ГОСТ Р ИСО/МЭК 27010-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности при обмене информацией между отраслями и организациями

8 Менеджмент активов

8.1 Ответственность за активы

8.1.1 Инвентаризация активов

Дополнительная информация, характерная для обмена информацией между отраслями и организациями, отсутствует.

8.1.2 Владение активами

8.1.3 Допустимое использование активов

Пункт 8.1.3 ИСО/МЭК 27002:2013 дополняется следующим:

Руководство по внедрению

Информация, предоставленная участниками сообщества по обмену информацией, является активом, и должна защищаться, использоваться и распространяться в соответствии со всеми правилами, установленными сообществом по обмену информацией или источником информации.

8.1.4 Возврат активов

8.2 Категорирование информации

8.2.1 Категорирование информации

Пункт 8.2.1 ИСО/МЭК 27002:2013 изменяется следующим образом:

Меры обеспечения ИБ

Информация должна категорироваться с точки зрения требований законодательства, ценности, достоверности, приоритета, критичности и чувствительности к несанкционированному раскрытию или изменению.

Руководство по внедрению

Согласно критериям, приведенным в ИСО/МЭК 27002, информация должна категорироваться с точки зрения ее достоверности и приоритета. Достоверность должна оцениваться с точки зрения репутации ее источника, технического содержания и качества описания. Приоритет должен указывать на необходимость срочного или немедленного действия, такого, как дальнейшее распространение.

Помимо уровня конфиденциальности, чувствительность к несанкционированному раскрытию и изменению может зависеть также от других аспектов информации, таких как последствия ее раскрытия или потенциальная возможность поставить под угрозу анонимность ее источника.

Необходимо соблюдать осторожность в интерпретации классификационных обозначений, присвоенных другими участниками сообщества по обмену информацией.

Пример - Один известный почтовый клиент при отображении электронных писем, в которых значение поля заголовка конфиденциальности установлено в "для служебного пользования (company confidential)" (RFC 4021 [1]) добавляет: "Пожалуйста, считайте это сообщение конфиденциальным". В этом случае неясно, подразумевал ли автор "для служебного пользования" (и сообщение было отправлено по ошибке) или "конфиденциально для вас, получателя".

8.2.2 Маркировка информации

8.2.3 Обращение с активами

8.3 Обращение с носителями информации

8.4 Защита обмена информацией

Меры обеспечения ИБ, дополнительные к разделу 8 ИСО/МЭК 27002:2013.

Цель: обеспечить адекватную защиту обмена информацией в рамках сообщества по обмену информацией.

Информация, которой обмениваются члены сообщества по обмену информацией, должна защищаться согласованным образом, даже если участники являются независимыми субъектами или частями субъектов, которые могут маркировать, распространять и защищать свою собственную информацию различными способами.

При запросе анонимности любая информация, идентифицирующая источник информации, должна удаляться. Точно так же должна быть обеспечена возможность получать информацию без раскрытия личности получателя.

Выход совместно используемой информации за пределы сообщества должен контролироваться.

8.4.1 Распространение информации

Меры обеспечения ИБ

Распространение информации в пределах участника-получателя должно быть ограничено, на основе предопределенной маркировки распространения, определенной сообществом.

Руководство по внедрению

Информация, которая не имеет маркировки распространения, должна распространяться согласно правилам по умолчанию, которые определяются сообществом по обмену информацией. В случае сомнений или в случае отсутствия общепринятого соглашения о распространении по умолчанию, к информации следует относиться с осторожностью. Если такое возможно, то получатель должен запросить отправителя повторно передать информацию с явной маркировкой распространения.

Ограничения распространения могут включать ограничения на использование, такие как контроль электронного копирования и вставки, запрет снимков экрана или предотвращение печати и экспорта.

Дополнительная информация

Различные атрибуты или компоненты совместно используемой информации могут иметь различные уровни конфиденциальности. В частности, уровень конфиденциальности информации о наличии конкретного сообщения, или другой совместно используемой информации, может отличаться от уровня конфиденциальности информации, содержащейся в самом сообщении.

Функциональность управления правами на информацию зачастую используется для обеспечения ограничений в ее использовании. В этом случае необходимо наличие четкой политики или модели управления правами, чтобы пользователи понимали, какие действия будут разрешены системой, а какие будут заблокированы.

