ГОСТ Р ИСО ТО 13569— 2007
13.2 Соответствие требованиям безопасности
Проверка соответствия требованиям безопасности (аудит безопасности или анализ безопасности)
является очень важным мероприятием и используется для обеспечения соответствия плану обеспечения
безопасности информационных систем и поддержания эффективности соответствующего уровня информа
ционной безопасности на протяжении срока службы системы или проекта ИТ. Оценку соответствия требова
ниям безопасности целесообразно проводить на стадиях проектирования, разработки и реализации инфор
мационных систем, а также при их совершенствовании и модернизации. Следует также соблюдать осто
рожность при замене или удалении компонентов системы.
Проверки соответствия требованиям безопасности могут проводиться с помощью внутреннего и внеш
него персонала (например аудиторов). При проведении проверок соответствия требованиям безопасности
частот используются перечни контрольных вопросов, связанных с политикой безопасности системы или
проекта ИТ. Данные проверки должны планироваться и интегрироваться в разработки системы или
проекта ИТ.
Дополнительным методом, особенно целесообразным при определении соблюдения требований пер
соналом. занимающимся операционной поддержкой, и пользователями определенных защитных мер и
процедур, являются выборочные проверки. Выборочные проверки должны проводиться для гарантирова
ния правильной реализации и использования надлежащих защитных мер безопасности, и. где это уместно,
защитные меры должны проверяться тестированием. В случаях, если выясняется, что защитные меры не
соответствуют плану обеспечения безопасности системы, необходимо уведомить обэтом руководство про
блемного сектора организации, создать, реализовать и протестировать план корректирующих мер. а ре
зультаты реализации этих мер — проанализировать.
13.3 Мониторинг
Мониторинг информационных систем представляет собой важный компонент плана обеспечения ин
формационной безопасности. Мониторинг может служитьдля руководства показателем реализации защит
ныхмер. тоесть являются ли эти защитные меры удовлетворительными, и была ли реализована программа
поддержки защитных мер. Первоначальный план обеспечения безопасности можно сравниватьс результа
тами мониторинга с целью определения эффективности защитных мер.
Многочисленные защитные меры вызывают необходимостьсоздания журналов регистрации выход
ныхданных. связанных с событиями безопасности. Эти журналы должны периодически просматриваться и.
по возможности, анализироваться статистическими методами с целью раннего обнаружения изменений
тенденций и повторяющихся неблагоприятных событий. Все изменения, связанные с активами, угрозами,
уязвимостями и защитными мерами, потенциально могут оказывать существенное влияние на риски, а
раннее обнаружение изменений позволяет принять предупредительные меры. Использование журналов
регистрации только в целях анализа после событий означает игнорирование этого важного механизма за
щитных мер.
Мониторингдолжен также включать в себя процедуры регулярного предоставления отчетов соответ
ствующему работнику службы обеспечения информационной безопасности и руководству.
14 Разрешение инцидентов
14.1 Менеджмент событий
Событием в области безопасности является идентифицированное появление состояния в информаци
онной или коммуникационной системе, которое указывает на возможное нарушение политики безопасности
или на неспособность защитной меры обеспечить адекватную защиту актива. Любая ранее неизвестная
или неожиданная ситуация может иметь отношение к безопасности и должна трактоваться как событие в
области безопасности. Инцидентом безопасности является серия из одного или более нежелательных или
неожиданных событий в области безопасности, которые обладают значительным потенциалом создания
угрозыдля информационной безопасности или причинения вреда бизнес-операциям. Появление событий в
области безопасности неизбежно. Каждое такое событие должно расследоваться с целью определения,
является ли оно инцидентом безопасности. Суть этого расследования должна быть соразмерна ущербу,
причиненному событием, или потенциальному ущербу, который оно могло бы нанести.
Обработка инцидентов предоставляет возможностьслужбе информационной безопасности реагиро
вать на случайное или преднамеренное нарушение обычного функционирования системы ИТ. Необходимо
разработать схему расследования инцидентов и представления отчетов о них. пригодную для всех систем
ИТ и услуг организации. Данная схема должна включать всебя представление отчетов группам ИТ и биз
нес-группам для получения более широкого представления о возникновении инцидентов информационной
35