ГОСТ Р ИСО/МЭК ТО 18044—2007
Наличие защитных мер для обеспечения выполнения коммерческих договорных обяза
тельств
При наличии обязывающих требований по предоставлению услуг по менеджменту инцидентов ИБ
(например требования ко времени реагирования) организация должна предусматривать обеспечение
соответствующей ИБ в целях обеспечения выполнения этих обязательств при любых обстоятельствах (в
связи с этим в случае заключения организацией контракта со сторонней организацией (см. 7.5.4), на
пример КГБР. необходимо включение всех необходимыхтребований, нарядус временем реагирования, в
контракт со сторонней организацией).
Правовые вопросы, связанные с политиками и процедурами
Необходима проверка политики процедур, связанныхссистемой менеджмента инцидентов ИБ. на
предмет наличия правовых и нормативных проблем, например, имеются ли уведомления о дисципли
нарных взысканиях и (или) судебном преследовании сотрудников, виновных в создании инцидентов, так
как в некоторых странах увольнение сотрудников является довольно сложным процессом.
Проверка на законность непризнания ответственности
Все заявления об ограничении ответственности задействия, предпринятые группой менеджмен
та инцидентов ИБ или внешним вспомогательным персоналом, должны быть проверены на закон
ность.
Включение в контракты со сторонним персоналом всех необходимых аспектов
Контракты со сторонним вспомогательным персоналом, например КГБР. должны тщательно про
веряться на предмет внесения в контракт ответственности за нарушение обязательств по неразглаше
нию. доступности услуг и последствия неправильных консультаций.
Соглашения о неразглашении конфиденциальной информации
От членов группы менеджмента инцидентов ИБ может потребоваться подписание соглашения о
неразглашении конфиденциальной информации как при устройстве на работу, так и при увольнении. В
некоторых странах такио соглашения могут не иметь юридической силы; данный аспект необходимо
подвергать проверке.
Исполнение требований правоприменяющих органов
Необходимо обеспечить ясность в вопросах, связанных с возможностью того, что правоприме
няющие органы на законном основании могут затребовать информацию от системы менеджмента ин
цидентов ИБ. В некоторых случаях может потребоваться ясность о минимальном уровне,
определяемом законом, на котором инциденты необходимодокументировать, ио сроке хранения этой
документации.
Ясность в вопросах ответственности
Необходимо уточнить вопросы потенциальной ответственности и необходимые соответствующие
защитные меры. Ниже приведены примеры событий, имеющих отношение к возложению ответствен
ности:
- если инцидент ИБ может повлиять на деятельностьдругой организации (напримерраскрытие со
вместно используемой информации), которая вовремя не оповещается и в результате несет ущерб;
- если в продукции обнаружена новая уязвимость без уведомления об этом поставщика, что при
вело к возникновению серьезного связанного сэтой уязвимостью инцидента, в результате которого зна
чительно пострадали одна или несколько организаций;
- если в какой-либо стране, где от организаций требуется информирование или создание архивов
для правоохранительных органов в отношении всех случаев, которые могут быть связаны с тяжким пре
ступлением или проникновением в правительственную систему, содержащую информацию ограничен
ного доступа или элементы критически важной национальной инфраструктуры, соответствующие
требования не выполнены,
- если информация раскрыта и появилось указание на причастность некоторого лица или органи
зации к атаке на информационные ресурсы организации. Этот факт может нанести ущерб репутации и
бизнесу конкретных лиц или организации;
- если раскрыта информация, что в определенном элементе программного обеспечения произо
шел сбой, но впоследствии эта информация оказалась ложной.
Специальные нормативные требования
Обинцидентах ИБ следует информировать соответствующий контрольный орган, если это пред
усмотрено специальными и нормативными требованиями, например, как это предусмотрено в атомной
промышленности.
8