Объединенная экспертная группа по инициативе преобразования



страница35/48
Дата09.05.2018
Размер6.15 Mb.
1   ...   31   32   33   34   35   36   37   38   ...   48

ПРИЛОЖЕНИЕ G

ПРОГРАММЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

МЕРЫ БЕЗОПАСНОСТИ УПРАВЛЕНИЯ ОБЩИМИ ДЛЯ ОРГАНИЗАЦИИ ПРОГРАММАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Закон об управлении безопасностью Федеральной информации (FISMA) требует, чтобы организации разработали и реализовали программу информационной безопасности всей организации, направленную на обеспечение информационной безопасности для информации и информационных систем, которые поддерживают деятельность и активы организации, включая предоставляемые или управляемые другой организацией, подрядчиком или другим источником. Меры безопасности управления программой информационной безопасности (PM), описанные в этом приложении реализуется, как правило, на уровне организации и не ориентированы на отдельные информационные системы организаций. Меры безопасности по управлению программами были разработаны, чтобы облегчить согласие с применимыми федеральными законами, правительственными распоряжениями, директивами, политиками, нормитивными актами и стандартами. Меры безопасности не связаны с какими-либо уровнями воздействия из FIPS публикации 200 и поэтому, непосредственно не связаны с каким- либо из базовых наборов мер безопасности, описанных в Приложении D. Меры управления программами являются, однако, дополнением мер безопасности из Приложения F и сосредотачиваются на программных, общих для всей организации требованиях информационной безопасности, которые независимы от любой конкретной информационной системы и важны для управления программами информационной безопасности. Руководство по адаптации может быть применено к мерам управления программами таким же способом, как применяется к мерам безопасности в Приложении F. Организации определяют человека или людей, подотчетных и ответственных за разработку, реализацию, оценку, санкционирование и мониторинг мер управления программами. Организации документируют меры управления программами в плане программы информационной безопасности. Общий для организации план программы информационной безопасности дополняет отдельные планы обеспечения безопасности, разрабатываемые для каждой информационной системы организации. Вместе, планы обеспечения безопасности для отдельных информационных систем и программа информационной безопасности закрывают все количество мер безопасности, используемых организацией.

В дополнение к документированию мер управления программой информационной безопасности, план программы обеспечения безопасности предоставляет организации механизм, в центральном репозитории, чтобы задокументировать все меры безопасности из Приложения F, которые были определены, как общие меры безопасности (т.е. меры безопасности, наследуемые информационными системами организации).111 Меры управления программой информационной безопасности и общие меры безопасности, содержавшиеся в плане программы информационной безопасности, реализуются, оцениваются по эффективности112 и авторизуются высшим должностным лицом организации, с тем же самыми или подобными полномочиями и ответственностью за управление рисками, как у должностных лиц санкционирования для информационных систем. План действий и вехи разрабатываются и сопровождаются для мер управления программой и общих мер безопасности, которые, как полагают из оценки, менее чем эффективны. Меры управления программой информационной безопасности и общие меры безопасности являются также подчиненными тем же самым требованиям непрерывного мониторинга, как меры безопасности, используемые в отдельных информационных системах организации.



Таблица G-1 представляет сводку мер безопасности семейства управления программой из Приложения G. Организации могут использовать рекомендуемые приоритетные коды, связанные с каждой мерой управления программой, для помощи в принятии решений по упорядочиванию для реализации (то есть, у меры безопасности с Приоритетным Кодом 1 [P1], есть более высокий приоритет для реализации чем у меры безопасности с Приоритетным Кодом 2 [P2]; и у меры безопасности с Приоритетным Кодом 2 [P2] есть более высокий приоритет для реализации чем у меры безопасности с Приоритетным Кодом 3 [P3].

TABLE G-1: МЕРЫ БЕЗОПАСНОСТИ УПРАВЛЕНИЯ ПРОГРАММОЙ

МЕРЫ

НАЗВАНИЕ МЕРЫ

ПРИОРИТЕТ

НАЧАЛЬНЫЙ БАЗОВЫЙ НАБОР МЕР

НИЗКИЙ

СРЕДНИЙ

ВЫСОКИЙ

PM-1

План программы информационной безопасности

P1


Вводятся в действие для всей организации

Поддерживают программу информационной безопасности.

Не связаны с базовыми мерами безопасности.

Независимы от любого уровня воздействия на систему.


