью или частично книг, статей, отчетов и других документов, если другое не разрешено законом об авторском праве.

Права интеллектуальной собственности включают авторство ПО и документа, права оформления, торговые знаки, патенты и лицензии.

Фирменное ПО обычно поставляется в соответствии с лицензионным соглашением, которое определяет лицензионные сроки и условия, например, ограничение использования ПО на других машинах или ограничение копирования кроме резервного. Важность и осознание прав интеллектуальной собственности должно быть доведено до сотрудников, разрабатывающих в организации ПО.

Законодательные, нормативно-правовые и договорные требования могут ограничивать копирование приватных материалов. В частности, они могут требовать использования только тех материалов, которые разработаны организацией или внедрены в организации разработчиком. Нарушение прав собственности ведет к законному действию, содержащему процедуры штрафования и криминального преследования.

Защита записей

Меры и средства

Записи должны быть защищены от потери, уничтожения, фальсификации, несанкционированного доступа в соответствии с законодательными, нормативными, договорными и бизнес-требованиями.

Рекомендации по реализации

После принятия решения о защите определенных организационных записей должна быть продумана соответствующая классификация на базе шкалы классификации организации. Записи должны быть категоризированы по типам, например, бухгалтерия, базы данных, транзакции, аудит и операционные процедуры, с указанием сроков хранения и типа их носителей, например, бумажный, микрофиша, магнитный, оптический. Любые криптографические ключи, имеющие отношение к зашифрованным архивам и цифровым подписям, должны храниться для дешифровки записей, пока они сохраняются.