8.4.2 Предупреждение об ответственности за информацию

Меры обеспечения ИБ

Каждый обмен информацией должен начинаться с заявления об отказе от ответственности с перечислением любых специальных требований, которым должны следовать получатели в дополнение к обычному категорированию информации.

Руководство по внедрению

Если предупреждение об отказе от ответственности не до конца понятно или соответствующие требования не могут быть удовлетворены, то получатель должен запросить разъяснения у отправителя.

8.4.3 Достоверность информации

Меры обеспечения ИБ

При каждом обмене информацией должна быть определена степень уверенности отправителя в достоверности и точности передаваемой информации.

Руководство по внедрению

В отдельных случаях из-за срочности, потенциальных последствий и технических ограничений, невозможно проверить всю информацию перед передачей. В таких случаях это должно быть оговорено в примечании, которое должно быть частью сообщения.

Добавление примечания о достоверности информации особенно важно, если источник является анонимным или неизвестным. Если же отправитель смог проверить достоверность предоставленной информации и может ручаться за ее подлинность, то он должен это указать явным образом.

8.4.4 Снижение уровня актуальности информации

Меры обеспечения ИБ

Отправитель информации должен указать, снизится ли уровень актуальности предоставленной информации после какого-либо внешнего события или по прошествии времени.

Руководство по внедрению

В том случае, если уровень актуальности предоставляемой информации со временем снижается, она все равно может нуждаться в защите. Руководящие принципы категорирования (см. 8.2.1) могут определять возможность снижения уровня актуальности по умолчанию.

8.4.5 Защита анонимности отправителя

Меры обеспечения ИБ

В случаях, когда требуется анонимность, участник сообщества должен удалить любую идентификационную информацию отправителя во всех сообщениях, которые он отправляет или получает.

Руководство по внедрению

Перед передачей информации другим участникам сообщества по обмену информацией отправитель должен получить соответствующее разрешение источника такой информации (если только он сам не является источником). Отправитель должен также спросить источник, можно ли его идентифицировать в качестве первоначального источника информации.

Важно, чтобы в процессе защиты анонимности источника наряду с происхождением учитывалось также и содержание сообщения, поскольку анализ содержимого может выявить личность источника. Там, где это возможно, отправитель сообщения должен попросить источник проверить обезличенную информацию и список предполагаемых получателей до ее распространения.

Пример - Сообщение типа "наши банкоматы были отключены сегодня новым вирусом" может выявить источник, только в том случае, если в рассматриваемый день только один банк столкнулся с нарушением обслуживания населения.

Существуют технические механизмы, которые могут использоваться для подтверждения подлинности отправителя без нарушения анонимности. Например, общие криптографические ключи могут быть использованы для подтверждения того, что сообщение исходило от участника сообщества, но без раскрытия личности отправителя.

8.4.6 Защита анонимности получателей

Меры обеспечения ИБ

С одобрения отправителя участники сообщества должны иметь возможность получать сообщения, не раскрывая свою личность.

Руководство по внедрению

Анонимное получение может быть реализовано как техническими (например, с помощью криптографии), так и процедурными средствами (например, маршрутизацией через вспомогательный объект). Необходимо следить за тем, чтобы анонимность не нарушала правовые ограничения и не снижала общий уровень доверия в сообществе.

Дополнительная информация

Анонимное получение часто необходимо для эффективного межотраслевого обмена информацией, потому что отраслевые сообщества могут желать сохранить в тайне детали своего членства в сообществе.

8.4.7 Полномочия по распространению

Меры обеспечения ИБ

Если информация не помечена для более широкого распространения, то она не должна распространяться за пределы сообщества по обмену информацией без официального одобрения со стороны владельца.

Руководство по внедрению

Для более широкого распространения полученной информации каждый участник должен отвечать за получение всех необходимых разрешений владельца.

При межотраслевом информационном обмене отправитель может не знать, какие именно организации получат отправляемую информацию. В таких случаях он должен обеспечить получение разрешения на общую или специальную отправку.

Дополнительная информация

Для определения того, как информация может распространяться дальше без получения дополнительных разрешений часто используется "Протокол Светофора" (см. приложение C).