PM-2

Высший сотрудник по информационной безопасности

P1

PM-3

Ресурсы информационной безопасности

P1

PM-4

Формирование плана действий и вех

P1

PM-5

Реестр информационных систем

P1

PM-6

Меры по соблюдению информационной безопасности

P1

PM-7

Архитектура предприятия

P1

PM-8

План критической инфраструктуры

P1

PM-9

Стратегия управления рисками

P1

PM-10

Процесс санкционирования безопасности

P1

PM-11

Определение процесса предназначения/деятельности

P1

PM-12

Программа инсайдерских угроз

P1

PM-13

Трудовые ресурсы информационной безопасности

P1

PM-14

Проверка, обучение и мониторинг

P1

PM-15

Контакты с группами и ассоциациями по безопасности

P3

PM-16

Программа освоения угроз

P1




ПРЕДОСТЕРЕЖЕНИЕ

Организациям требуется реализовать меры управления программой безопасности, чтобы обеспечить основу для программы информационной безопасности организации. Успешная реализация мер безопасности для информационных систем организации зависит от успешной реализации общих для организации мер управления программой. Однако, способ, в котором организации реализуют меры управления программой, зависит от конкретных характеристик организаций, включая, например, размер, сложность и требования предназначение/деятельности соответствующих организаций.




PM-1 ПЛАН ПРОГРАММЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Мера безопасности: Организация:

a. Разрабатывает и распространяет общий для организации план программы информационной безопасности, который:

1. Обеспечивает обзор требований для программы обеспечения безопасности и описание мер управления программой обеспечения безопасности и существующих или планируемых общих мер безопасности для удовлетворения этим требованиям;

2. Включает идентификацию и назначение ролей, ответственности, обязанностей по управлению, координации среди сущностей организации и выполнению;

3. Отражает координацию среди сущностей организации, ответственных за различные аспекты информационной безопасности (то есть, технический, физический, персонала, кибер-физический); и

4. Является одобренным высшим должностным лицом с ответственностью и подконтрольностью в отношении рисков, относящимся к деятельности организации (включая предназначение, функции, имидж и репутацию), активам организации, людям, другим организациям и Нации;

b. Рассматривает план программы информационной безопасности общий для организации [Присвоение: определенная организацией частота];

c. Обновляет план, определяя изменения и проблемы организации, идентифицированные во время реализации плана или оценок мер безопасности; и

d. Защищает план программы информационной безопасности от несанкционированного раскрытия и модификации.

Дополнительное руководство: планы программы информационной безопасности могут быть на усмотрение организаций представлены в отдельных документах или в совокупности документов. Планы документируют меры управления программой и определенные организацией общие меры безопасности. Планы программы информационной безопасности предоставляют достаточную информацию о мерах безопасности/общих мерах безопасности управления программой (включая спецификацию параметров для любой операции назначения и выбора явно или ссылкой), чтобы определить реализации, которые однозначно совместимы с замыслом планов и определенным риском, который будет понесен, если планы будут реализованы как предназначено.

Планы обеспечения безопасности для отдельных информационных систем и план программы информационной безопасности общий для организации совместно, обеспечивают полный охват всех мер безопасности, используемых в организации. Общие меры безопасности документируются в приложении к плану программы информационной безопасности организации, если меры безопасности не включены в отдельный план обеспечения безопасности для информационной системы (например, меры безопасности, примененные как часть системы обнаружения вторжений, обеспечивающей защиту границ всей организации, наследуются одной или более информационными системами организации). Общий для организации план программы информационной безопасности должен указывать, какие отдельные планы обеспечения безопасности содержат описания общих мер безопасности.

У организаций есть возможность описать общие меры безопасности в отдельном документе или в нескольких документах. В случае нескольких документов, документы, описывающие общие меры безопасности, включаются как приложения к плану программы информационной безопасности. Если план программы информационной безопасности содержит несколько документов, организация определяет в каждом документе должностное лицо или должностные лица организации, ответственные за разработку, реализацию, оценку, санкционирование и мониторинг соответствующих общих мер безопасности. Например, организация может потребовать, чтобы Отдел управления средствами разработал, реализовал, оценил, санкционировал и непрерывно контролировал общие меры обеспечения физической защиты и защиты окружения из семейства PE, когда такие меры безопасности не связаны с определенной информационной системой, но при этом, поддерживают различные информационные системы. Связанная мера безопасности: PM-8.

Улучшения меры безопасности: Нет.

Ссылки: Нет.

PM-2 ВЫСШИЙ СОТРУДНИК ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Мера безопасности: Организация назначает высшего сотрудника по информационной безопасности с задачей и ресурсами по координации, разработке, реализации и сопровождению общей для организации программы информационной безопасности.

Дополнительное руководство: сотрудник безопасности, описанный в этой мере безопасности, является должностным лицом организации. Для федерального агентства (как определено в применимых федеральных законах, правительственных распоряжениях, директивах, политиках или нормитивных актах) это должностное лицо - Высший сотрудник информационной безопасности агентства. Организации могут также именовать это должностное лицо как Высший сотрудник информационной безопасности или Директор по информационной безопасности.

Улучшения меры безопасности: Нет.

Ссылки: нет.

PM-3 РЕСУРСЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Мера безопасности: Организация:

a. Гарантирует, что все основное планирование и инвестиционные запросы включают ресурсы, необходимые для реализации программы информационной безопасности и документируют все исключения к этому требованию;

b. Использует экономическую модель /Exhibit 300/Exhibit 53 для учета требуемых ресурсов; и

c. Гарантирует, что ресурсы информационной безопасности доступны для расходования, как запланировано.



Дополнительное руководство: Организации рассматривают установление приоритетов для усилий по информационной безопасности и, как части, необходимых ресурсов, назначают специализированную экспертизу и ресурсы по необходимости. Организации могут назначить и уполномочить Наблюдательный Совет по инвестициям (или подобную группу) для управления и обеспечения надзора за аспектами основного планирования, связанными с информационной безопасностью, и процесса контроля инвестиций. Связанные меры безопасности: PM-4, SA 2.

Улучшения меры безопасности: Нет.

Ссылки: Специальная публикация NIST 800-65.

PM-4 ФОРМИРОВАНИЕ ПЛАНА ДЕЙСТВИЙ И ВЕХ

Мера безопасности: Организация:

a. Реализует процесс для того, чтобы гарантировать, что план действий и вехи для программы обеспечения безопасности и соответствующих информационных систем организации:

1. Разработаны и поддерживаются;

2. Документируют корректирующие действия по информационной безопасности по соответствующему реагированию на риски к деятельности и активам организации, людям, другим организациям и Нации; и

3. Представляют отчеты в соответствии с требованиями FISMA OMB к отчетности.

b. Пересматривает план действий и вехи для согласованности со стратегией управления рисками организации и общими для организации приоритетами по ответным действиям на риски.



Дополнительное руководство: План действий и вехи - ключевой документ в программе информационной безопасности, подчиненный федеральным требованиям к отчетности, установленным OMB. С возрастанием акцента на общее для организации управление рисками на всех трех уровнях в иерархии управления рисками (т.е. организации, процессов предназначения/деятельности и информационных систем), организации рассматривают план действий и вехи с точки зрения организации, располагая по приоритетам действия по реакции на риски и гарантируя согласованность целями и задачам организации. Обновления плана действий и вех основываются на результатах оценок мер безопасности и действиях по постоянному мониторингу. Руководство OMB по отчетности FISMA, содержит инструкции относительно плана действий и вех организации. Связанная мера безопасности: CA-5.

Улучшения меры безопасности: Нет.

Ссылки: Меморандум 02-01 OMB; Специальная публикация NIST 800-37.

PM-5 РЕЕСТР ИНФОРМАЦИОННЫХ СИСТЕМ

Мера безопасности: Организация разрабатывает и сопровождает реестр своих информационных систем.

Дополнительное руководство: Эта мера безопасности определяется требованиями FISMA в отношении реестров. OMB предоставляет руководство по разработке реестров информационных систем и соответствующие требования к отчетности. По конкретным требованиям к отчетности по реестрам информационных систем организации консультируются с ежегодным руководством OMB по отчетности FISMA.

Улучшения меры безопасности: Нет.

Ссылки: Web: www.omb.gov.

PM-6 МЕРЫ ПО СОБЛЮДЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Мера безопасности: Организация разрабатывает, мониторит и отчитывается относительно результатов мер по соблюдению информационной безопасности.

Дополнительное руководство: Меры по соблюдению - основанные на результатах выполнения метрики, используемые организацией, чтобы измерить эффективность или действенность программы информационной безопасности и мер безопасности, использованных в поддержку программы.

Улучшения меры безопасности: Нет.

Ссылки: Специальная публикация NIST 800-55.

PM-7 АРХИТЕКТУРА ПРЕДПРИЯТИЯ

Мера безопасности: организация разрабатывает архитектуру предприятия с соображениями в части информационной безопасности и результирующего риска к деятельности организации, активам организации, людям, другим организациям и Нации.

Дополнительное руководство: архитектура предприятия, разработанная организацией, должна ориентироваться на архитектуру федерального предприятия. Интеграция требований информационной безопасности и связанных мер безопасности в архитектуру предприятия организации помогает гарантировать, что рассмотрения безопасности осуществляются организациями с начала жизненного цикла разработки систем и непосредственно и явно связаны с процессами предназначения/ деятельности организации. Этот процесс интеграции требований безопасности также встраивается в архитектуру предприятия, интегральная архитектура информационной безопасности согласуется с управлением рисками организации и стратегиями информационной безопасности. Для PM-7, архитектура информационной безопасности разрабатывается на уровне системы систем (в целом для организации), представляя все информационные системы организации. Для PL-8 архитектура информационной безопасности разрабатывается на уровне, представляющем отдельную информационную систему, но при этом согласуется с архитектурой информационной безопасности, определенной для организации. Требования безопасности и интеграция мер безопасности наиболее эффективно достигаются через приложение Основ управления рисками и поддерживающие стандарты и руководства по обеспечению безопасности. Федеральная Методология архитектуры сегментов дает представление об интегрировании требований информационной безопасности и мер безопасности в архитектуру предприятия. Связанные меры безопасности: PL-2, PL-8, PM-11, RA-2, SA-3.

Улучшения меры безопасности: Нет.

Ссылки: Специальная публикация NIST 800-39; Web: www.fsam.gov.

PM-8 ПЛАН КРИТИЧЕСКОЙ ИНФРАСТРУКТУРЫ

Мера безопасности: Организация определяет проблемы информационной безопасности при разработке, документировании и обновлении плана защиты критической инфраструктуры и ключевых ресурсов.

Дополнительное руководство: Стратегии защиты основаны на назначении приоритетов критическим активам и ресурсам. Требования и руководство по определению критической инфраструктуры и ключевых ресурсов и для подготовки соответствующего план защиты критической инфраструктуры содержатся в применимых федеральных законах, правительственных распоряжениях, директивах, политиках, нормитивных актах, стандартах и руководствах. Связанные меры безопасности: PM-1, PM-9, PM-11, RA-3.

Улучшения меры безопасности: Нет.

Ссылки: HSPD 7; Национальный план защиты инфраструктуры.

PM-9 СТРАТЕГИЯ УПРАВЛЕНИЯ РИСКАМИ

Мера безопасности: Организация:

a. Разрабатывает всеобъемлющую стратегию управления рисками к деятельности и активам организации, людям, другим организациям и Нации, связанную с деятельностью и используемыми информационными системами;

b. Последовательно реализует стратегию управления рисками организации; и

c. Пересматривает и обновляет стратегию управления рисками [Назначение: определенная организацией частота] или по мере необходимости, чтобы соответствовать изменениям в организации.



Дополнительное руководство: Общая для организации стратегия управления рисками включает, например, однозначное определение допустимого риска для организации, приемлемых методологий оценки степени риска, стратегий уменьшения риска, процесса последовательной оценки риска в организации относительно допустимого риска организации и подходов к контролю риска в течение долгого времени. Использование функции ответственного за риски может облегчить соответствующее, общее для организации, приложение стратегии управления рисками. Общая для организации стратегия управления рисками может использовать связанную с риском информацию из других источников, и внутренних и внешних к организации, чтобы гарантировать, что стратегия является и всеобъемлющей и всесторонней. Связанная мера безопасности: RA-3.

Улучшения меры безопасности: Нет.

Ссылки: NIST Специальные публикации 800-30, 800-39.

PM-10 ПРОЦЕСС САНКЦИОНИРОВАНИЯ БЕЗОПАСНОСТИ

Мера безопасности: Организация:

a. Управляет (то есть, документирует, отслеживает и отчитывается) состоянием безопасности информационных систем организации и сред, в которых эти системы работают посредством процессов санкционирования безопасности;

b. Назначает людей выполнять конкретные роли и обязанности в рамках процесса управления рисками организации; и

c. Полностью интегрирует процессы санкционирования безопасности в общую для организации программу управления рисками.



Дополнительное руководство: Процессы санкционирования безопасности для информационных систем и сред эксплуатации требуют реализации общего для организации процесса управления рисками, Основ управления рисками и соответствующих стандартов и руководств по обеспечению безопасности. Конкретные роли в процессе управления рисками включают ответственного в организации за риски (функция) и назначенных для каждой информационной системы организации должностных лиц санкционирования и поставщика общих мер безопасности. Процессы санкционирования безопасности интегрируются с процессами постоянного мониторинга организации, чтобы облегчить постоянное понимание и принятие рисков к деятельности и активам организации, людям, другим организациям и Нации. Связанная мера безопасности: CA-6.

Улучшения меры безопасности: Нет.

Ссылки: Специальные публикации NIST 800-37, 800-39.



Поделитесь с Вашими друзьями:
1   ...   31   32   33   34   35   36   37   38   ...   48


База данных защищена авторским правом ©vossta.ru 2019
обратиться к администрации

    Главная страница